Выявлен первый случай хищения средств через СБП
Специалисты подразделения Банка России ФинЦЕРТ выявили способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). Об этом сообщает “Ъ” со ссылкой на бюллетень ЦБ РФ, разосланный на минувшей неделе в коммерческие банки.
По сообщению источника, мошенники получили доступ к клиентским счетам одной из кредитных организаций, поскольку при установке в мобильном банке этой организации системы переводов по СБП «была оставлена уязвимость, связанная с открытым API-интерфейсом».
Через эту уязвимость мошенники получили данные счетов клиентов. Далее они запустили мобильное приложение в режиме отладки и, авторизовавшись как реальный клиент, отправили запрос на перевод средств в другой банк. Но перед совершением перевода вместо своего счета отправителя средств указали номер счета другого клиента этого банка, а СБП выполнила команду на перевод средств без дополнительной проверки.
Участники рынка отметили, что это первый случай хищения денег с помощью СБП.
В ЦБ РФ подтвердили факт инцидента, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы. Проблема была обнаружена в мобильном приложении и системах дистанционного обслуживания одного банка и была оперативно устранена, добавили в Банке России.