Спецпроекты

Мошенники научились воровать деньги россиян через Систему быстрых платежей, созданную Центробанком

Безопасность Пользователю ИТ в банках Маркет

Система быстрых платежей Центробанка, несмотря на все его заверения о надежности сервиса, помогла хакерам украсть деньги со счетов клиентов. Они использовали уязвимость, обнаруженную в программном обеспечении одного из банков, подключенных к ней. Это прецедент – злоумышленники и раньше пытались использовать СБП для личного обогащения, но сделать это у них получилось впервые.

Новое орудие хакеров

Система быстрых платежей (СБП) стала новым инструментом мошенников для несанкционированного вывода средств со счетов клиентов банков. С ее помощью они смогли перевести деньги со счета клиента на свой без его на то одобрения. Как пишет «Коммерсант», подобное стало возможным из-за уязвимости, выявленной специалистами Центробанка (ЦБ).

По данным ФинЦЕРТ, подразделения ЦБ по отслеживанию и реагированию на кибератаки в сфере финансов, проблема была обнаружена не в самой СБП, а в одном из банков, подключенных к ней. Его название на момент публикации материала не раскрывалось. Уязвимость связана с мобильным приложением банка, в котором есть возможность активации опции переводов средств через систему быстрых платежей.

Данный случай стал прецедентом – предыдущие попытки хакеров украсть деньги со счетов клиентов банков при помощи СБП к успеху не приводили.

Как работает уязвимость

Неназванный источник издания сообщил, что злоумышленник смог запустить мобильное банковское ПО в режиме отладки и авторизоваться в нем как его реальный клиент. После этого он направил запрос на перевод денег в другой банк, но вместо реального счета, с которого должен был быть осуществлен перевод, указал номер счета другого совершенно другого клиента этого же банка.

sbp600.jpg
У россиян появился еще один повод для беспокойства за сохранность своих средств в банках

Система дистанционного банковского обслуживания (ДБО) по неизвестным причинам не провела проверку принадлежности указанного при отправке номера счета клиенту, под логином которого была осуществлена авторизация в приложении, и одобрила проведение операции. В итоге получилось так, что злоумышленник смог перевести на указанный им счет деньги, принадлежащие совершенно постороннему человеку.

Кто может стоять за взломом

Злоумышленник получил номера счетов своих жертв путем перебора, использовав уязвимость в API банковской системы ДБО. Вероятность случайно обнаружить подобную уязвимость, считают неназванные источники издания, практически нулевая. «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», – добавили они.

Личность хакера на момент публикации материала установлена не была.

В «Лаборатории Касперского», напротив, считают случайное выявление подобной «дыры» вполне возможным. «Уязвимости могут встретиться в любом ПО, ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов», – заявил «Коммерсанту» ведущий эксперт «Лаборатории Касперского» Сергей Голованов.

Центробанк не виноват

Представители Центробанка подтвердили факт произошедшего. По их словам, проблема действительно была выявлена не в СБП, а именно на стороне неназванного банка, подключенного к ней – в его системе ДБО и мобильном приложении.

Как отметили представители ЦБ, проблема «носила краткосрочный характер. Она была оперативно устранена». Они добавили, что сама СБП надежно защищена, и их слова подтвердили ив Национальной системе платежных карт (НСПК) – операционном платежном клиринговом центре Системы быстрых платежей.

Между тем, по информации «Ведомостей», Центробанк еще в ноябре 2019 г. рассылал подключенным к СБП банкам информацию о возможном применении хакерами метода перебора идентификаторов в Системе. Этот метод мог дать им доступ к персональной информации о клиентах – их именах, отчествах первой букве фамилий и названиям банков, в которых у них открыт счет. На тот момент специалисты банка предполагали, что полученные методом перебора идентификаторов данные могли использоваться злоумышленниками для кражи денег уже знакомыми средствами – к примеру, звонком на телефон жертвы якобы от лица техподдержки банка.

Что такое СБП

Концепция Системы быстрых платежей была представлена Центробанком совместно с ассоциацией «Финтех» и банками-участниками в конце апреля 2018 г. Она позиционировалась как сервис осуществления денежных переводов в любом месте и в любое время, а ее оператором был назначен сам ЦБ.

Платежи и переводы через СБП, согласно концепции, должны были осуществляться пользователем не по обычным реквизитам, а по упрощенным идентификаторам, таким как номер телефона или электронная почта. Плательщик получит возможность отправить деньги, используя QR-код или мобильный телефон получателя из мобильного банка, мессенджера, соцсети или через сайт интернет-магазина.

За месяц до показа концепции банки, входящие в ассоциацию «Финтех», подключились к прототипу СБП для ее тестирования. Это были банки Qiwi, «Ак Барс», «Тинькофф» и МТС.

Запуск СБП в России состоялся 28 января 2019 г. В число первых участников вошли Альфа-Банк, «Ак Барс», ВТБ, Газпромбанк, Промсвязьбанк, Райффайзенбанк, Росбанк, РНКО «Платежный центр», СКБ-Банк, Совкомбанк, «Тинькофф» и Qiwi.

Сбербанк, крупнейший банк России, подключился к ней лишь в конце марта 2020 г., но на тот момент в тестовом режиме. Быстрые переводы были доступны лишь некоторым клиентам банка, а на полную мощность в этом система заработала 28 мая 2020 г.