Как пишет "Коммерсант" со ссылкой на источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. Приложение, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Таким способом мошенники отправляли себе деньги с чужих счетов.
В сообщении FinCERT уточнялось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).
"Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена", - заявил в Центробанке, не назвав конкретный банк. При этом в ЦБ подчеркнули, что уязвимость не касалась программного обеспечения СБП.
Источник издания в крупном банке назвал уязвимость настолько специфической, что обнаружить ее случайно было практически невозможно. "О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал", - считает он. "Уязвимости могут встретиться в любом ПО, ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов", - отметил ведущий эксперт "Лаборатории Касперского" Сергей Голованов, добавив, что в антивирусной компании периодически отмечают случаи успешных атак на мобильные банки кредитных организаций. В то же время ни в одном из банков, опрошенных изданий не подтвердили случаи успешного взлома мобильных приложений. Замглавы департамента розничных клиентских решений и цифрового бизнеса "Росбанка" Павел Меньшиков рассказал, что мошеннические схемы с участием людей, сотрудничавших с разработчиками или тестировщиками ПО, хорошо известны. "Для минимизации рисков проводится тестирование на всех этапах разработки, в том числе и регресс всего функционала независимой командой", - сообщил он.
В свою очередь директор департамента Digital банка "Открытие" Александр Пятигорский отметил, что API по своей сути это только формат взаимодействия сторон (банков и СБП). "Риски в таком взаимодействии лежат на уровне надежности каждого элемента взаимодействия. У нас в банке выстроена многоуровневая система тестирования, один из которых - тестирование со стороны внешнего бета-сообщества, в котором установлены крайне высокие выплаты для обнаружившего любой риск безопасности", - рассказал Пятигорский.