Рубрика развивается при поддержке
Advertisement

«Коммерсантъ» рассказал о способе хищения денег в Системе быстрых платежей — из-за ошибки в ПО банка Статьи редакции

Это назвали первым случаем хищения средств с помощью СБП.

Мошенники нашли новый способ выводить деньги со счетов клиентов банков через Систему быстрых платежей (СБП). Об этом пишет «Коммерсантъ» со ссылкой на подразделение Банка России ФинЦЕРТ.

Источник журналистов объяснил, что злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов, запустил мобильное приложение банка в режиме отладки, авторизовался там как реальный клиент и запросил перевод средств в другой банк. Перед совершением перевода он вместо своего счёта отправителя средств указал номер счёта другого клиента этого банка — система не проверила, принадлежит ли указанный счёт отправителю, и направила команду СБП, которая перевела деньги мошенникам. Участники рынка рассказали «Ъ», что это первый случай хищения средств с помощью СБП.

В Центробанке объяснили, что проблему выявили в программном обеспечении одного банка (его название не приводится), она носила краткосрочный характер. Регулятор объяснил, что сама СБП «надёжно защищена» — уязвимость не касалась программного обеспечения системы. Собеседник «Коммерсанта» уточнил, что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации». «То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — объяснил он.

В отчёте подразделения Центробанка было указано, что номера счетов клиентов злоумышленник получил с помощью перебора, используя недокументированные возможности API. Ещё в ноябре 2019 года регулятор предупреждал банки о возможном использовании мошенниками метода «перебора идентификаторов клиентов».

{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0441\u0431\u043f","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0434\u0435\u043d\u044c\u0433\u0438","\u0431\u0430\u043d\u043a\u0438"], "comments": 16, "likes": 20, "favorites": 3, "is_advertisement": false, "subsite_label": "tech", "id": 202759, "is_wide": true, "is_ugc": false, "date": "Mon, 24 Aug 2020 16:32:13 +0300", "is_special": false }
0
16 комментариев
Популярные
По порядку
Написать комментарий...

"что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации" – серьезно? Тут человек тупо заснифал запросы, первое что придет в голову это подменять параметры, вдруг проверок не хватает, что и подтвердилось. Прям хакер уровня "Мухтара".

18

Там всё SSL/TLS-ем обмазано, что ты снифать собрался. Кто-то из команды сопровождения системы банка слил

7

На адрюше снифается почти все, ставятся свои сертификаты, рут прячется, подменить почти любые значения окружения можно. ред.

6

еще один аргумент в пользу иосифа

0

Он запустил приложение в отладочном режиме что тоже камень в сторону разрабов

4

берем рутованый андроид, ставим frida - вы великолепны!

0

Я: пытаюсь понять, что написано в ветке комментариев про киберуязвимости
Комментарии:

2

Он ещё и телефоны побрутил

Внутреннему реально куда проще такое провереуть

1

Согласно инсайдерской информации обгадился Альфа-Банк

7

вот так. не надо было альфа лаб разгонять ☝️

0

этих дармоедов разогнали чтоли?

0

А инсайдеры не сообщили сумму ? На которую обгадился банк 😌😉🤔

0

Нет. Вроде только с одного счёта 90к ушло. А счёт был не один, судя по всему ред.

0

Бывает, тесты забыли написать, подумаешь.

1

Тут скорей всего как раз кто-то из тестировщиков/програмеров слил уязвимость 

5

*воспользовался

0
Читать все 16 комментариев
null