Центробанк обнаружил еще один метод хищения финансов с клиентских счетов при помощи СБП. Во время установки функции переводов по СБП в онлайн-банке одного из кредитных учреждений была допущена уязвимость, которая связана с незакодированным API-интерфейсом. Именно эта уязвимость позволила злоумышленникам совершать подмену счета того, кто отправляет средства. Как говорят эксперты, это 1-е применение СБП в хакерской схеме удачной атаки, совершенной на банк.
Материал об этом был опубликован вчера на сайте ГардИнфо.
Из информации, полученной «Ъ», следует, что неделю тому в банки ФинЦЕРТом были отправлены бюллетени с детальной информацией нового типа хищения средств. Из пояснений достоверного источника издания следует, что, используя уязвимость, которая есть в одной из систем, мошенник смог достать данные по клиентским счетам. После этого им в режиме отладки было запущено специальное мобильное банковское приложение. Он прошел авторизацию в качестве обычного клиента и сделал запрос на отправку денежного перевода в другой банк. В графе номера счета получателя он поставил счет, принадлежащий клиенту данного банка. Кому принадлежит счет ДБО не был проверен. Команда на денежный перевод просто была отправлена на СБП. В результате перевод был отправлен. В итоге хакеры со счетов других людей переводили средства себе.
Как говорят эксперты, такой вариант хищения используется злоумышленниками впервые.
В информационном бюллетене было указано, что счета потерпевших оказались у хакеров путем перебора во время атаки по применению недокументированной мощности API ДБО.
То, что инцидент действительно имел место быть, «Коммерсанту» подтвердили в ЦБ. Здесь сказали, что проблему нашли в ПО одного из банков и она была краткосрочной и оперативно устраненной. В ЦБ не сказали о каком именно банке идет речь, но отметили, что уязвимость не имела отношения к ПО, так как СБП имеет хорошую защиту. В НСПК тоже сказали, что при проверке ПО проблем обнаружено не было. Выявленная проблема имеет локальный характер и находилась только в ПО одного банка.
Источник издания сказал, что уязвимость в связи с ее специфичностью случайно выявить не получится. Быть в курсе мог только человек, который хорошо ориентируется в архитектуре конкретного банка онлайн. Это мог быть работник банка, разработчик ПО или специалист, который проводил тестирование.
У С. Голованова, эксперта компании «Лаборатории Касперского», другое мнение на этот счет. Он вполне опускает случайное выявление «лазейки». Он говорит, что практически в каждом ПО может быть уязвимость, так как все программы пишутся людьми и человеческий фактор, допустимость ошибки исключить нельзя. Как правило, выявляют эти уязвимости только после обращения с жалобой клиента с последующим расследованием ситуации. С его слов следует, что в их компании время от времени фиксируют подобные успешные хакерские атаки на онлайн-банкинги.
«Ъ» провели опрос ряда крупных банков и ни в одном из них информация о взломе не была подтверждена.
Мошенничества, в которых принимали участие сотрудники банков, специалисты по разработке или тестированию ПО не являются редкостью. П. Меньшиков из Росбанка говорит, что у каждого крупного банковского учреждения присутствует разработка внешнего типа. чтобы риски свести к минимуму, на всех стадиях разработки осуществляется тестирование.
А. Пятигорский из банка «Открытие» говорит, что в целом API отвечает за междустороннее взаимодействие. В данном банке тестирование представляет собой многоуровневую систему, позволяющую выявить даже небольшие уязвимости.