Систему быстрых платежей использовали для кражи средств

Издание «Коммерсант» сообщает, что на прошлой неделе специалисты ФинЦЕРТ разослали в банки бюллетень с описанием новой схемы хищения средств пользователей. Неназванные злоумышленники использовали для этого Систему быстрых платежей (СБП) и уязвимость в одной из банковских систем. По словам участников рынка, это первый случай хищения средств с помощью СБП.

Собственный источник пояснил журналистам, что через уязвимость хакер получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила.

В бюллетене ФинЦЕРТ отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API дистанционного банковского обслуживания (ДБО).

«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена», — комментируют представители Центробанка. При этом название банка не раскрывается, но подчеркивается, что сама СБП надежно защищена.

Интересно, что, по данным издания, уязвимость была настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — сообщил журналистам источник в крупном банке.

Специалисты Grop-IB поясняют, что мошенничество заключалось в том, что в мобильном приложении не проверялось поле отправителя. Злоумышленники от своего имени осуществляли перевод, но вместо своего номера счета, с которого нужно списать средства, подставляли номер счета жертвы (в СБП можно указать номер телефона). В итоге в банк уходило сообщение о переводе с совершено чужого номера телефона на номер мошенника. И банк принимал эту операцию.

«Проблема не в системе быстрых платежей, а в ее реализации в конкретном приложении конкретного банка, — уверен Сергей Никитин, зам руководителя Лаборатории Group-IB. — Мошенникам удалось провернуть эту схему потому, что они внимательно изучили приложение мобильного банкинга и обнаружили, что поле отправителя не обновляется и ее можно подменить. Есть ли у кого-то еще такие уязвимости? Надеюсь, что мошенничество не стало массовым, и такой баг — скорее исключение. К сожалению, в этой схеме пользователи не могут себя обезопасить, а вот банки могут и должны провести независимый аудит своих мобильных приложений и внедрить системы поведенческого анализа, которые защищают мобильный банкинг».

Источник: https://xakep.ru/2020/08/24/sbp-bug/