ЦБ разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО), пишет «Коммерсант». Делал это авторизованный клиент банка путем подмены номера счета отправителя. В ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем. Там ожидают, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО.
Атака была направлена на счета юрлиц, но никто не пострадал. Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API ДБО. Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле «Номер счета отправителя» счет жертвы, говорится в документе. Номера счетов жертв мошенники узнавали из открытых источников.
Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости и, в случае их выявления до момента устранения производителем, обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента.
По словам экспертов, описанная в бюллетене схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов, и в этом ее новизна. Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой трансакции проводилась сверка расчетного счета клиента с его учетной записью. Атака стала возможна в результате нарушений принципов проектирования логики приложения, что сделало бесполезными все остальные средства защиты, считают эксперты. Если эта система, в которой обнаружена уязвимость, является «коробочной», то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков, отметили они.
Об этом сообщил первый заместитель директора департамента информационной безопасности ЦБ Артем Сычев.
08.02.2021 14:14
