Издание «
» сообщает, что на прошлой неделе специалисты ФинЦЕРТ разослали в банки бюллетень с описанием новой схемы хищения средств пользователей. Неназванные злоумышленники использовали для этого Систему быстрых платежей (СБП) и уязвимость в одной из банковских систем. По словам участников рынка, это первый случай хищения средств с помощью СБП.
Собственный источник пояснил журналистам, что через уязвимость хакер получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила.
В бюллетене ФинЦЕРТ отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API дистанционного банковского обслуживания (ДБО).
Специалисты Grop-IB поясняют, что мошенничество заключалось в том, что в мобильном приложении не проверялось поле отправителя. Злоумышленники от своего имени осуществляли перевод, но вместо своего номера счета, с которого нужно списать средства, подставляли номер счета жертвы (в СБП можно указать номер телефона). В итоге в банк уходило сообщение о переводе с совершено чужого номера телефона на номер мошенника. И банк принимал эту операцию.
Собственный источник пояснил журналистам, что через уязвимость хакер получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила.
В бюллетене ФинЦЕРТ отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API дистанционного банковского обслуживания (ДБО).
Интересно, что, по данным издания, уязвимость была настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — сообщил журналистам источник в крупном банке.
Специалисты Grop-IB поясняют, что мошенничество заключалось в том, что в мобильном приложении не проверялось поле отправителя. Злоумышленники от своего имени осуществляли перевод, но вместо своего номера счета, с которого нужно списать средства, подставляли номер счета жертвы (в СБП можно указать номер телефона). В итоге в банк уходило сообщение о переводе с совершено чужого номера телефона на номер мошенника. И банк принимал эту операцию.
