В кредитные организации РФ разослана методичка с указанием на новый способ мошенничества. На этот раз аферисты добрались до системы быстрых платежей. По предположениям работников банковского сервиса, в создании нового алгоритма мог принимать участие один из разработчиков программного обеспечения определенного предприятия. Так в одном из банков через данные системы взаимодействия приложения и функционала транзакций (API) были собраны данные по счетам вкладчиков банка.
Получив их, мошенники запустили на своем устройстве отладку приложения, при этом они прошли авторизацию реального клиента. После этого, пользователи ввели запрос на перевод в другое кредитное заведение. До этого, они поменяли исходное значение счета, с которого должны были снять деньги на один из украденных из базы. Дистанционная система обработки транзакций не стала сверять счет отправителя со своими данными и разрешило перевод активов. Так аферисты пополняли свои счета.
По данным экспертов в СБП это пока единственный прецедент обмана и обхода функционала мошенниками. ЦБ не стал опровергать очевидности произошедшего, однако имя банка, где совершено хищение, не стало озвучиваться. Руководство ЦБ уверило клиентов, что ПО СБП надежно защищено от внешнего неконтролируемого внедрения. За поиск и обнаружения “брешей” банк хорошо платит разработчикам и добровольцам тестирования бета-версий.
По специфике взлома системы, эксперты предположили, что в “деле” участвовал кто-то из хорошо осведомленных людей. Они не исключают, что это мог быть кто-то из сектора IT, имевший доступ к программе в процессе разработки. Не исключается и тот вариант, что дефект функционала был обнаружен случайно в процессе использования приложения.
