Календарь мероприятий


Мошенники нашли способ выводить деньги через СБП

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.
Как стало известно "Ъ", ФинЦЕРТ на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. Как пояснил "Ъ" источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.
По словам участников рынка, это первый случай хищения средств с помощью СБП.
В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).
В ЦБ "Ъ" подтвердили факт инцидента: "Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена". Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы. В НСПК, которая выступает операционным платежным клиринговым центром СБП, также отметили, что в ПО системы уязвимостей не выявлено: Была обнаружена локальная проблема в программном обеспечении, разработанном для одного конкретного банка".
По словам источника "Ъ" в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: "О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал".
Впрочем, ведущий эксперт "Лаборатории Касперского" Сергей Голованов считает случайное обнаружение даже такой уязвимости вполне вероятным: "Уязвимости могут встретиться в любом ПО, ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов". По его словам, в "Лаборатории Касперского" периодически отмечают случаи успешных атак на мобильные банки кредитных организаций.
Однако ни в одной из опрошенных "Ъ" крупных кредитных организаций не подтвердили случаев успешного взлома мобильного банка.
Мошеннические операции с участием людей, сотрудничавших с разработчиками или тестировщиками ПО, на рынке хорошо известны. По словам заместителя директора департамента розничных клиентских решений и цифрового бизнеса Росбанка Павла Меньшикова, у любого крупного банка есть внешняя разработка: "Для минимизации рисков проводится тестирование на всех этапах разработки, в том числе и регресс всего функционала независимой командой".
Директор департамента Digital банка "Открытие" Александр Пятигорский отмечает, что API по своей сути это только формат взаимодействия сторон (в описанном случае банков и СБП). "Риски в таком взаимодействии лежат на уровне надежности каждого элемента взаимодействия,- заявил он.- У нас в банке выстроена многоуровневая система тестирования, один из которых - тестирование со стороны внешнего бета-сообщества, в котором установлены крайне высокие выплаты для обнаружившего любой риск безопасности".
Источник: КоммерсантЪ: https://www.kommersant.ru/doc/4465889


24.08.2020

Обсудить новости на нашей странице на VKontakte


Новости ББТ
25.06.2026
Обновление раздела ББТ "Противодействие легализации" от 25.06.2026
25.06.2026
Обновление раздела ББТ "Бухгалтерский учет и отчетность банка" от 25.06.2026
25.06.2026
Обновление раздела ББТ "Внутренний контроль в банке" от 25.06.2026
25.06.2026
Обновление раздела ББТ "Банковские риски" от 25.06.2026
25.06.2026
Обновление раздела ББТ "Кредитные операции в банке" - от 25.06.2026 Все новости
Наши мероприятия
25.05.2026
Шиманов Д.В. "Бизнес по-русски"
24.02.2026
Холкин Д.В. "Поэзия электрификации и производительность труда: от ГОЭЛРО к эпохе ИИ"
12.02.2026
Болдырь И.А. "Обзор основных изменений банковского законодательства в VI квартале 2025 года"
02.12.2025
Мицек С.А. "Об организации науки".
02.12.2025
Шарушинская О.В. "Кредитные политика банков в условиях СВО". Все новости
Новости для банков
29.06.2026
ЦБ разрешит банкам учитывать залоги банкротов при расчете резервов
29.06.2026
Эксперты оценили, как закон о финансовом контроле повлияет на безопасность подростков и доверие в семье
29.06.2026
В России с 1 июля изменится порядок формирования кредитной истории
29.06.2026
Россияне в мае сняли со счетов в банках 550 миллиардов рублей
26.06.2026
Аксаков: регулирование криптовалют максимально приблизят к правилам рынка ценных бумаг Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
28.11.2019
Обновление Электронной Библиотеки Банка от 28.11.2019 Все новости