Мошенники нашли новый способ выводить деньги со счетов клиентов банков, используя Систему быстрых платежей, сообщают эксперты Банка России.

• Злоумышленники через брешь в защите банков получают доступ к данным счетов клиентов, после чего запускают мобильное приложение в режиме отладки, авторизуясь как реальные клиенты.
• После этого они дают команду на перевод денег, но вместо своего счета, с которого должны списываться средства, указывают счет другого клиента банка.
• Система не проверяет принадлежность счета и списывает деньги у другого человека, переводя их мошеннику.

По словам участников рынка, ранее подобных случаев хищения средств с помощью СБП в России не наблюдалось.

ФинЦЕРТ также отмечал, что мошенники получили номера счетов клиентов банков используя метод перебора.

Сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно.

«О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — цитирует «Ъ» источника, хорошо знакомого с ситуацией.