Новый способ хищения средств через Систему быстрых платежей

Центробанк выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). Он связан с уязвимостью в одной из банковских систем, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя.

Через уязвимость злоумышленник получил данные счетов клиентов. После этого он запустил мобильное приложение в режиме отладки, авторизовался как реальный клиент и отправил запрос на перевод средств в другой банк.

При этом вместо своего счета отправителя средств он указал номер счета другого клиента этого банка. Дистанционное банковское обслуживание не проверило, принадлежит ли указанный счет отправителю, и направила команду в СБП. Так мошенники отправляли себе деньги с чужих счетов.

По словам участников рынка, это первый случай хищения средств с помощью СБП.

Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена. Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы.