Мошенники нашли новый способ красть деньги — через брешь в защите банков, которая появилась после введения «Системы быстрых платежей» (СБП).

О проблеме стало известно из бюллетеня подразделения Банка России ФинЦЕРТ, которое занимается мониторингом и реагированием на компьютерные атаки в кредитно-финансовой сфере. Как пишет газета «Коммерсантъ», при установке в мобильном приложении одного из банков возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники и смогли подменять счета отправителя.

Чтобы заполучить чужие деньги, злоумышленник сперва раздобыл номер счета объекта атаки методом перебора, затем запустил мобильное приложение в режиме отладки, авторизовался как реальный клиент, отправил запрос на перевод средств в другой банк и подменил в запросе счет отправителя. Банк без перепроверки, где чей счет, направил в СБП команду на перевод средств, которая и была успешно исполнена.

«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и дистанционное банковское обслуживание) и носила краткосрочный характер. Она была оперативно устранена», — заявили в ЦБ.

В «Национальной системе платежных карт», которая является операционным платежным клиринговым центром СБП, утверждают, что проблема была «локальной», а в программном обеспечении самой системы проблем с защитой нет.

На какой именно банк произошла атака нового типа, не сообщается, но предупреждение об уязвимости ЦБ разослал во все кредитно-финансовые учреждения. Это первый случай хищения средств с помощью «Системы быстрых платежей». Совершить такое преступление мог либо сотрудник банка, либо человек, хорошо знакомый с работой специального программного обеспечения.

Ранее «Ридус» рассказывал о том, что банки собрались выдавать россиянам кредиты через банкоматы с подтверждением личности через биометрию.