В России появил­ся новый вид бан­ков­ско­го мошен­ни­че­ства — зло­умыш­лен­ни­ки исполь­зу­ют систе­му быст­рых пла­те­жей, что­бы украсть ваши день­ги. В Центробанке заяви­ли, что инци­дент про­изо­шел толь­ко в одном бан­ке, а сей­час уяз­ви­мость уже устра­не­на. «360» узнал, как это рабо­та­ет и мож­но ли обез­опа­сить себя самостоятельно.

Банковские мошен­ни­ки нашли новый спо­соб кра­жи средств со сче­тов рос­си­ян. Из-за бре­ши в систе­ме одно­го из бан­ков зло­умыш­лен­ни­ки полу­чи­ли инфор­ма­цию о сче­тах кли­ен­тов. С эти­ми дан­ны­ми через мобиль­ное при­ло­же­ние они мог­ли реги­стри­ро­вать­ся как реаль­ные поль­зо­ва­те­ли и пере­во­дить день­ги со сче­та на счет.

Суть мошен­ни­че­ства заклю­ча­ет­ся в том, что при пере­во­де денеж­ных средств вме­сто сво­е­го сче­та спи­са­ния мошен­ни­ки вво­ди­ли номер сче­та жертв. Из-за ошиб­ки в мобиль­ном при­ло­же­нии систе­ма быст­рых пла­те­жей не про­ве­ря­ла, при­над­ле­жит ли номер спи­са­ния поль­зо­ва­те­лю, кото­рый про­во­дит опе­ра­цию, а мгно­вен­но выпол­ня­ла команду.

Режим отладки

О том, что одна из бан­ков­ских систем ока­за­лась не такой надеж­ной, как долж­на была, сооб­щил бюл­ле­тень под­раз­де­ле­ния Банка России ФинЦЕРТ. Сначала неис­прав­ность спи­сы­ва­ли на ошиб­ку в систе­ме бес­кон­такт­ных пла­те­жей, одна­ко поз­же выяс­ни­лось, что про­бле­ма ока­за­лась в мобиль­ном при­ло­же­нии одно­го из банков.

Руководитель научно-технической экс­пер­ти­зы Партии пря­мой демо­кра­тии Олег Артамонов под­твер­дил, что такая схе­ма мошен­ни­че­ства ста­ла воз­мож­на не из-за уяз­ви­мо­сти систе­мы бес­кон­такт­ных пла­те­жей как таковой:

Описанная схе­ма не явля­ет­ся уяз­ви­мо­стью СБП как тако­вой – это брешь, допу­щен­ная раз­ра­бот­чи­ка­ми кон­крет­но­го при­ло­же­ния кон­крет­но­го бан­ка, бла­го­да­ря кото­рой зло­умыш­лен­ни­ки мог­ли пере­во­дить день­ги с чужо­го счё­та, под­ста­вив его номер вме­сто соб­ствен­но­го в при­ло­же­нии (для это­го и был нужен «режим отлад­ки» – что­бы менять зна­че­ния внут­ри бан­ков­ско­го при­ло­же­ния в ходе его рабо­ты). По сути, банк про­сто не про­ве­рял, что полу­чен­ный им в запро­се на пере­вод номер счё­та дей­стви­тель­но при­над­ле­жит поль­зо­ва­те­лю, от име­ни кото­ро­го этот запрос пришёл.

Со сто­ро­ны раз­ра­бот­чи­ков про­грамм­но­го обес­пе­че­ния бан­ка – очень глу­пая ошиб­ка, к экс­плу­а­та­ции кото­рой СБП име­ет лишь кос­вен­ное отно­ше­ние; с тем же успе­хом мож­но пред­ста­вить, что и обыч­ные пере­во­ды на сче­та юрлиц или физ­лиц в дру­гих бан­ках мог­ли точ­но так же не про­ве­рять­ся. Хотя в таких слу­ча­ях при­ня­то гово­рить «людям свой­ствен­но оши­бать­ся, и про­грам­ми­сты – не исклю­че­ние», дан­но­му бан­ку я бы всё же реко­мен­до­вал вни­ма­тель­но при­смот­реть­ся к при­ня­тым у него про­це­ду­рам раз­ра­бот­ки инфор­ма­ци­он­ных систем, уж боль­но «дет­ская» вскры­лась ошибка.

[…]

Читать далее

360tv.ru