Rambler's Top100
 
Все новости Новости отрасли

Хакеры вскрыли корпоративные мобильные приложения банков

15 февраля 2021

В конце прошлой недели Центральный банк РФ разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО). Делал это авторизованный клиент банка путем подмены номера счета отправителя.

Как сообщает "КоммерсантЪ" , в ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем.

В документе, на который ссылется издание, подробно описывается схема инцидента, из которой следует, что атака была направлена на счета юрлиц, но никто не пострадал.

Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО. «Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле "Номер счета отправителя" счет жертвы»,— поясняется в документе. Номера счетов жертв мошенники узнавали из открытых источников.

В Банке России отмечают участившиеся атаки на системы ДБО банков и в первую очередь на мобильные приложения. «Ввиду высокой вероятности повторения попыток реализации злоумышленниками таких сценариев атак мы ожидаем, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО»,— говорится в документе.

Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости.

В случае их выявления до момента устранения производителем следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ.

Летом прошлого года регулятор описывал схожее мошенничество с подменой данных отправителя, но речь шла об атаке на счета физлиц, и вывод средств осуществлялся через СБП — систему быстрых платежей. В нынешнем случае потери могут быть гораздо серьезнее, поскольку лимиты на перевод средств юрлиц существенно выше, чем на переводы в СБП, да и суммы, находящиеся на счетах юрлиц, как правило, намного больше.

Глава службы информационной безопасности ГК «Элекснет» Иван Шубин подтверждает, что описанная в бюллетене схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов, и в этом ее новизна. «Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой трансакции проводилась сверка расчетного счета клиента с его учетной записью»,— поясняет эксперт.

По словам гендиректора SafeTech Дениса Калемберга, атака стала возможна в результате «грубейших нарушений принципов проектирования логики приложения», что сделало бесполезными все остальные средства защиты.

«Если эта система, в которой обнаружена уязвимость, является "коробочной", то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков»,— уверен он.

Консультант по интернет-безопасности компании Cisco Алексей Лукацкий добавляет, что безопасность API, с помощью которых взаимодействуют между собой приложения, особенно в условиях взрывного развития финтеха в России — одна из насущных задач, «которой, к сожалению, пока мало уделяют внимание в банковском сообществе». А вот злоумышленники, подчеркивает эксперт, явно «поняли всю перспективность атак на API и будут только наращивать свои возможности».

Источник: КоммерсантЪ

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.