Rambler's Top100
Реклама
 
Все новости Новости отрасли

Хакеры вскрыли корпоративные мобильные приложения банков

15 февраля 2021

В конце прошлой недели Центральный банк РФ разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО). Делал это авторизованный клиент банка путем подмены номера счета отправителя.

Как сообщает "КоммерсантЪ" , в ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем.

В документе, на который ссылется издание, подробно описывается схема инцидента, из которой следует, что атака была направлена на счета юрлиц, но никто не пострадал.

Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО. «Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле "Номер счета отправителя" счет жертвы»,— поясняется в документе. Номера счетов жертв мошенники узнавали из открытых источников.

В Банке России отмечают участившиеся атаки на системы ДБО банков и в первую очередь на мобильные приложения. «Ввиду высокой вероятности повторения попыток реализации злоумышленниками таких сценариев атак мы ожидаем, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО»,— говорится в документе.

Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости.

В случае их выявления до момента устранения производителем следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ.

Летом прошлого года регулятор описывал схожее мошенничество с подменой данных отправителя, но речь шла об атаке на счета физлиц, и вывод средств осуществлялся через СБП — систему быстрых платежей. В нынешнем случае потери могут быть гораздо серьезнее, поскольку лимиты на перевод средств юрлиц существенно выше, чем на переводы в СБП, да и суммы, находящиеся на счетах юрлиц, как правило, намного больше.

Глава службы информационной безопасности ГК «Элекснет» Иван Шубин подтверждает, что описанная в бюллетене схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов, и в этом ее новизна. «Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой трансакции проводилась сверка расчетного счета клиента с его учетной записью»,— поясняет эксперт.

По словам гендиректора SafeTech Дениса Калемберга, атака стала возможна в результате «грубейших нарушений принципов проектирования логики приложения», что сделало бесполезными все остальные средства защиты.

«Если эта система, в которой обнаружена уязвимость, является "коробочной", то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков»,— уверен он.

Консультант по интернет-безопасности компании Cisco Алексей Лукацкий добавляет, что безопасность API, с помощью которых взаимодействуют между собой приложения, особенно в условиях взрывного развития финтеха в России — одна из насущных задач, «которой, к сожалению, пока мало уделяют внимание в банковском сообществе». А вот злоумышленники, подчеркивает эксперт, явно «поняли всю перспективность атак на API и будут только наращивать свои возможности».

Источник: КоммерсантЪ

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

В 2023 году более 40% публикаций об инвестициях в криптовалюты были мошенническими

«Лаборатория Касперского» и билайн объединяют усилия в борьбе с мошенничеством

Банки предотвратили мошеннические операции почти на 1,7 трлн рублей

После введения блокирующих санкций против СПб Биржи выросло число фишинговых площадок для инвесторов

Мошенники стали звонить через приложения для объявлений

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.