Ищем разработчика, который без ума от JavaScript и клёвых анимаций
Рубрика развивается при поддержке HP logo

«Коммерсантъ» рассказал о способе хищения денег в Системе быстрых платежей — из-за ошибки в ПО банка Материал редакции

Это назвали первым случаем хищения средств с помощью СБП.

В закладки
Слушать

Мошенники нашли новый способ выводить деньги со счетов клиентов банков через Систему быстрых платежей (СБП). Об этом пишет «Коммерсантъ» со ссылкой на подразделение Банка России ФинЦЕРТ.

Источник журналистов объяснил, что злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов, запустил мобильное приложение банка в режиме отладки, авторизовался там как реальный клиент и запросил перевод средств в другой банк. Перед совершением перевода он вместо своего счёта отправителя средств указал номер счёта другого клиента этого банка — система не проверила, принадлежит ли указанный счёт отправителю, и направила команду СБП, которая перевела деньги мошенникам. Участники рынка рассказали «Ъ», что это первый случай хищения средств с помощью СБП.

В Центробанке объяснили, что проблему выявили в программном обеспечении одного банка (его название не приводится), она носила краткосрочный характер. Регулятор объяснил, что сама СБП «надёжно защищена» — уязвимость не касалась программного обеспечения системы. Собеседник «Коммерсанта» уточнил, что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации». «То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — объяснил он.

В отчёте подразделения Центробанка было указано, что номера счетов клиентов злоумышленник получил с помощью перебора, используя недокументированные возможности API. Ещё в ноябре 2019 года регулятор предупреждал банки о возможном использовании мошенниками метода «перебора идентификаторов клиентов».

И это не новость ИА «Панорама»
{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0441\u0431\u043f","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0434\u0435\u043d\u044c\u0433\u0438","\u0431\u0430\u043d\u043a\u0438"], "comments": 16, "likes": 20, "favorites": 3, "is_advertisement": false, "subsite_label": "tech", "id": 202759, "is_wide": true, "is_ugc": false, "date": "Mon, 24 Aug 2020 16:32:13 +0300", "is_special": false }
Создан для будущего Узнайте больше HP Neverstop Laser HP Neverstop Laser
Universal Music Group
Послушать новое: возвращение Вудкида
Музыка Йоанна Лемуана, клипмейкера, режиссера и музыканта, известного как Вудкид, всегда была предельно…
Объявление на TJ
0
16 комментариев
Популярные
По порядку
Написать комментарий...
18

"что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации" – серьезно? Тут человек тупо заснифал запросы, первое что придет в голову это подменять параметры, вдруг проверок не хватает, что и подтвердилось. Прям хакер уровня "Мухтара".

Ответить
7

Там всё SSL/TLS-ем обмазано, что ты снифать собрался. Кто-то из команды сопровождения системы банка слил

Ответить
6

На адрюше снифается почти все, ставятся свои сертификаты, рут прячется, подменить почти любые значения окружения можно.

Ответить
0

еще один аргумент в пользу иосифа

Ответить
4

Он запустил приложение в отладочном режиме что тоже камень в сторону разрабов

Ответить
0

берем рутованый андроид, ставим frida - вы великолепны!

Ответить
2

Я: пытаюсь понять, что написано в ветке комментариев про киберуязвимости
Комментарии:

Ответить
1

Он ещё и телефоны побрутил

Внутреннему реально куда проще такое провереуть

Ответить
7

Согласно инсайдерской информации обгадился Альфа-Банк

Ответить
0

вот так. не надо было альфа лаб разгонять ☝️

Ответить
0

этих дармоедов разогнали чтоли?

Ответить
0

А инсайдеры не сообщили сумму ? На которую обгадился банк 😌😉🤔

Ответить
0

Нет. Вроде только с одного счёта 90к ушло. А счёт был не один, судя по всему

Ответить
1

Бывает, тесты забыли написать, подумаешь.

Ответить
5

Тут скорей всего как раз кто-то из тестировщиков/програмеров слил уязвимость 

Ответить
0

*воспользовался

Ответить
Обсуждаемое
Технологии
Исследование: Китайские смартфоны на Android без сервисов Google заняли 10% российского рынка
Всего в 2020 году на телефоны Honor и Huawei пришлось 30% от всех проданных устройств.
Новости
Фото: Первые магазины сети «жёстких» дискаунтеров «Чижик» от владельца «Пятёрочки»
Покупателям говорят, что они не переплачивают за «раздутый ассортимент» и «назойливую рекламу».
Новости
«Марш на Варшаву»: жители Польши вышли на самую массовую уличную акцию против запрета абортов
Демонстранты потребовали отправить правительство в отставку. Митингующих встретили провокациями.
Популярное за три дня
Беларусь
«Мы в плен никого не берём»: Лукашенко пригрозил протестующим физической расправой
И заявил, что «отступать некуда».
Разборы
Исламский мир против Макрона. Его называют террористом, мусульмане протестуют и бойкотируют французские товары
Это ответ на обещание президента усилить борьбу с радикалами и построить во Франции «просвещённый ислам».
Интернет
На футбольном матче в Шотландии «умная» камера вместо игры следила за боковым судьёй — ИИ путал его лысину с мячом
Небольшие клубы часто используют камеры с искусственным интеллектом, потому что профессиональный оператор — это дорого.

Комментарии

null