«Коммерсантъ» узнал о новом виде мошенничества с использованием СБП

Мошенники получают информацию о счетах клиента, после чего авторизовываются как реальные пользователи и дают команду на перевод денег, вводя при этом номер не своего счета для списания средств, а другого человека

Мошенники нашли новый способ выводить деньги со счетов клиентов банков, используя Систему быстрых платежей (СБП), сообщает «Коммерсантъ» со ссылкой на бюллетень подразделения Банка России ФинЦЕРТ, которое занимается мониторингом и реагированием на компьютерные атаки в кредитно-финансовой сфере.

Как сообщает издание, мошенники через брешь в защите банков получают доступ к данным счетов клиентов, после чего запускают мобильное приложение в режиме отладки, авторизуясь как реальные клиенты. После этого они дают команду на перевод денег, но вместо своего счета, с которого должны списываться средства, указывают счет другого клиента банка. Система не проверяет принадлежность счета и списывает деньги у другого человека, переводя их мошеннику. Как сообщили участники рынка изданию, это первый случай хищения денег с помощью СБП.

Популярное:  ЦБ предложил освободить россиян от оплаты страховки при выдаче ипотеки

ФинЦЕРТ также отмечал, что мошенники получили номера счетов клиентов банков используя метод перебора.

В Центробанке рассказали, что проблема была обнаружена в мобильном приложении и системах дистанционного обслуживания одного банка и была краткосрочной. «Она была оперативно устранена», — подчеркнули в ЦБ, не уточнив, о каком банке идет речь. Также, по данным регулятора, сама Система быстрых платежей надежно защищена.

В «Национальной системе платежных карт», которая является операционным платежным клиринговым центром СБП, подтвердили, что проблема была локальной, а в программном обеспечении самой системы брешей не было найдено.

Как рассказал источник издания в крупном банке, об уязвимости мог знать только кто-то, хорошо знакомый с архитектурой приложения этого банка. «То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — предположил собеседник.

Популярное:  Аудитор Счетной палаты предложил альтернативу продаже санированных банков

Ведущий эксперт «Лаборатории Касперского» Сергей Голованов сообщил, что, как правило, такие уязвимости обнаруживаются после сообщений клиентов и проведения расследования.

В июне 2019 года первый замдиректора департамента информационной безопасности Банка России Артем Сычев заявлял, что в СБП реализован специальный алгоритм, который не позволяет путем перебора номеров узнать информацию о клиенте. «Он позволяет в случае обнаружения подобных попыток со стороны банка отправителя не доводить эти запросы до банка получателя. Мы видим, что в ряде банковских систем такие переборы делают, но на уровне СБП они блокируются», — говорил Сычев.

Но в ноябре 2019 года ЦБ предупредил банки о возможном использовании мошенниками метода «перебора идентификаторов» в Системе быстрых платежей. Таким образом, сообщали в Центробанке, можно узнать имя, отчество и первую букву фамилии человека, а также в каком банке у него открыт счет. В ЦБ предположили, что с этими данными мошенники могут совершать хищения, используя методы «социальной инженерии», то есть, например, позвонить человеку и убедить его выдать важную информацию.

Популярное:  Сбербанк добавил в мобильное приложение функцию перевода денег за рубеж

Автор: Мария Лисицына

Источник: rbc.ru

Поделиться с друзьями

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*