«Ъ»: злоумышленники нашли способ хищения денег через Систему быстрых платежей

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Центробанка РФ разослал в банки бюллетень с описанием новой схемы хищения средств, которая использует Систему быстрых платежей (СБП). Об этом узнал «Коммерсантъ».

Уязвимость присутствовала в мобильном приложении одного из банков, название которого не раскрывается. Злоумышленник через брешь в системе дистанционного обслуживания получил данные счетов клиентов этой кредитной организации, запустил приложение в режиме отладки и отправил запрос на перевод средств в другой банк, подменив номер счёта отправителя на номер счёта одного из пользователей банка.

Система банка не проверила, принадлежит ли этот счёт инициатору перевода, и направила запрос на отправку средств в СБП, который она и выполнила.

Центробанк отмечает, что злоумышленник использовал недокументированную возможность API конкретного банка: программное обеспечение СБП «надёжно защищено». На данный момент уязвимость в ПО кредитной организации устранена.

Система быстрых платежей, развиваемая Центробанком России, предполагает возможность перевода средств между физическими лицами по номеру телефона или через QR-код. К ней подключены свыше 90 банков.