Мошенники нашли новый способ выводить деньги со счетов клиентов банков, используя Систему быстрых платежей (СБП),
сообщает «Коммерсантъ» со ссылкой на отчет подразделения ЦБ ФинЦЕРТ - Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ.
Так: злоумышленники через лазейку в ПО одного из банков смогли получить данные его клиентов. После этого они, авторизовавшись как реальный клиент, запустили мобильное приложение банка в режиме отладки, и отправили запрос на перевод денег в другой банк. Система дистанционного банковского обслуживания (ДБО) не проверила, принадлежит ли указанный счет отправителя, направил команду СБП, которая перевела деньги на счет мошенников.
В ЦБ подтвердили инцидент и заверили, что лазейка в ПО одного из банков была оперативно устранена. В самой СБП уязвимостей не было найдено. Регулятор заверил, что оповестил банки о случае хищения по такой схеме.
По словам источника газеты в банке, где произошел инцидент, о наличии лазейки мошенникам рассказал кто-то из персонала кредитной организации или разработчиков ПО, так как извне о ней узнать было невозможно. Опрошенные изданием эксперты отметили, что это первый случай мошенничества с использованием СБП. ФинЦЕРТ также отмечала, что мошенники получили номера счетов клиентов банков, используя метод перебора.
В ноябре 2019 г. ЦБ предупредил банки об атаках через СБП. В письме ЦБ называет атаками сбор информации о клиентах банков. Зная идентификатор клиента в СБП, номер его мобильного телефона, можно получить дополнительную информацию о человеке. Например, имя, отчество и первую букву фамилии, а также названия банков, где у него открыты счета. Такие запросы могут быть массовыми, ЦБ назвала их «переборами идентификаторов клиентов».
https://www.vedomosti.ru/finance/news/2020/08/24/837510-o-novom-vide-moshennichestva-s-ispolzovaniem-sbp