Как сообщает «Коммерсант» со ссылкой на заявление регулятора, предупреждение о новой мошеннической схеме увода денег со счетов клиентов банки получили на прошлой неделе.
Поводом для вмешательства ЦБ стал инцидент в одном из банков, название которого не разглашается.
Выяснилось, что в мобильном приложении одной из кредитных организаций, поддерживающем возможность переводов по СБП, «была оставлена уязвимость, связанная с открытым API-интерфейсом».
Благодаря этой лазейке хакеры смогли подменить счет отправителя. Это первый в России случай использования системы СБП при осуществлении успешной хакерской атаки на банк.
Получив данные о счетах клиентов, хакер, представившись клиентом банка, отправил запрос на перевод средств в другой банк. Однако перед тем, как совершить перевод, вместо своего счета отправителя средств мошенник указал номер счета другого клиента этого банка. А система дистанционного банковского обслуживания (ДБО) совершила сделку без всякой дополнительной проверки. Таким образом, мошенники пополнили свои карманы за счет клиентов банка. Общая сумма выведенных таким образом средств пока не названа.
«Номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности программного интерфейса приложения ДБО», - сообщает «Коммерсант».
После того как об уязвимости в программном обеспечении банка стало известно, сотрудники кредитной организации ее оперативно устранили.
По мнению экспертов, специфика уязвимости системы была настолько узкой, что ее было «практически невозможно» обнаружить случайным образом. Таким образом, за хакерской атакой на сайт кредитной организации могут стоять люди, которые знакомы с работой системы детально. Это могли быть либо работники банка, либо разработчики, либо тестировщики программного обеспечения.
Ранее в крупных российских банках не фиксировалось фактов успешного взлома мобильного банка.
Если в системе безопасности кредитной организации обнаруживается брешь, каждый инцидент тщательно расследуют. Чтобы исключить уязвимости, в каждом банке действуют многоуровневые системы тестирования. Тем, кто обнаруживает проблемы в системе безопасности банка, гарантированы высокие выплаты. При появлении «бреши» банки принимают экстренные меры для ее ликвидации.