ЦБ предупредил об атаках мошенников на приложения банков
В конце прошлой недели банки получили предупреждение со стороны ЦБ РФ о схеме, с помощью которой злоумышленники похищали деньги со счетов юридических лиц, используя систему дистанционного банковского обслуживания (ДБО), пишет «Коммерсант».
Отмечается, что делал это авторизованный клиент банка с помощью подмены номера счета отправителя. Банк России признает, что уровень подготовки атак является высоким: понимание технологий ДБО на уровне разработчиков, особенностей обработки платежей банком, а также правил и настроек антифрод-систем.
В документе детально приводится схема инцидента, из которой следует, что атака была направлена на счета юридических лиц, в результате которой никто не пострадал.
Так, злоумышленник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО.
«Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле "Номер счета отправителя" счет жертвы», — говорится в документе.
Также отмечается, что номера счетов жертв аферисты получали из открытых источников.
Банк России рекомендует банкам совместно с поставщиками программного обеспечения проверить сервисы ДБО на уязвимости.
Атака могла произойти из-за «грубейших нарушений принципов проектирования логики приложения», что сделало бесполезными все остальные средства защиты, считает гендиректор SafeTech Дениса Калемберга.
Если уязвимости будут обнаружены в стандартном программном обеспечении, которое поставляется как «коробочное решение», под удар могут попасть клиенты многих российских банков, считает он.
Ранее «Рамблер» сообщал, что мошенники начали обманывать с помощью ипотечных платежей.