Новая новость

##* ##* ##* ##* *## ##* *## ##* ##* *## ##* *## ##* *## ##* ##* *## ##* *## ##* *## ##* *##*##* ##* *## ##* *## ##* *#####* ####### ####### ##* ##### ####### ####### ##* *###* ####### ##***## ##* ##### ####### ##* *## ###** *#####* ###*### ##* *## *#### *##*##* ### ### ##* *## *### ##* *## ##* *## ##* *## ##* *##
Рекламный баннер 980x60px ban1
75.76
89.93
Рекламный баннер 468x60px main1

СИСТЕМА ХИТРЫХ ПЛАТЕЖЕЙ

МОШЕННИКИ НАШЛИ СПОСОБ ВЫВОДИТЬ ДЕНЬГИ ЧЕРЕЗ СИСТЕМУ БЫСТРЫХ ПЛАТЕЖЕЙЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.

Как стало известно редакции, ФинЦЕРТ на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. Как пояснил «Коммерсанту» источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.

По словам участников рынка, это первый случай хищения средств с помощью СБП.

В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).

В ЦБ подтвердили редакции факт инцидента: «Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена». Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы. В НСПК, которая выступает операционным платежным клиринговым центром СБП, также отметили, что в ПО системы уязвимостей не выявлено.

Была обнаружена локальная проблема в программном обеспечении, разработанном для одного конкретного банка».

По словам источника редакции в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал».

Впрочем, ведущий эксперт «Лаборатории Касперского» Сергей Голованов считает случайное обнаружение даже такой уязвимости вполне вероятным:

- Уязвимости могут встретиться в любом ПО, ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов.

По его словам, в «Лаборатории Касперского» периодически отмечают случаи успешных атак на мобильные банки кредитных организаций.

Однако ни в одной из опрошенных редакцией крупных кредитных организаций не подтвердили случаев успешного взлома мобильного банка.

«КоммерсантЪ»

620

Оставить сообщение:

##* *## *#####* *###* *#####* ##* *## *#######* *#####* *#######* ##* *## ###***### *###*###* ###***### ##* *## ##* *## *#### ###* *### ##* *## ##* *## ##* *## *#### ##* *## ##* *## ##* *## ###**#### ***## ##* *## ##* *## ######### *######## *## ##* *## ##* *## ######### *######* *## ###***### ##* *## ********* ###***### *### *## ######### ##* *## ######### ##* *## *##* *## ######### ##* *#### ######### ##* *## *###* ##* *## ##* *## ##* ##### ##* *## *### ###*### ##* *## ####*#### ********* ##* *## ###* *#####* ##* *## *######## ######### ##* *## *## *###* ##* *## *######* #########
Рекламный баннер 468x60px main2
Рекламный баннер 200x250px ban2
Рекламный баннер 200x250px ban3