Мошенники впервые смогли похитить деньги через СБП
Новый способ хищения средств со счетов клиентов банков через Систему быстрых платежей выявлен экспертами Центробанка РФ. Об этом сообщает "Коммерсант" со ссылкой ФинЦЕРТ Банка России.
Как оказалось, при подключении функции переводов по СБП в мобильном банке одной из финансово-кредитных организаций была уязвимость, которой и воспользовались мошенники. Они смогли авторизоваться как настоящие клиенты и запустить приложение в режиме отладки.
После этого злоумышленники отправили запрос на перевод средств в другой банк, а вместо своего счета для списания указали номер другого клиента. Так как СБП не проверяет принадлежность счета, она списала деньги и перевела их мошенникам.
В ЦБ отмечают, что это первый случай хищения средств с помощью СБП. Как пишет "Ъ" со ссылкой на источники в банковских кругах, об уязвимости мог знать тот, кто хорошо знаком с архитектурой приложения. Например, это мог быть сотрудник банка или разработчик приложения.
