Брешь в СПБ. Уязвимость в системе или сговор в банке?

Брешь в СПБ. Уязвимость в системе или сговор в банке?

Мошенники освоили еще один из "четыреста сравнительно честных способов отъема денег".


Они научились красть деньги через систему быстрых платежей (СПБ). Впрочем, такие уязвимости находили и раньше, но они были детским лепетом по сравнению с этой дырой в системе быстрых платежей, рассказал в интервью радио Sputnik президент консорциума Инфорус, эксперт в области информационной безопасности Андрей Масалович.

"В банке при подключении системы мобильных приложений для переводов по СПБ оставили уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. То есть, люди, которые были знакомы с этой системой, подключили мобильные приложения, вошли в режим отладки в СПБ.

Для этого они предварительно узнали номера счетов в этом банке, зарегистрировались как реальный клиент и от его имени отправили платеж в другой банк, но в качестве счета списания указали чужой счет в этом банке. Благо, они уже посмотрели, сколько денег лежит на этом счету, который в итоге остался пустым", - пояснил эксперт.

Вопрос в том, почему система дистанционного банковского обслуживания (ДБО) не проверила, принадлежит ли указанный счет отправителю, и направила в СБП команду на перевод средств. Другими словами, банк не стал разбираться в том, почему клиент с логином вместо своего счета отправил деньги с чужого, и они ушли. Эксперты полагают, что специфическую уязвимость нельзя было обнаружить случайно.

Для того, чтобы такой уязвимостью воспользоваться, нужно быть, по меньшей мере, грамотным разработчиком подобных систем, либо непосредственно устанавливать ее в банке.

Источник: https://radiosputnik.ria.ru/

Другие материалы раздела
Первая полоса