Мошенники нашли способ хищения денег в системе быстрых платежей из-за ошибки в программном обеспечении банка

Источник: Коммерсант

Центробанк выявил новый способ хищения средств со счетов клиентов банков с использованием Системы быстрых платежей. Как пишет «Коммерсант», это первый случай использования СБП в схеме успешной атаки.

Средства похищались с помощью уязвимости в программном обеспечении одного из банков. Злоумышленники запускали мобильное приложение в режиме отладки, после чего отправляли запрос на перевод средств в другой банк и с помощью уязвимости перед совершением перевода подменяли номер счета, с которого списываются средства. 

В ЦБ заявили, что проблема носила краткосрочный характер и была оперативно устранена. Название банка и количество пострадавших клиентов регулятор не уточнил.  

По словам источника «Ъ» в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал».

Коммерсант

Система быстрых платежей, координируемая ЦБ, позволяет клиентам крупнейших банков совершать мгновенные межбанковские переводы. Для них достаточно знать только номер телефона получателя платежа.

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.