Как сообщил в интервью радио Sputnik президент консорциума "Инфорус", эксперт в области информационной безопасности Андрей Масалович, в банке при подключении системы мобильных приложений для переводов по СПБ нашлась уязвимость, связанная с открытым API-интерфейсом:
- Через нее мошенники смогли подменять счета отправителя. То есть, люди, которые были знакомы с этой системой, подключили мобильные приложения, вошли в режим отладки в СПБ. Для этого они предварительно узнавали номера счетов в этом банке, регистрировались как реальный клиент и от его имени отправляли платеж в другой банк, но в качестве счета списания указывали чужой счет в этом банке. Они уже посмотрели, сколько денег лежит на этом счету, который в итоге остался пустым.
Почему произошло так, что система дистанционного банковского обслуживания (ДБО) не делала проверок, принадлежит ли указанный счет отправителю, и направляла в СБП команду на перевод средств, неизвестно. Но банк не стал разбираться, почему клиент с логином вместо своего счета отправил деньги с чужого, и они ушли. По мнению экспертов, специфическую уязвимость случайно обнаружить было нельзя. Чтобы воспользоваться такой уязвимостью, необходимо быть по меньшей мере, грамотным разработчиком подобных систем, либо самому устанавливать ее непосредственно в банке.
Еще в апреле по данным Центробанка, в СБП с момента ее запуска в январе было совершено около 140 тысяч операций, средняя сумма переводов составила 7,5 тысячи рублей. Уже тогда СБП стала раем для мошенников - 90% всех криминальных операций были попытками перевести деньги человеку в банк, где у него нет счёта. Эксперты уверены, что таким способом мошенники массово "пробивали" владельцев телефонных номеров.
Если в системе безопасности кредитной организации обнаруживается брешь, каждый инцидент обычно тщательно расследуют. Чтобы исключить уязвимости, в каждом банке действуют многоуровневые системы тестирования. Тем, кто обнаруживает проблемы в системе безопасности банка, гарантированы высокие выплаты.