ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП), передает корреспондент Агентства новостей «Доступ» со ссылкой на «Коммерсант».
В банки уже разослан бюллетень с описанием новой схемы хищения. При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом (программным интерфейсом приложения). Через нее хакер получил в одной из банковских систем данные счетов клиентов и смог, подменив данные отправителя, переслать себе деньги с чужих счетов. Сообщается, что номера счетов жертв были получены перебором.
Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.
В ЦБ подтвердили факт инцидента, но подчеркнули, что проблема была у банка, сама же СБП надежно защищена, уязвимость не касалась программного обеспечения системы.
Была обнаружена локальная проблема в программном обеспечении, разработанном для одного конкретного банка, причем, по данным источника «Ъ», обнаружить уязвимость случайно было практически невозможно: о ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации, то есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал.