Мошенники научились красть деньги со счетов новым способом после введения Системы быстрых платежей (СБП).
О проблеме стало известно из бюллетеня подразделения Банка России ФинЦЕРТ. Как пишет газета «КоммерсантЪ», при установке в мобильном приложении по переводу по СБП одного из банков была найдена уязвимость, связанная с открытым API-интерфейсом. Ей и воспользовались мошенники для подмены счета отправителя.
Схема была такова: раздобыть номер счета методом перебора, запустить мобильное приложение в режиме отладки, авторизоваться как реальный клиент, отправить запрос на перевод средств в другой банк и подменить в запросе счет отправителя. В итоге кредитная организация, не проверяя, направила в СБП команду на перевод средств.
Название банка не раскрывалось.