Появился новый вид хищения средств со счетов клиентов

Узнав данные счетов клиента банка, мошенники идентифицируются как их реальные собственники. Далее появляется возможность перевести деньги со счетов жертв на счет мошенника. Об этом сообщило подразделение ЦБ ФинЦЕРТ, в функционал которого входит мониторинг и реагирование на компьютерные атаки в банковской сфере.

Система быстрых платежей стала лазейкой для действий злоумышленников. С помощью метода подбора мошенники получают информацию о счетах клиентов банков. Далее, используя мобильное приложение, авторизуются как действительные собственники счетов. В этой схеме мобильное приложение работает в режиме отладки. Далее деньги переводятся со счета жертвы. Система быстрых платежей не проверяет, кому принадлежит счет списания. Таким образом деньги попадают на счет мошенника. Зафиксирован пока первый инцидент хищения денежных средств с использованием такой схемы.

Отмечается, что данные о счетах потенциальных жертв злоумышленники заполучили с помощью метода перебора.

В ЦБ пояснили, что возникшая проблема имела краткосрочный характер. Брешь в мобильном приложении, а также в системах дистанционного обслуживания одного из кредитных учреждений оперативно ликвидировали. В каком банке случился данный инцидент – не сообщается.

В операционном клиринговом центре Системы быстрых платежей подтвердили, что инцидент имел локальный характер, непосредственно в программном обеспечении проблем не имеется.

Отмечается, что информацией об уязвимости мобильного приложения в кредитном учреждении мог обладать либо разработчик приложения, либо сотрудник банка.

Сергей Голованов, эксперт Лаборатории Касперского рассказал, что подобные бреши в приложениях в основном обнаруживаются после поступления жалоб от клиентов.

В июне прошлого года в ЦБ сообщалось, что в Системе быстрых платежей действует специальный алгоритм. Он не позволяет выяснить данные клиента, используя метод перебора. Однако, в ноябре того же года Центробанк предупредил кредитные организации о возможности использования метода перебора в Системе быстрых платежей. Мошенники таким образом могут узнать первые буквы фамилии, имени и отчества клиента банка, а также, в каком кредитном учреждении действует его счет.

Предполагается, что обладая подобной информацией, злоумышленники могут позвонить клиенту банка и вынудить его сообщить недостающие данные для перевода денежных средств.

Оставить комментарий