Система быстрых платежей (СБП) чуть было не стала системой потери платежей из-за того, что злоумышленники изобрели очередной способ кражи денег со счетов россиян в банке.
Новый алгоритм мошеннических действий с помощью этой системы был выявлен экспертами ЦБ РФ, после чего описание этой схемы было направлено на прошлой неделе всем коммерческим банкам.
Как выяснилось, к клиентским счетам одного из банков преступники получили доступ из-за того, что при установке в мобильном банке этой организации системы переводов была допущена уязвимость, относящаяся к открытому API-интерфейсу.
С помощью нее к преступникам попали сведения со счетов граждан. Следующим их действием было открытие мобильного приложения в определенном режиме, авторизация под видом настоящего клиента банка и отправка требования на перевод денег в другую кредитную организацию.
Но до совершения самого перевода они заменили свой счет на данные другого клиента этого банка. Команда на перечисление денег была осуществлена без каких-либо проверочных действий со стороны СБП, направления кодов и паролей.
В Центробанке РФ отказались указать название этого банка, однако заверили, что СБП прочно защищена и выявленная уязвимость не имела никакого отношения к ПО системы.
Предположительно, среди мошенников мог быть человек, который был хорошо знаком со структурой мобильного банка пострадавшей кредитной организации. Иными словами, это мог быть сотрудник самого банка, разработчик ПО, либо тестировавший ее человек.