Через приложение удобнее: ЦБ информирует о новом типе хакерских атак на юрлиц

Для кражи денег со счетов компаний мошенники начали использовать систему дистанционного банковского обслуживания (ДБО), сообщает 15 февраля «Коммерсантъ» со ссылкой на Банк России.

По данным издания, в конце прошлой недели ЦБ разослал банкам предупреждение, подробно описав в документе схему реального взлома, который, однако, удалось пресечь. Согласно переданной «Ъ» схеме, сначала мошенник зашёл в мобильное приложение под легальным логином и паролем, перевёл приложение в режим отладки (режим исправления ошибок в коде) и изучил порядок и структуру вызовов API (интерфейс программирования приложений) ДБО. Зная параметры API-запросов, хакер сформировал распоряжение на перевод денежных средств, указав в поле «Номер счёта отправителя» счёт компании. Номер счёта взломщик получил из открытых источников.

«Ввиду высокой вероятности повторения попыток реализации злоумышленниками таких сценариев атак мы ожидаем, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО»,— процитировало издание Банк России.

Также «Ъ» пишет, что ЦБ описывал схожее мошенничество ещё летом прошлого года, но тогда речь шла об атаке физлиц с выводом средств через систему быстрых платежей (СБП). Сейчас потери могут быть серьёзнее, поскольку лимиты на перевод средств юрлиц гораздо выше.

По словам гендиректора SafeTech (компании-разработчика в области защиты дистанционного банкинга) Дениса Калемберга, которого также цитирует «Ъ», атака стала возможна в результате «грубейших нарушений принципов проектирования логики приложения». Другой эксперт — консультант по интернет-безопасности компании Cisco Алексей Лукацкий, давший изданию комментарий, считает, что безопасность API — насущная задача, которой уделяется мало внимания в банковском сообществе. И именно уязвимостью API злоумышленники будут активно пользоваться в ближайшее время.