ЦБ сообщил банкам о новом типе атаки на счета юрлиц через мобильное приложение

IT БЕЗОПАСНОСТЬ

НОВОСТИ

АНАЛИТИКА

СИСТЕМЫ

ПОСТАВЩИКИ

ФОРУМ

Напишите нам!

Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.

ЛЕНТА НОВОСТЕЙ

СОБЫТИЯ И МЕРОПРИЯТИЯ

ВИДЕОНОВОСТИ

ИНТЕРВЬЮ

НОВОСТИ НА ФОРУМЕ

НОВОСТИ

15/02/2021
ЦБ сообщил банкам о новом типе атаки на счета юрлиц через мобильное приложение

ЦБ разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО), пишет «Коммерсант». Делал это авторизованный клиент банка путем подмены номера счета отправителя. В ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем. Там ожидают, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО.

Атака была направлена на счета юрлиц, но никто не пострадал. Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API ДБО. Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле «Номер счета отправителя» счет жертвы, говорится в документе. Номера счетов жертв мошенники узнавали из открытых источников.

Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости и, в случае их выявления до момента устранения производителем, обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента.

По словам экспертов, описанная в бюллетене схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов, и в этом ее новизна. Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой трансакции проводилась сверка расчетного счета клиента с его учетной записью. Атака стала возможна в результате нарушений принципов проектирования логики приложения, что сделало бесполезными все остальные средства защиты, считают эксперты. Если эта система, в которой обнаружена уязвимость, является «коробочной», то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков, отметили они.

<<< Назад

О портале Конфиденциальность Реклама на портале Карта сайта

Copyright © 2010-2021 Secutity Online. All rights reserved.