ЦБ выявил способ хищения денег через Систему быстрых платежей

Выявлена первая мошенническая схема, для которой применяются возможности Системы быстрых платежей (СБП). Как пишет издание «Коммерсант» со ссылкой на информацию Центрального банка РФ, граждане рискуют лишиться средств на своих счетах.

Представители регулятора на прошедшей неделе выяснили, что угроза исходит от мобильного приложения СБП. В нём была обнаружена уязвимость, имеющая связь с открытым API-интерфейсом. С её помощью мошенники получали доступ к счету клиента банка. Авторизовавшись в качестве реального владельца, они подтверждали запрос на перевод средств в другую кредитную организацию. При этом СБП выполняла данную команду, не запрашивая дополнительных проверок.

Название банка, в котором произошёл инцидент, ЦБ не разглашает. По словам участников рынка, ранее с помощью СБП хищение денег со счетов не производилось. Причём уязвимость носит столь специфический характер, что обнаружить её случайно было бы просто невозможно. В то же время, некто знакомый с особенностями архитектуры мобильного банка в конкретной кредитной организации мог бы о ней знать. Отмечается, что это могут быть непосредственно сотрудники внутри компании, либо разработчики, создававшие и тестировавшие приложение.

Как правило, подобные уязвимости удаётся обнаружить в ходе расследования по обращениям клиентов банков. В ЦБ отмечают, что программное обеспечение СБП не затронуто. Также подчёркивается, что каждый банк обладает многоуровневыми системами тестирования, которые могут выявить любой риск для безопасности.

Кроме того, на прошлой неделе ЦБ уже разослал по коммерческим кредитным организациям бюллетень, в котором описана новая схема мошенничества.