Мошенники нашли способ выводить деньги через Систему быстрых платежей (СБП). Подробности первого случая на рынке сообщает «Коммерсантъ».
О проблеме стало известно из бюллетеня подразделения Банка России ФинЦЕРТ. Как сообщает издание, при установке в мобильном приложении по переводу по СБП одного из банков специалисты обнаружили уязвимость, связанную открытым API-интерфейсом. Ей и воспользовались мошенники для подмены счета отправителя.
Схема заключалась в следующем: требовалось раздобыть номер счета методом перебора, запустить мобильное приложение в режиме отладки, авторизоваться как реальный клиент, отправить запрос на перевод средств в другой банк и подменить в запросе счет отправителя. В итоге кредитная организация, не проверяя, направила в СБП команду на перевод средств.
В ЦБ уязвимость подтвердили, отметив, что проблему удалось оперативно устранить, при этом сама СБП и используемое ПО надежно защищены. Наименование банка регулятор не раскрыл.
По мнению ряда экспертов, обнаружить проблему могли только специалисты, имеющие определенный доступ к ПО банка. В то же время не исключается и сценарий, при котором уязвимость обнаружили случайно.
Напомним, Систему быстрых платежей запустили в России в 2019 году.
