Центральный банк выявил ещё один способ хищения средств со счетов клиентов банков. Мошенники нашли уязвимость в Системе быстрых платежей, благодаря чему смогли получить данные счетов россиян и доступ к их сбережениям.
Как пишет «Коммерсант», мошенники смогли подменять счета отправителя благодаря открытому API-интерфейсу. Как отмечают эксперты, это первый случай использования СБП в схеме успешной хакерской атаки на банк.
Злоумышленники смогли воспользоваться ошибкой и, авторизовавшись как реальные клиенты, отправили запрос на перевод средств в другой банк. При этом вместо своего счёта для списания они указали номер одного из клиентов банка. Система списала деньги и перевела их мошенникам.
Как считают эксперты, об уязвимости в системе мог знать только кто-то хорошо знакомый с архитектурой приложения этого банка: сотрудник или разработчик приложения. Данная проблема была обнаружена в мобильном приложении только в одной кредитной организации, отметили в ЦБ. Специалисты уже устранили её.
Ранее NEWS.ru писал, что новая технология определения фактов мошенничества внедрена в Сбербанке. Она работает на основании определения связи между IP-адресом и географической позицией участников транзакции. Система формирует кластеры с геопозицией устройства, с которого осуществляется транзакция, и территориальной принадлежностью назначенных устройству IP-адресов. Проверяется «добросовестность» связки данных.
Испытания этой технологии проходят в головном офисе Сбербанка и в московском офисе на Кутузовском проспекте, 32. В течение года специалисты кредитного учреждения используют эту разработку для противодействия мошенникам.