ЦБ РФ зафиксировал первый случай хищения средств через Систему быстрых платежей

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ РФ (ФинЦЕРТ) выявил новый способ хищения средств через Систему быстрых платежей (СБП). Это первый случай кражи средств с помощью системы, сообщает «Коммерсантъ».

Злоумышленники воспользовались уязвимостью одной из банковских систем, название которой не раскрывается. Им удалось получить данные счетов клиентов с помощью перебора, используя недокументированные возможности API.

Авторизировавшись как клиенты злоумышленники запустили приложение банка в режиме отладки и отправили запрос на перевод денег на счет в другом банке.

Перед осуществлением перевода вместо счета отправителя они указали номер счета другого клиента этого банка. Система не проверила, кому принадлежит счет, и направила СБП команду о переводе средств. 

В Банке России подтвердили наличие проблемы и заявили, что уязвимость устранена. Представители ЦБ подчеркнули, что она не касалась ПО системы и сама СБП надежна. 

Напомним, в центробанке уверены, что СБП должна покрыть потребность людей в осуществлении быстрых платежей. 

Именно возможностью осуществлять быстрые платежи глава ЦБ РФ Эльвира Набиуллина объясняла популярность и развитие криптовалют.

По мнению некоторых опрошенных ForkLog экспертов, СБП и цифровые активы предназначены для совершенно разных задач и не потому могут конкурировать друг с другом.