Банки получили предупреждение от ЦБ РФ – обнаружена схема, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО). Под угрозой могут оказаться клиенты многих российских банков, если уязвимости обнаружатся в стандартном программном обеспечении, которое поставляется как «коробочное решение», опасаются эксперты. Подробности сообщает “Ъ”.
Как следует из письма регулятора, вход в мобильное приложение банка осуществляется под легальным логином и паролем. Затем злоумышленник переводит приложение в режим отладки, изучает порядок и структуру вызовов API (программный интерфейс приложения) системы ДБО. Зная параметры API-запросов, мошенник формирует распоряжение на перевод денег, указывая в поле «Номер счета отправителя» счет жертвы, который берется из открытых источников.
В Банке России отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем.
В документе ЦБ РФ отмечает, что атака была направлена на счета юридических лиц, но пока никто не пострадал. Регулятор рекомендует банкам провести совместно с поставщиками программного обеспечения дополнительный контроль и соответствующие проверки применяемых систем ДБО.
В случае выявления уязвимостей до момента их устранения производителем, следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ РФ.
Специалисты по информбезопасности отмечают, что описанная схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов. Атака стала возможна в результате «грубейших нарушений принципов проектирования логики приложения», что сделало бесполезными все остальные средства защиты, и если система, в которой обнаружена уязвимость, является «коробочной», то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков, уверены эксперты.