Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Банк России предупреждает кредитно-финансовые организации об атаках на системы ДБО с целью кражи денежных средств со счетов юридических лиц. Изучив устройство API, злоумышленник авторизуется в мобильном приложении и совершает перевод денежных средств, указывая в качестве отправителя номер счета жертвы.

Похожий способ хищения денег ЦБ зафиксировал минувшим летом. На тот момент грабителей интересовали счета физлиц, которые они опустошали, используя систему быстрых платежей (СБП) и уязвимость в стандартном мобильном приложении.

Переключившись на атаки против юрлиц, злоумышленники отказались от использования СПБ для вывода денег со счета. Вместо этого они формируют распоряжение на перевод денежных средств от имени жертвы. Номер ее счета они узнают из открытых источников.

В остальном схема мошенничества не изменилась: автор атаки заходит в банковское приложение под своими идентификаторами, включает режим отладки, изучает порядок и структуру вызовов API ДБО, а затем совершает перевод, подменяя счет отправителя.

Предупреждая банки о новых атаках, ЦБ отметил высокий уровень подготовки их инициаторов. Похоже, что злоумышленники хорошо осведомлены об устройстве системы ДБО, особенностях обработки платежей, а также принципах работы антифрод-решений.

Атаки на счета юрлиц, по мнению экспертов, могут обернуться для жертв гораздо более серьезными потерями, чем в случае с физлицами. Суммы на таких счетах обычно заметно крупнее, а лимиты на перевод средств со счетов юрлиц намного выше, чем в СБП.

По данным ЦБ, в ходе новой мошеннической кампании пока никто не пострадал. По мнению гендиректора SafeTech Дениса Калемберга, злоумышленникам в данном случае помогают «грубейшие нарушения принципов проектирования логики приложения», сводящие на нет все усилия по защите транзакций.

«Если эта система, в которой обнаружена уязвимость, является "коробочной", то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков»,— отметил также эксперт в своем комментарии для «Ъ».

К сожалению, российские банки пока уделяют мало внимания обеспечению безопасности API, сетует консультант Cisco по вопросам ИБ Алексей Лукацкий. Это на руку злоумышленникам, для которых бурное развитие цифровых технологий в финансовой сфере хозяйственной деятельности России не прошло незамеченным.

В целях противодействия подобным схемам мошенничества ЦБ рекомендует банкам тщательно проверить используемые системы ДБО на уязвимость и ввести дополнительные проверки принадлежности счетов, а также учетных записей клиентов. В частности, специалисты по ИБ советуют при каждой транзакции производить сверку расчетного счета клиента с его аккаунтом.

О новой хакерской атаке на банки и возможных атаках на государственные сервисы рассказал заместитель генерального директора - технический директор компании «Газинформсервис» Николай Нашивочников:

«Этот способ не новый, прежде его "обкатывали" на физлицах. Только на этот раз хакеры подготовились более качественно - в Центробанке уже отметили высокий уровень подготовки атак. Банки, конечно, по-прежнему самая очевидная цель для мошенников, потому что есть быстрая финансовая выгода. Однако, не исключены и повторения ситуации с различными государственными сервисами.

Требования к безопасности приложений сложно формализовать и сегодня, увы, мало что делается в этом направлении. Фреймворков типа bsimm, samm, cmmi становится все больше, но все они находятся в процессе формализации требований к ранним этапам разработки.

Судя по опубликованной информации, эксплуатируемая уязвимость в ПО для ДБО была заложена при проектировании. Это подтверждает один из принципов SDLC: недостаточно включить сканеры, пентесты и анализаторы кода в процесс разработки. Проблемы безопасности должны быть проработаны на самых ранних стадиях. Привлечение к разработке приложений архитектора по безопасности – пока, к сожалению, редкость».

Сообщение в СИЗО — 35 рублей: в России запустили новый мессенджер

В России появился мессенджер для связи с людьми, которые находятся в СИЗО и исправительных учреждениях. Сервис называется «Точка контакта» и позволяет отправлять сообщения, фотографии, видео и голосовые записи. Правда, привычного написал и забыл здесь не будет, почти каждое действие оплачивается отдельно.

Электронное письмо объёмом до 2500 знаков стоит 35 рублей. Короткое текстовое сообщение до 200 знаков — 3,09 рубля.

 

За видеосообщение продолжительностью до 90 секунд просят 4,29 рубля, до 180 секунд — 7,99 рубля. Отправка одного голосового сообщения, по данным телеграм-канала «Банки, деньги, два офшора», обойдётся примерно в 7 рублей.

 

Сервис также предлагает платные подписки на контент. Один раздел по выбранной рубрике с постоянным обновлением стоит 99 рублей.

 

На сайте проекта говорится, что платформа должна помочь родственникам и близким поддерживать связь с человеком в СИЗО или колонии. В интерфейсе показаны обычные чаты с текстом, аудио, фотографиями и уведомлениями об оплате входящих сообщений.

Пока сервис обещают запустить во всех магазинах приложений. Детали о том, кто именно выступает оператором платформы, как проходит проверка сообщений и во всех ли учреждениях она будет доступна, не раскрываются.

Получился мессенджер с весьма буквальным тарифом на общение: хочешь написать близкому человеку — сначала посчитай символы.

RSS: Новости на портале Anti-Malware.ru