Злоумышленник путем эксплуатации уязвимости в одной из банковских систем смог получить доступ к данным счетов клиентов.
Специалисты Центрального Банка РФ предупредили о новом способе хищения средств со счетов клиентов с помощью Системы быстрых платежей (СБП). Как пояснил источник газеты «КоммерсантЪ», злоумышленник путем эксплуатации уязвимости в банковской системе одной из кредитных организаций смог получить доступ к данным счетов клиентов.
Преступник запустил мобильное приложение в режиме отладки, авторизовался как реальный клиент, отправил запрос на перевод средств в другой банк, однако перед совершением транзакции вместо своего счета отправителя средств указал номер счета другого клиента того же банка. Система дистанционного банковского обслуживания (ДБО) не проверила принадлежность указанного счета отправителю и направила в СБП команду на перевод средств. Таким образом преступники отправляли себе деньги с чужих счетов.
«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена», — подтвердили факт инцидента в ЦБ.
По словам источника, сама уязвимость была очень специфической и знать о ней мог только кто-то хорошо знакомый с архитектурой мобильного банка — либо сотрудник банка, либо разработчик ПО, либо тестировщик.
Специалисты Центрального Банка РФ предупредили о новом способе хищения средств со счетов клиентов с помощью Системы быстрых платежей (СБП). Как пояснил источник газеты «КоммерсантЪ», злоумышленник путем эксплуатации уязвимости в банковской системе одной из кредитных организаций смог получить доступ к данным счетов клиентов.
Преступник запустил мобильное приложение в режиме отладки, авторизовался как реальный клиент, отправил запрос на перевод средств в другой банк, однако перед совершением транзакции вместо своего счета отправителя средств указал номер счета другого клиента того же банка. Система дистанционного банковского обслуживания (ДБО) не проверила принадлежность указанного счета отправителю и направила в СБП команду на перевод средств. Таким образом преступники отправляли себе деньги с чужих счетов.
«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена», — подтвердили факт инцидента в ЦБ.
По словам источника, сама уязвимость была очень специфической и знать о ней мог только кто-то хорошо знакомый с архитектурой мобильного банка — либо сотрудник банка, либо разработчик ПО, либо тестировщик.