ЦБ сообщил банкам о новом типе атаки на счета юрлиц через мобильное приложение. Если уязвимости обнаружатся в стандартном программном обеспечении, которое поставляется как “коробочное решение”, под угрозой могут оказаться клиенты многих банков, сообщает “Коммерсантъ”. Фото: Максим Блинов / РИА Новости
Как пишет издание, в письме банкам ЦБ отметил высокий уровень подготовки атак: осведомленность атакующих в технологии дистанционного банковского обслуживания (ДБО) на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем, призванных выявлять и блокировать несанкционированные операции. Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО.
"Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле "Номер счета отправителя" счет жертвы",- поясняется в письме Банка России. Номера счетов жертв мошенники узнавали из открытых источников, пишет "Коммерсантъ". ЦБ рекомендовал банкам проверить системы ДБО.
В Банке России не ответили на запрос "Российской газеты".
По данным регулятора, объем несанкционированных операций в системах ДБО юрлиц в III квартале 2020 года (последние данные) составил 179,1 млн руб. (против 185,3 млн руб. в тот же период предыдущего года), при этом 17% похищенного были возмещены банками; количество успешных атак на счета юрлиц снизилось до 558 с 826 в III квартале 2019 года.