facebook_pixel
  • 24 августа 2020, 18:05

    Новый тип банковского мошенничества появился в России. Злоумышленникам могут «помогать» разработчики приложений

    В России появился новый вид банковского мошенничества — злоумышленники используют систему быстрых платежей, чтобы украсть ваши деньги. В Центробанке заявили, что инцидент произошел только в одном банке, а сейчас уязвимость уже устранена. «360» узнал, как это работает и можно ли обезопасить себя самостоятельно.

    Новый тип банковского мошенничества появился в России. Злоумышленникам могут «помогать» разработчики приложений

    Банковские мошенники нашли новый способ кражи средств со счетов россиян. Из-за бреши в системе одного из банков злоумышленники получили информацию о счетах клиентов. С этими данными через мобильное приложение они могли регистрироваться как реальные пользователи и переводить деньги со счета на счет.

    Суть мошенничества заключается в том, что при переводе денежных средств вместо своего счета списания мошенники вводили номер счета жертв. Из-за ошибки в мобильном приложении система быстрых платежей не проверяла, принадлежит ли номер списания пользователю, который проводит операцию, а мгновенно выполняла команду.

    Режим отладки

    О том, что одна из банковских систем оказалась не такой надежной, как должна была, сообщил бюллетень подразделения Банка России ФинЦЕРТ. Сначала неисправность списывали на ошибку в системе бесконтактных платежей, однако позже выяснилось, что проблема оказалась в мобильном приложении одного из банков.

    Руководитель научно-технической экспертизы Партии прямой демократии Олег Артамонов подтвердил, что такая схема мошенничества стала возможна не из-за уязвимости системы бесконтактных платежей как таковой.

    «Это брешь, допущенная разработчиками конкретного приложения конкретного банка, благодаря которой злоумышленники могли переводить деньги с чужого счета, подставив его номер вместо собственного в приложении», — объяснил он.

    Такую подстановку, по словам технического директора компании JetLend Евгения Ускова, помог осуществить так называемый режим отладки, когда приложение управляется не пользователем, а программой-сценарием.

    «Этот сценарий выполняет некоторые действия, в данном случае вредоносные. Пример сценария: «зайти в приложение, нажать кнопку перевести, ввести номер карты, нажать на кнопку отправить», — рассказал он.

    Именно таким способом, вероятнее всего, мошенники и похищали деньги с чужих карт. При этом Артамонов добавил, что в этой ситуации банк не проверял, кому принадлежит номер счета в запросе, а просто выполнял команду.

    В Центробанке заявили, что проблему уже устранили, но называть банк, который допустил инцидент, отказались. При этом «Коммерсант» выяснил, что это первый случай хищения средств со счетов россиян с помощью системы быстрых переводов.

    Ошибка разработчиков или злой умысел?

    Олег Артамонов уверен, что за ошибку, которая позволила мошенникам выводить с чужих счетов деньги, отвечают разработчики программного обеспечения банка.

    «С тем же успехом можно представить, что и обычные переводы на счета в других банках могли точно так же не проверяться», — заявил он.

    Источник «Коммерсанта» в банке заявил, что об уязвимости системы мог знать «либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал».

    В пресс-службе Сбербанка «360» рассказали о том, что подобные «ошибки» в программах дистанционного банковского обслуживания не редки, они типичны для различных web-сервисов и для программных интерфейсов приложений (API).

    «Описанная разновидность уязвимости является логическим дефектом процесса обработки запросов к API и отличается тем, что ее трудно выявить автоматизированными тестами, но легко выявить при ручном тестировании как на стендах, так и рядовым пользователем при эксплуатации в промышленной среде», — заявили в пресс-службе.

    Именно поэтому в версию с «инсайдером», который якобы помог мошенникам получить доступ к пользовательским данным, многие не верят. Сам же Сбербанк подобное программное обеспечение не использует, а его собственные автоматизированные системы регулярно проводят как внешние, так и внутренние проверки.

    Номера счетов, с которых злоумышленники списывали средства, они получили методом перебора, утверждает бюллетень ФинЦЕРТ. Евгений Усков подтвердил, что это возможно, так как большинство цифр в номере счета фиксированные — из 20 подобрать нужно было только семь последних.