ЦБ выявил первый случай хищения денег с помощью Системы быстрых платежей

Используя уязвимость в приложении мобильного банка, злоумышленники подменяли счета и присваивали себе деньги. Возможно ли обезопасить себя от такого вида мошенничества?

ЦБ выявил способ хищения денег со счетов клиентов с помощью Системы быстрых платежей (СПБ), пишет «Коммерсантъ». Отмечается, что это первый случай использования СПБ в успешной схеме хакерской атаки.

Мошенники через уязвимость банковской системы получили данные счетов клиентов. Затем они запустили мобильное приложение одного из банков в режиме отладки, авторизовавшись как реальный клиент, отправили запрос на перевод денег, но вместо своего счета, с которого должны списываться средства, указали счет другого клиента этого банка.

Система при этом не запросила никаких паролей или данных, подтверждающих принадлежность счета, и списала деньги у другого человека, переведя их мошеннику. Локальная проблема была обнаружена в программном обеспечении, разработанном для одного конкретного банка. Названия организации в ЦБ не раскрыли.

Как используется такая схема и возможно ли обезопасить себя? Комментирует ведущий эксперт «Лаборатории Касперского» Сергей Голованов.

Сергей Голованов ведущий эксперт «Лаборатории Касперского» «Система быстрых платежей была просто посредником при передаче денег. Настоящая уязвимость находилась внутри приложения, которое банк раздавал для своих клиентов. Злоумышленник установил приложение какого-то банка, он нашел в нем брешь, где для перевода денег не надо вводить никакие пароли. Внутри приложения есть уязвимость, которая позволяет переводить деньги без проверки того, кто сейчас работает с приложением, с какого счета нужно списать деньги, с какой карты. Такие инциденты бывают, это нормально. Банки знают о рисках, когда производят программное обеспечение и раздают его своим клиентам. Инцидент локальный, только у одного банка. Как себя обезопасить? Здесь, к сожалению, человек ничего не может сделать. Алгоритм действий здесь точно такой же, как при хищении любым другим способом. Если вы обнаружили, что у вас недостаток средств на счете, вы звоните в банк и говорите о том, что деньги были списаны несанкционированно. После этого производится блокировка, и начинается расследование пропажи. Обычно правило не хранить все яйца в одной корзине работает и совершенно спокойно применяется в повседневной жизни».

Ранее СМИ сообщали о том, что злоумышленники научились красть деньги с банковских счетов россиян через QR-код. Листовки с опасными QR-кодами распространяются на улицах и в заведениях общепита. При сканировании кода со счета снимается часть средств или все деньги.