Центробанк выявил новый способ хищения средств со счетов клиентов банков с использованием Системы быстрых платежей. Как пишет «Коммерсант», это первый случай использования СБП в схеме успешной атаки.
Средства похищались с помощью уязвимости в программном обеспечении одного из банков. Злоумышленники запускали мобильное приложение в режиме отладки, после чего отправляли запрос на перевод средств в другой банк и с помощью уязвимости перед совершением перевода подменяли номер счета, с которого списываются средства.
В ЦБ заявили, что проблема носила краткосрочный характер и была оперативно устранена. Название банка и количество пострадавших клиентов регулятор не уточнил.
По словам источника «Ъ» в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал».
Система быстрых платежей, координируемая ЦБ, позволяет клиентам крупнейших банков совершать мгновенные межбанковские переводы. Для них достаточно знать только номер телефона получателя платежа.