«Коммерсантъ» рассказал о способе хищения денег в Системе быстрых платежей — из-за ошибки в ПО банка Материал редакции

Это назвали первым случаем хищения средств с помощью СБП.

В закладки
Слушать

Мошенники нашли новый способ выводить деньги со счетов клиентов банков через Систему быстрых платежей (СБП). Об этом пишет «Коммерсантъ» со ссылкой на подразделение Банка России ФинЦЕРТ.

Источник журналистов объяснил, что злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов, запустил мобильное приложение банка в режиме отладки, авторизовался там как реальный клиент и запросил перевод средств в другой банк. Перед совершением перевода он вместо своего счёта отправителя средств указал номер счёта другого клиента этого банка — система не проверила, принадлежит ли указанный счёт отправителю, и направила команду СБП, которая перевела деньги мошенникам. Участники рынка рассказали «Ъ», что это первый случай хищения средств с помощью СБП.

В Центробанке объяснили, что проблему выявили в программном обеспечении одного банка (его название не приводится), она носила краткосрочный характер. Регулятор объяснил, что сама СБП «надёжно защищена» — уязвимость не касалась программного обеспечения системы. Собеседник «Коммерсанта» уточнил, что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации». «То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — объяснил он.

В отчёте подразделения Центробанка было указано, что номера счетов клиентов злоумышленник получил с помощью перебора, используя недокументированные возможности API. Ещё в ноябре 2019 года регулятор предупреждал банки о возможном использовании мошенниками метода «перебора идентификаторов клиентов».

И это не новость ИА «Панорама»
{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0441\u0431\u043f","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0434\u0435\u043d\u044c\u0433\u0438","\u0431\u0430\u043d\u043a\u0438"], "comments": 16, "likes": 20, "favorites": 3, "is_advertisement": false, "subsite_label": "tech", "id": 202759, "is_wide": true, "is_ugc": false, "date": "Mon, 24 Aug 2020 16:32:13 +0300", "is_special": false }
Объявление на TJ
0
16 комментариев
Популярные
По порядку
Написать комментарий...
18

"что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации" – серьезно? Тут человек тупо заснифал запросы, первое что придет в голову это подменять параметры, вдруг проверок не хватает, что и подтвердилось. Прям хакер уровня "Мухтара".

Ответить
7

Там всё SSL/TLS-ем обмазано, что ты снифать собрался. Кто-то из команды сопровождения системы банка слил

Ответить
6

На адрюше снифается почти все, ставятся свои сертификаты, рут прячется, подменить почти любые значения окружения можно.

Ответить
0

еще один аргумент в пользу иосифа

Ответить
4

Он запустил приложение в отладочном режиме что тоже камень в сторону разрабов

Ответить
0

берем рутованый андроид, ставим frida - вы великолепны!

Ответить
2

Я: пытаюсь понять, что написано в ветке комментариев про киберуязвимости
Комментарии:

Ответить
1

Он ещё и телефоны побрутил

Внутреннему реально куда проще такое провереуть

Ответить
7

Согласно инсайдерской информации обгадился Альфа-Банк

Ответить
0

вот так. не надо было альфа лаб разгонять ☝️

Ответить
0

этих дармоедов разогнали чтоли?

Ответить
0

А инсайдеры не сообщили сумму ? На которую обгадился банк 😌😉🤔

Ответить
0

Нет. Вроде только с одного счёта 90к ушло. А счёт был не один, судя по всему

Ответить
1

Бывает, тесты забыли написать, подумаешь.

Ответить
5

Тут скорей всего как раз кто-то из тестировщиков/програмеров слил уязвимость 

Ответить
0

*воспользовался

Ответить
Обсуждаемое
Новости
ТАСС: СК запланировал новые аресты по делу о торговле младенцами. Задержат отцов гомосексуальной ориентации
Мужчинам хотят предъявить обвинение в покупке детей, так как по закону они не могут быть донорами.
Новости
Главред сайта Cosmopolitan пожаловалась на полицейских, отобравших у её сына восемь тысяч рублей. Ей позвонили из СК
Екатерина Великина заявила, что полицейские кричали сыну «стой, сука, почки отобью, стрелять буду», а после пригрозили начать «искать всякое».
Новости
«‎Интересовались, в роли кого я в постели»: чемпионка мира по пауэрлифтингу рассказала, как ей нагрубили в аэропортах
Сотрудников не устроил внешний вид девушки.
Популярное за три дня
Новости
Госканал Белоруссии написал о выдвижении Лукашенко на Нобелевскую премию мира. Это новость «Панорамы»
Телеканал ОНТ назвал Лукашенко «достойным кандидатом». А «Панорама» — президентом, который «не допустил анархии и гражданской войны».
Новости
«Ты знаешь, что умираешь»: Навальный дал Der Spiegel первое интервью после выхода из комы
Основатель ФБК уже может стоять на одной ноге, но ему не заснуть без снотворного. Он считает себя «подопытным кроликом».
Истории
Cмерть без паспорта: история «острова людоедов» времён советской паспортной кампании
6 тысяч человек депортировали в Сибирь и высадили на остров без еды, убежища и инструментов. В диких условиях выжили чуть больше 2 тысяч.
null