Эксперты Центробанка определили ещё один способ хищения средств со счетов своих клиентов с использованием системы быстрых платежей (СБП).
Оказывается, злоумышленники через уязвимость в одной из банковских систем получил данные счетов клиентов, пишет "Коммерсантъ".
Как пояснил изданию источник, знакомый с ситуацией мошенник сначала запустил мобильное приложение в режиме отладки и авторизовался как реальный клиент. Потом он отправил запрос на перевод суммы в другой банк. Казалось бы – обычная ситуация. Но перед совершением перевода вместо своего счёта отправителя средств хитрец указал номер счёта совсем другого клиента этого же анка.
ДБО (дистанционное банковское обслуживание), не проверив, принадлежит ли указанный счёт отправителю, направило в СБП команду на перевод средств, который она и осуществила.
В ЦБ заявили, что "проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер".
Проблему удалось решить оперативно. При этом в ЦБ подчеркивают, что сама СБП надёжно защищена и уязвимость не касалась программного обеспечения системы.
