«Коммерсантъ» узнал о новом виде мошенничества с использованием СБП

Мошенники нашли новый способ выводить деньги со счетов клиентов банков, используя Систему быстрых платежей (СБП), сообщает «Коммерсантъ» со ссылкой на отчет подразделения ЦБ ФинЦЕРТ – Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ.

Так: злоумышленники через лазейку в ПО одного из банков смогли получить данные его клиентов. После этого они, авторизовавшись как реальный клиент, запустили мобильное приложение банка в режиме отладки и отправили запрос на перевод денег в другой банк. Система дистанционного банковского обслуживания (ДБО) не проверила, принадлежит ли указанный счет отправителю, и направила команду СБП, которая перевела деньги на счет мошенников.

В ЦБ подтвердили инцидент и заверили, что лазейка в ПО одного из банков была оперативно устранена. В самой СБП уязвимостей не было найдено. Регулятор заверил, что оповестил банки о случае хищения по такой схеме.

По словам источника газеты в банке, где произошел инцидент, о наличии лазейки мошенникам рассказал кто-то из персонала кредитной организации или разработчиков ПО, так как извне о ней узнать было невозможно. Опрошенные изданием эксперты отметили, что это первый случай мошенничества с использованием СБП. ФинЦЕРТ также отмечал, что мошенники получили номера счетов клиентов банков, используя метод перебора.

В ноябре 2019 г. ЦБ предупредил банки об атаках через СБП. В письме ЦБ называет атаками сбор информации о клиентах банков. Зная идентификатор клиента в СБП, номер его мобильного телефона, можно получить дополнительную информацию о человеке. Например, имя, отчество и первую букву фамилии, а также названия банков, где у него открыты счета. Такие запросы могут быть массовыми, ЦБ назвала их «переборами идентификаторов клиентов».