Мошенники нашли способ выводить деньги через СБП.
ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.
Как стало известно «Ъ», ФинЦЕРТ на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. Как пояснил «Ъ» источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка.
ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.
По словам участников рынка, это первый случай хищения средств с помощью СБП.
В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).
В ЦБ «Ъ» подтвердили факт инцидента: «Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена». Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы. В НСПК, которая выступает операционным платежным клиринговым центром СБП, также отметили, что в ПО системы уязвимостей не выявлено:
Была обнаружена локальная проблема в программном обеспечении, разработанном для одного конкретного банка.
По словам источника «Ъ» в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал».
источник »
Электронный способ подачи документов в российские вузы, во-первых, позволяет экономить время и деньги, которые абитуриенты могли бы потратить на дорогу, а во-вторых, актуален в сложившейся эпидемиологической обстановке в стране, так как позволяет избежать физического контакта с другими людьми.
Пользователи мобильного приложения ВТБ-Онлайн получили возможность оформить брокерский счет и индивидуальный инвестиционный счет с телефона или планшета. Счет открывается бесплатно. Клиент подписывает все документы дистанционно в мобильном приложении ВТБ-Онлайн, дополнительного посещения офиса не требуется.
Кто из нас не убеждался в том, что складывая наличные дома в коробочку или даже сейф, серьезной суммы не накопишь? Даже несмотря на то, экономический кризис на рынке или стабильная ситуация, деньги в "кубышке" быстрее обесцениваются, чем накапливаются.
