ЦБ предупредил о распространении краж через банковское приложение

ЦБ РФ предупредил банки о новой схеме кражи денег со счетов компаний, которая применялась для хищений со счетов физлиц, поясняется в письме ЦБ для банков. По такой схеме летом 2020 года началось воровство сбережений россиян – через хакерскую атаку на мобильное приложение системы быстрых платежей.

Мошенник регистрируется и заходит легально в мобильное приложение банка, затем переводит приложение в режим отладки, изучает параметры вызовов API (программный интерфейс приложения). Затем мошенники находили номера счетов жертв из открытых источников, создают "распоряжение на перевод денежных средств, указывая в поле "Номер счета отправителя" счет жертвы", — цитирует письмо "Коммерсант".

Регулятор рекомендовал банкам проверить системы дистанционного банковского обслуживания. Летом 2020 года мошенники впервые нашли способ кражи со счетов через Систему быстрых платежей методом перебора через уязвимость недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО). Мошенник авторизовался в СБП как реальный клиент, запускал мобильное приложение в режиме отладки и отправлял запросы на перевод средств в другой банк.