Что за способ кражи денег через систему быстрых платежей появился в РФ?
В России появилось новое мошенничество: на этот раз аферисты «вскрыли» Систему быстрых платежей. Как пишет «Коммерсантъ» со ссылкой на документы подразделения Центробанка РФ ФинЦЕРТ, злоумышленники обнаружили уязвимость в системе одного из банков-участников СБП и получили доступ к персональным данным клиентов финансовой организации. Затем мошенники в режиме отладки запустили мобильное приложение банка (от лица клиента кредитного учреждения), где выбрали услугу перевода денег. Вместо своего счета, с которого должны списаться средства, аферисты указали счет другого клиента банка. Поскольку систему не проверяет принадлежность счета, она списывает деньги у другого лица и переводит их мошенникам. Номера счетов своих жертв, с которых списывались средства, злоумышленники подбирали вручную.
По данным Центробанка, брешь в системе безопасности была обнаружена у одной финансовой организации-участницы СБП (что это за организация, не уточняется) и она была быстро устранена. Как полагает источник издания в крупном банке, об уязвимости онлайн-банка мог знать только тот, кто знаком с его архитектурой: «То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — рассуждает собеседник «Ъ».
Летом прошлого года первый заместитель директора департамента информационной безопасности ЦБР Артем Сычев рассказывал, что в Системе быстрых переводов предусмотрен алгоритм, исключающий возможность получения информации о клиенте посредством перебора номеров.
А уже осенью Банк России предупредил финансовые учреждения о возможном использовании злоумышленниками метода перебора идентификаторов в СБП: так можно узнать имя и отчество клиента, первую букву его фамилии, а также банки, в которых у него есть счета.
