КиберпанкДетали

ЦБ: В России хакеры атакуют банковские счета юридических лиц через мобильные приложения

По данным Центробанка, взломщики заходили в приложение под своим логином и паролем и подменяли номер счета отправителя денежных средств.

Такая уязвимость может затронуть клиентов сразу нескольких банков.

Центробанк РФ уведомил банки о новой схеме кибератак на счета юридических лиц с помощью системы дистанционного банковского обслуживания (ДБО). 

  • По данным ЦБ, кражу средств совершали авторизованные клиенты банка. 
  • Они заходили в мобильное приложение под своим логином и паролем и переводили его в режим отладки. Изучив порядок, структуру и параметры вызовов API (программного интерфейса приложения), кибермошенники формировали распоряжение на перевод денежных средств. В качестве номера счета отправителя они указывали реквизиты счета жертвы, которые получали из открытых источников. 
  • В Центробанке сообщили, что от действий киберпреступников финансово никто не пострадал. 

Как рекомендуют противостоять кибератакам

Регулятор сообщил об увеличении числа атак на системы дистанционного банковского обслуживания и в первую очередь — на мобильные приложения. 

  • ЦБ рекомендовал банкам вместе с поставщиками программного обеспечения (ПО) провести дополнительный контроль и соответствующие проверки применяемых систем ДБО. 
  • В случае выявления уязвимостей до момента их устранения в Центробанке посоветовали добавить в процедуру транзакций проверку принадлежности используемых счетов и авторизованной учетной записи клиента.
  • По мнению гендиректора ИТ-компании SafeTech Дениса Калемберга, кибератаки стали возможны из-за «грубейших нарушений принципов проектирования логики приложения». Он подчеркнул, что широкое использование такого ПО может быть поводом для беспокойства клиентов многих банков. 

Как атаковали физлиц 

В 2020 году Центробанк обнаружил схожую мошенническую схему в отношении физических лиц. 

  • Тогда злоумышленники воспользовались уязвимостью в системе быстрых платежей (СБП) одной из кредитных организаций. 
  • Как и в новой схеме, с помощью имеющихся логина и пароля от приложения и API-интерфейса они смогли подменить счета отправителя на реквизиты других клиентов этого банка при переводе средств. 
  • Тогда система дистанционного банковского обслуживания не провела проверку принадлежности счета действительному отправителю и направила в СБП команду на перевод денег, который был осуществлен.
  • По мнению участников рынка, это был первый случай банковского хищения с использованием уязвимостей системы быстрых платежей. 

Рост числа киберпреступлений

Согласно данным доклада, подготовленного управлением правовой статистики и информационных технологий Генпрокуратуры, за последние 5 лет в России количество киберпреступлений выросло более чем в 11 раз. 

  • При этом их удельный вес в структуре преступности увеличился с 1,8% до 25%.
  • Большинство таких преступлений совершалось с использованием интернета (300,3 тыс.) или средств мобильной связи (218,7 тыс.).

В МВД также отметили, что увеличение количества криминальных правонарушений, совершенных с использованием информационно-телекоммуникационных технологий, оказало основное влияние на рост тяжких преступлений по итогам 2020 года.

В прошлом году число правонарушений с использованием интернета увеличилось на 91%, а с применением мобильных телефонов — на 88%. 

В 2020 году кибермошенники похитили у жителей России порядка 150 млрд рублей. По мнению экспертов банка «Тинькофф», 60% процентов успешных хищений были совершены с помощью покупок или продаж товаров на реальных или поддельных сайтах.

Копировать ссылкуСкопировано