Мошенники начали похищать деньги через Систему быстрых платежей

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). В мобильном банке одной из кредитных организаций была найдена уязвимость. Через нее мошенники могли подменять счета отправителя и перечислять деньги через СБП. Бороться с такими проблемами можно только путем тщательного тестирования банковских интернет-приложений, полагают эксперты.
Фото Мошенники начали похищать деньги через Систему быстрых платежей
РИА Новости/Владимир Трефилов
Facebook
ВКонтакте
share_fav

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП), пишет «Коммерсант». Как это устроено и что делать?

Как это работает?

Все начинается с кражи банковской информации. Злоумышленник через уязвимость в одной из банковских систем получает данные счета клиента. Затем он запускает приложение мобильного банка в режиме отладки, авторизовавшись как реальный клиент, и отправляет запрос на перевод средств в другой банк через СБП. Но перед совершением перевода вместо своего личного счета указывает полученный ранее номер счета другого клиента этого же банка.

Программа, не проверив, принадлежит ли указанный счет отправителю, направляет в СБП команду на перевод средств, который затем осуществляется. Так мошенники отправляли себе деньги с чужих счетов.

Что такое Система быстрых платежей?

Система быстрых платежей начала полноценно работать в конце февраля 2019 году. С ее помощью клиенты банков могут переводить деньги друг другу, зная лишь номер мобильного телефона получателя. Вводить реквизиты карты, куда перечисляются деньги, при этом не нужно. Система сама определяет, какая карта привязана к номеру телефона. Если такой связки нет - деньги перевести нельзя. Переводимые средства зачисляются на счет практически мгновенно.

СБП отличается от простых переводов с карты на карту, которые банки осуществляли и до этого. Главное - это скорость перевода и цена вопроса. Деньги между банками перемещаются мгновенно, а комиссия за перевод не более 100 тысяч рублей в месяц в настоящий момент не взимается.

После того, как к системе весной 2020 года присоединился «Сбербанк», объем переводов через нее резко вырос. По итогам июля он составил около 50 млрд рублей. При этом случаев хищения денег через СБП ранее не фиксировалось.

В чем проблема?

Вот и в данном случае выяснилось, что дело в не в самой СБП. Проблема была выявлена в программном обеспечении одного банка и носила локальный и краткосрочный характер, подчеркнули в ЦБ. Названия банка в Центробанке не раскрыли, но подчеркнули, что сама СБП надежно защищена. И уязвимость не касалась программного обеспечения системы.

При этом сама «дыра» в мобильном банке была настолько специфической, что обнаружить ее случайно было практически невозможно, отмечают специалисты. Вполне возможно, что о ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. Это либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал

Что делать?

Не стоит забывать,что мобильный банк, которым миллионы людей привыкли пользоваться со смартфона или планшета - это всего лишь программа, код, написанный на определенном языке программирования. А уязвимости могут встретиться в любом программном обеспечении (ПО).

Ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. И обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов.

Однако на рынке хорошо известным мошеннические операции с участием людей, сотрудничавших с разработчиками или тестировщиками ПО. Для того чтобы избежать таких проблем, банки проводят многочисленные и сложные тестировании своих интернет-продуктов до того, как они попадут к клиенту. Иногда за очень большие деньги нанимают сторонних тестировщиков, даже хакеров, которые стараются выявить «дыры» в ПО.

Бороться с такими проблемами банковским клиентам бесполезно - они просто не знают об их существовании. Остается только надеяться, что банк при разработке своих программ принял все меры предосторожности. И его мобильное приложение будет взаимодействовать с той же СБП без проблем.

Хочешь понять, что происходит на самом деле?

Читай Телеграм канал и Яндекс. Дзен канал «Ясно Понятно».

Просто и доходчиво - о самых важных новостях в обществе, политике и экономике.

Без лишних слов расскажем о том, кто виноват и что делать.