Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Банк России предупреждает кредитно-финансовые организации об атаках на системы ДБО с целью кражи денежных средств со счетов юридических лиц. Изучив устройство API, злоумышленник авторизуется в мобильном приложении и совершает перевод денежных средств, указывая в качестве отправителя номер счета жертвы.

Похожий способ хищения денег ЦБ зафиксировал минувшим летом. На тот момент грабителей интересовали счета физлиц, которые они опустошали, используя систему быстрых платежей (СБП) и уязвимость в стандартном мобильном приложении.

Переключившись на атаки против юрлиц, злоумышленники отказались от использования СПБ для вывода денег со счета. Вместо этого они формируют распоряжение на перевод денежных средств от имени жертвы. Номер ее счета они узнают из открытых источников.

В остальном схема мошенничества не изменилась: автор атаки заходит в банковское приложение под своими идентификаторами, включает режим отладки, изучает порядок и структуру вызовов API ДБО, а затем совершает перевод, подменяя счет отправителя.

Предупреждая банки о новых атаках, ЦБ отметил высокий уровень подготовки их инициаторов. Похоже, что злоумышленники хорошо осведомлены об устройстве системы ДБО, особенностях обработки платежей, а также принципах работы антифрод-решений.

Атаки на счета юрлиц, по мнению экспертов, могут обернуться для жертв гораздо более серьезными потерями, чем в случае с физлицами. Суммы на таких счетах обычно заметно крупнее, а лимиты на перевод средств со счетов юрлиц намного выше, чем в СБП.

По данным ЦБ, в ходе новой мошеннической кампании пока никто не пострадал. По мнению гендиректора SafeTech Дениса Калемберга, злоумышленникам в данном случае помогают «грубейшие нарушения принципов проектирования логики приложения», сводящие на нет все усилия по защите транзакций.

«Если эта система, в которой обнаружена уязвимость, является "коробочной", то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков»,— отметил также эксперт в своем комментарии для «Ъ».

К сожалению, российские банки пока уделяют мало внимания обеспечению безопасности API, сетует консультант Cisco по вопросам ИБ Алексей Лукацкий. Это на руку злоумышленникам, для которых бурное развитие цифровых технологий в финансовой сфере хозяйственной деятельности России не прошло незамеченным.

В целях противодействия подобным схемам мошенничества ЦБ рекомендует банкам тщательно проверить используемые системы ДБО на уязвимость и ввести дополнительные проверки принадлежности счетов, а также учетных записей клиентов. В частности, специалисты по ИБ советуют при каждой транзакции производить сверку расчетного счета клиента с его аккаунтом.

О новой хакерской атаке на банки и возможных атаках на государственные сервисы рассказал заместитель генерального директора - технический директор компании «Газинформсервис» Николай Нашивочников:

«Этот способ не новый, прежде его "обкатывали" на физлицах. Только на этот раз хакеры подготовились более качественно - в Центробанке уже отметили высокий уровень подготовки атак. Банки, конечно, по-прежнему самая очевидная цель для мошенников, потому что есть быстрая финансовая выгода. Однако, не исключены и повторения ситуации с различными государственными сервисами.

Требования к безопасности приложений сложно формализовать и сегодня, увы, мало что делается в этом направлении. Фреймворков типа bsimm, samm, cmmi становится все больше, но все они находятся в процессе формализации требований к ранним этапам разработки.

Судя по опубликованной информации, эксплуатируемая уязвимость в ПО для ДБО была заложена при проектировании. Это подтверждает один из принципов SDLC: недостаточно включить сканеры, пентесты и анализаторы кода в процесс разработки. Проблемы безопасности должны быть проработаны на самых ранних стадиях. Привлечение к разработке приложений архитектора по безопасности – пока, к сожалению, редкость».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На Форуме DLP+ поговорят об этике и безопасности

26 мая в Цифровом деловом пространстве (Москва, улица Покровка, дом 47) впервые пройдет «Форум DLP+» – самое масштабное мероприятие в России по внутренним угрозам корпоративной безопасности. Организаторами мероприятия выступят национальных провайдер сервисов и технологий кибербезопасности «Ростелеком-Солар» и Медиа Группа «Авангард». Форум станет первой площадкой страны для обсуждения, обмена идеями и практическим опытом по этой теме.

По задумке организаторов DLP+ будет наполнен нестандартными дискуссиями и выступлениями ярких спикеров – как популярных экспертов рынка информационной безопасности, так и новых, порой неожиданных персон. Экспрессивный тон мероприятию задаст вводная дискуссия «Этика, право и безопасность», управление которой возьмет на себя медиа-звезда рынка информационной безопасности Олег Седов. Приглашенные эксперты, среди которых будут не только специалисты мира ИБ, но и писатели, и представители сферы бизнес-образования, поговорят о понятии этики в современной цифровой действительности.

Что такое этика? Человек, оценивая свои возможные решения, чувствует, какие из них этичны, а какие – не очень, основываясь на морали. Двадцать первый век породил многообразие технических средств контроля и мониторинга людей, в частности системы защиты от утечек и анализа поведения пользователей. Какие вопросы DLP-этики требуют ревизии и пересмотра?

  • Как быть с неприкосновенностью частной жизни сотрудников? Тайной переписки?
  • Становится ли администратор ИБ всемогущим, и кто контролирует его?
  • Как совместить права сотрудников и компании как работодателя?

Деловая программа «Форума DLP+" сфокусируется как на актуальных технологиях, так и на практических методах защиты компании от внутренних угроз, поможет найти конкретные решения под потребности бизнеса. В фойе «Форума DLP+» будут представлены новейшие разработки ведущих вендоров систем защиты от внутренних корпоративных угроз – с возможностью опробовать любую разработку в действии на интерактивных демонстрационных стендах.

Партнерскую поддержку форуму оказывают ведущие компании российской отрасли информационной безопасности InfoWatch, Гарда Технологии, DeviceLock DLP, StaffCop, InfoSecurity, One Identity и другие.

Подробнее о форуме читайте на сайте мероприятия: https://dlp-forum.ru

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru