Мошенники начали применять приемы, отработанные на физлицах, к компаниям. ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение и рекомендовал проверить системы дистанционного банковского обслуживания.
В документе, разосланном на прошлой неделе, подробно описывается схема инцидента, из которой следует, что атака была направлена на счета юрлиц, но никто не пострадал.
Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО. «Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле «Номер счета отправителя» счет жертвы«,— поясняется в документе. Номера счетов жертв мошенники узнавали из открытых источников.
Атаки были подготовлены на высоком уровне, а те, кто их совершал, разбирались в технологии ДБО на уровне разработчиков, а также в особенностях обработки банком платежей и работе антифрод-систем
В ЦБ оценили вероятность повторения подобных попыток как высокую и посоветовали банкам провести проверки систем ДБО на уязвимости.
До этого описанная ЦБ схема в основном использовалась при хищении средств физлиц, говорит глава службы информационной безопасности ГК «Элекснет» Иван Шубин. По его словам, чтобы банки смогли противостоять мошенникам, необходима сверка расчетного счета клиента с его учетной записью при каждой транзакции.
По материалам Коммерсанта.
Начать дискуссию