Экспертно-аналитический центр Банка России, ФинЦЕРТ, обнаружил уязвимость в «Системе быстрых платежей». На прошлой неделе в Российские банковские структуры были разосланы бюллетени с описанием проблемы, а так же и сама схема хищения. Как удалось выяснить, именно уязвимость программного обеспечения, позволила злоумышленникам совершить преступление.
Схема кражи денег следующая. Данные счетов реальных клиентов попали в руки к преступникам, что позволило им запустить приложение со смартфона в режиме отладки. После авторизации под логином реального клиента, преступник совершает перевод, подменяя свой счет отправителя чужим. В результате совершается транзакция, которая не только подтверждается системой дистанционного обслуживания, но и сообщает «Системе быстрых платежей» о законности проводимой операции.
— По словам Евгения Белинского, чье Агентство «Контенго» отвечает в «Армаде» за информационную безопасность, в настоящее время проблема устранена и потерпевшим вернули денежные средства в полном размере, а «Система быстрых платежей» стала более защищенной.
— Хочу отметить: злоумышленники не только могут подменить данные в мобильном приложении, но и владеют данными счетов реальных клиентов. Поэтому банку стоит пересмотреть программное обеспечение и провести внутреннее расследование на предмет утечки персональных данных, подчеркнул Евгений Белинский.
Что интересно, в инсайдерском интервью «Коммерсанту» один из работников крупного федерального банка высказал предположение, что уязвимость была на удивление специфичной, и о ней мог знать либо разработчик ПО, либо тестировщик. Посторонний человек не сумел бы о ней догадаться и уж тем более взломать её, каким бы опытным хакером он не был.