2020-8-24 09:15 |
Через "дыру" в программном обеспечении.
Первую схему хищения средств на базе Системы быстрых платежей (СБП) выявил Банк России. Случившееся связывают с недостатком открытого API-интерфейса, который позволил "черным программистам" подменять счета отправителя. По словам экспертов, это первый случай включения СБП в схему хакерской атаки на банк.
Злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. После этого он запустил мобильное приложение в режиме отладки и, авторизовавшись под видом клиента, отправил запрос на перевод средств в другой банк. Перед перечислением средств вместо своего счета отправителя он указал данные другого клиента этого банка. Система дистанционного банковского обслуживания не проверила принадлежность указанного счета отправителю и дала команду на перевод средств. Таким образом мошенники отправляли себе деньги с чужих счетов, пишет "Коммерсантъ" со ссылкой на собственный источник.
Газета уточняет, что номера счетов жертв злоумышленники получили подбором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания, сообщает "Уралинформбюро".
"Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена", - отметили в ЦБ РФ, подчеркнув, что СБП надежно защищена и уязвимость не касалась программного обеспечения системы.
По словам источника "Коммерсанта", специфическую уязвимость мог найти лишь кто-то знакомый с архитектурой мобильного банка кредитной организации - сотрудник банка, разработчик или тестировщик программы.
Между тем ни в одной крупной кредитной организации случай взлома мобильного банка не подтверждают.
Подробнее читайте на uralinform.ru ...
