Posted 24 августа 2020, 10:48

Published 24 августа 2020, 10:48

Modified 7 марта, 14:34

Updated 7 марта, 14:34

Мошенники научились красть деньги через систему быстрых платежей

24 августа 2020, 10:48
Сюжет
Банки
Мошенники нашли еще один из "четыреста сравнительно честных способов отъема денег". Они научились похищать их через систему быстрых платежей (СПБ). Уязвимости в ней обнаруживались и раньше, но теперь их называют "детским лепетом" по сравнению с недавно обнаруженной "дырой".

Как сообщил в интервью радио Sputnik президент консорциума "Инфорус", эксперт в области информационной безопасности Андрей Масалович, в банке при подключении системы мобильных приложений для переводов по СПБ нашлась уязвимость, связанная с открытым API-интерфейсом:

- Через нее мошенники смогли подменять счета отправителя. То есть, люди, которые были знакомы с этой системой, подключили мобильные приложения, вошли в режим отладки в СПБ. Для этого они предварительно узнавали номера счетов в этом банке, регистрировались как реальный клиент и от его имени отправляли платеж в другой банк, но в качестве счета списания указывали чужой счет в этом банке. Они уже посмотрели, сколько денег лежит на этом счету, который в итоге остался пустым.

Почему произошло так, что система дистанционного банковского обслуживания (ДБО) не делала проверок, принадлежит ли указанный счет отправителю, и направляла в СБП команду на перевод средств, неизвестно. Но банк не стал разбираться, почему клиент с логином вместо своего счета отправил деньги с чужого, и они ушли. По мнению экспертов, специфическую уязвимость случайно обнаружить было нельзя. Чтобы воспользоваться такой уязвимостью, необходимо быть по меньшей мере, грамотным разработчиком подобных систем, либо самому устанавливать ее непосредственно в банке.

Еще в апреле по данным Центробанка, в СБП с момента ее запуска в январе было совершено около 140 тысяч операций, средняя сумма переводов составила 7,5 тысячи рублей. Уже тогда СБП стала раем для мошенников - 90% всех криминальных операций были попытками перевести деньги человеку в банк, где у него нет счёта. Эксперты уверены, что таким способом мошенники массово "пробивали" владельцев телефонных номеров.

Если в системе безопасности кредитной организации обнаруживается брешь, каждый инцидент обычно тщательно расследуют. Чтобы исключить уязвимости, в каждом банке действуют многоуровневые системы тестирования. Тем, кто обнаруживает проблемы в системе безопасности банка, гарантированы высокие выплаты.

Подпишитесь