Ищем разработчика, который без ума от JavaScript и клёвых анимаций
Рубрика развивается при поддержке HP logo

«Коммерсантъ» рассказал о способе хищения денег в Системе быстрых платежей — из-за ошибки в ПО банка Материал редакции

Это назвали первым случаем хищения средств с помощью СБП.

В закладки
Слушать

Мошенники нашли новый способ выводить деньги со счетов клиентов банков через Систему быстрых платежей (СБП). Об этом пишет «Коммерсантъ» со ссылкой на подразделение Банка России ФинЦЕРТ.

Источник журналистов объяснил, что злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов, запустил мобильное приложение банка в режиме отладки, авторизовался там как реальный клиент и запросил перевод средств в другой банк. Перед совершением перевода он вместо своего счёта отправителя средств указал номер счёта другого клиента этого банка — система не проверила, принадлежит ли указанный счёт отправителю, и направила команду СБП, которая перевела деньги мошенникам. Участники рынка рассказали «Ъ», что это первый случай хищения средств с помощью СБП.

В Центробанке объяснили, что проблему выявили в программном обеспечении одного банка (его название не приводится), она носила краткосрочный характер. Регулятор объяснил, что сама СБП «надёжно защищена» — уязвимость не касалась программного обеспечения системы. Собеседник «Коммерсанта» уточнил, что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации». «То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — объяснил он.

В отчёте подразделения Центробанка было указано, что номера счетов клиентов злоумышленник получил с помощью перебора, используя недокументированные возможности API. Ещё в ноябре 2019 года регулятор предупреждал банки о возможном использовании мошенниками метода «перебора идентификаторов клиентов».

И это не новость ИА «Панорама»
{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0441\u0431\u043f","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0434\u0435\u043d\u044c\u0433\u0438","\u0431\u0430\u043d\u043a\u0438"], "comments": 16, "likes": 20, "favorites": 3, "is_advertisement": false, "subsite_label": "tech", "id": 202759, "is_wide": true, "is_ugc": false, "date": "Mon, 24 Aug 2020 16:32:13 +0300", "is_special": false }
Создан для будущего Узнайте больше HP Neverstop Laser HP Neverstop Laser
Промо
Делай бэкап, или как мы чуть не потеряли самое ценное, что у нас было
ИТ-специалисты поделились своими историями, а эксперт по облачному резервному копированию их прокомментировал.
Объявление на TJ
0
16 комментариев
Популярные
По порядку
Написать комментарий...
18

"что обнаружить такую уязвимость мог только «кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации" – серьезно? Тут человек тупо заснифал запросы, первое что придет в голову это подменять параметры, вдруг проверок не хватает, что и подтвердилось. Прям хакер уровня "Мухтара".

Ответить
7

Там всё SSL/TLS-ем обмазано, что ты снифать собрался. Кто-то из команды сопровождения системы банка слил

Ответить
6

На адрюше снифается почти все, ставятся свои сертификаты, рут прячется, подменить почти любые значения окружения можно.

Ответить
0

еще один аргумент в пользу иосифа

Ответить
4

Он запустил приложение в отладочном режиме что тоже камень в сторону разрабов

Ответить
0

берем рутованый андроид, ставим frida - вы великолепны!

Ответить
2

Я: пытаюсь понять, что написано в ветке комментариев про киберуязвимости
Комментарии:

Ответить
1

Он ещё и телефоны побрутил

Внутреннему реально куда проще такое провереуть

Ответить
7

Согласно инсайдерской информации обгадился Альфа-Банк

Ответить
0

вот так. не надо было альфа лаб разгонять ☝️

Ответить
0

этих дармоедов разогнали чтоли?

Ответить
0

А инсайдеры не сообщили сумму ? На которую обгадился банк 😌😉🤔

Ответить
0

Нет. Вроде только с одного счёта 90к ушло. А счёт был не один, судя по всему

Ответить
1

Бывает, тесты забыли написать, подумаешь.

Ответить
5

Тут скорей всего как раз кто-то из тестировщиков/програмеров слил уязвимость 

Ответить
0

*воспользовался

Ответить
Обсуждаемое
Новости
В Татарстане застрелили подростка, который бросил коктейль Молотова в отделение полиции и напал с ножом на сотрудника
СК возбудил уголовное дело о покушении на теракт.
Новости
Мужчина с ножом, выкрикивая исламские лозунги, напал на полицейских во французском Авиньоне. Его застрелили
О пострадавших пока не сообщается.
Новости
Фото: Первые магазины сети «жёстких» дискаунтеров «Чижик» от владельца «Пятёрочки»
Покупателям говорят, что они не переплачивают за «раздутый ассортимент» и «назойливую рекламу».
Популярное за три дня
Интернет
Артемий Лебедев раскритиковал работы художника Telegram. На следующем арте канал дизайнера оказался в мусорной корзине
Пасхалку можно увидеть на иллюстрации к последнему обновлению мессенджера (и сразу узнать Лебедева по аватарке).
Дизайн и архитектура
Художник из Далласа украсил дом гиперреалистичными декорациями на Хэллоуин — к нему несколько раз вызывали полицию
Техасец хотел пугать прохожих ночью — ему это удалось с помощью 75 литров искусственной крови и нескольких «трупов».
Интернет
Стремление к упрощению: как вояки вышли из имиджбордов и стали главным феноменом массовой мем-культуры 2020 года
Десять лет мейнстрим сторонился вояков со странной репутацией, но теперь принял их в полную силу — разбираемся, как так вышло.
null