Рубрика развивается при поддержке HP logo

«Коммерсантъ» рассказал о способе хищения денег в Системе быстрых платежей — из-за ошибки в ПО банка Материал редакции

Это назвали первым случаем хищения средств с помощью СБП.

В закладки
Слушать

Мошенники нашли новый способ выводить деньги со счетов клиентов банков через Систему быстрых платежей (СБП). Об этом пишет «Коммерсантъ» со ссылкой на подразделение Банка России ФинЦЕРТ.

Источник журналистов объяснил, что злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов, запустил мобильное приложение банка в режиме отладки, авторизовался там как реальный клиент и запросил перевод средств в другой банк. Перед совершением перевода он вместо своего счёта отправителя средств указал номер счёта другого клиента этого банка — система не проверила, принадлежит ли указанный счёт отправителю, и направила команду СБП, которая перевела деньги мошенникам. Участники рынка рассказали «Ъ», что это первый случай хищения средств с помощью СБП.

В Центробанке объяснили, что проблему выявили в программном обеспечении одного банка (его название не приводится), она носила краткосрочный характер. Регулятор объяснил, что сама СБП «надёжно защищена» — уязвимость не касалась программного обеспечения системы. Собеседник «Коммерсанта» уточнил, что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации». «То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — объяснил он.

В отчёте подразделения Центробанка было указано, что номера счетов клиентов злоумышленник получил с помощью перебора, используя недокументированные возможности API. Ещё в ноябре 2019 года регулятор предупреждал банки о возможном использовании мошенниками метода «перебора идентификаторов клиентов».

И это не новость ИА «Панорама»
{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0441\u0431\u043f","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0434\u0435\u043d\u044c\u0433\u0438","\u0431\u0430\u043d\u043a\u0438"], "comments": 16, "likes": 20, "favorites": 3, "is_advertisement": false, "subsite_label": "tech", "id": 202759, "is_wide": true, "is_ugc": false, "date": "Mon, 24 Aug 2020 16:32:13 +0300", "is_special": false }
Создан для будущего Узнайте больше HP Neverstop Laser HP Neverstop Laser
Объявление на TJ
0
16 комментариев
Популярные
По порядку
Написать комментарий...
18

"что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации" – серьезно? Тут человек тупо заснифал запросы, первое что придет в голову это подменять параметры, вдруг проверок не хватает, что и подтвердилось. Прям хакер уровня "Мухтара".

Ответить
7

Там всё SSL/TLS-ем обмазано, что ты снифать собрался. Кто-то из команды сопровождения системы банка слил

Ответить
6

На адрюше снифается почти все, ставятся свои сертификаты, рут прячется, подменить почти любые значения окружения можно.

Ответить
0

еще один аргумент в пользу иосифа

Ответить
4

Он запустил приложение в отладочном режиме что тоже камень в сторону разрабов

Ответить
0

берем рутованый андроид, ставим frida - вы великолепны!

Ответить
2

Я: пытаюсь понять, что написано в ветке комментариев про киберуязвимости
Комментарии:

Ответить
1

Он ещё и телефоны побрутил

Внутреннему реально куда проще такое провереуть

Ответить
7

Согласно инсайдерской информации обгадился Альфа-Банк

Ответить
0

вот так. не надо было альфа лаб разгонять ☝️

Ответить
0

этих дармоедов разогнали чтоли?

Ответить
0

А инсайдеры не сообщили сумму ? На которую обгадился банк 😌😉🤔

Ответить
0

Нет. Вроде только с одного счёта 90к ушло. А счёт был не один, судя по всему

Ответить
1

Бывает, тесты забыли написать, подумаешь.

Ответить
5

Тут скорей всего как раз кто-то из тестировщиков/програмеров слил уязвимость 

Ответить
0

*воспользовался

Ответить
Обсуждаемое
Новости
«Это не было публичное заявление»: Тиньков извинился за слова про «гавно-Яндекс» перед сотрудниками и клиентами компании
Бизнесмен также рассказал, почему сделка с «Яндексом» не состоялась.
Новости
В Германии суд отказал в гражданстве мужчине из Ливана, который не захотел пожимать руку женщине
Судья постановил, что это доказывает неспособность мужчины «интегрироваться в немецкие условия жизни».
Новости
Правительство Свердловской области проверит местный пансионат после сообщения о принудительной стерилизации пациенток
Отказавшимся от операции якобы угрожали отправкой в психоневрологический интернат.
Популярное за три дня
Животные
В Австралии лабрадор выломал дверь, застряв в проёме для собак. Пёс стал героем сети, но теперь его ждёт диета
Фотографии «пухлого мальчика», как его называет хозяйка, разошлись по интернету. Его ни в чём не винят, но похудеть всё же придётся.
Разборы
Во Франции обезглавили учителя после лекции с карикатурами на Мухаммеда. Подозревают 18-летнего россиянина. Главное
Ответственность взял человек с ником «Tchetchene_270», опубликовавший фото отрезанной головы и обращение к Макрону.
Беларусь
Кондитерская в Гродно отказалась печь торт для ОМОНа. После этого местные жители скупили там всю продукцию
Так они поддержали решение кондитерской.

Комментарии

null