Центробанк определил новый мошеннический способ хищения средств со счетов клиентов в банке. Для этого злоумышленники воспользовались Системой быстрых платежей (СБП), передает информационно-новостной портал EVO-RUS.COM.
В одном из кредитных учреждений выявлен факт переводов по СБП через уязвимость, связанную с открытым API-интерфейсом. Мошенникам удалось подменять счета отправителя, что стало первым зафиксированным случаем хакерской атаки путем СБП.
Злоумышленник через уязвимость получил данные счетов клиентов. После запуска мобильного приложения в режиме отладки он авторизовался как реальный клиент и отправил запрос на перевод денег в другой банк.
Перед совершением перевода он вместо своего счета отправителя указал счет другого клиента этого банка. В СБП без проверки поступила команда на перевод средств.
Таким способом мошенники отправляли себе средства с чужих счетов.
