Share This
Связаться со мной
Крути в низ
Categories
//ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение

ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение

16.02.2021Category : My Habr

cb soobshhil bankam o novom tipe ataki na scheta juridicheskih lic cherez mobilnoe prilozhenie 8936cb3 - ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение

По информации издания «Коммерсатъ», Банк России разослал рекомендации кредитным организациям проверить совместно с поставщиками программного обеспечения сервисы дистанционного обслуживания на уязвимости в связи с появлением нового типа атаки на счета юридических лиц через корпоративные банковские мобильные приложения.

Причем злоумышленники хорошо разбираются в технологиях дистанционного банковского обслуживания (ДБО) на уровне разработчиков. Они осведомлены об особенностях обработки платежей банками и знают, как обойти их антифрод-системы.

По данным издания, ЦБ выслал банкам описание схемы, применяемой мошенниками.

ЦБ пояснил, что злоумышленники заходили в корпоративное мобильное приложение банка под настоящими учетными данными пользователя. Далее они, зная порядок и структуру вызовов API системы ДБО, переводили приложение в режим отладки и формировали в нем распоряжение на перевод денежных средств, указывая в поле «Номер счета отправителя» счет жертвы. Информацию о счетах пострадавших компаний мошенники брали из открытых источников.

ЦБ порекомендовал банкам ввести дополнительные проверки расчетного счета клиента, используемого в банковских операциях, с его учетной записью.

Летом прошлого года аналогичную схему с подменой данных отправителя злоумышленники использовали для хищения средств у физлиц. Опасность новой атаки в том, что мошенники смогут перевести сразу больше денег, так как у компаний на счетах их больше, чем у обычных клиентов банков. Также лимиты на перевод средств юрлиц существенно выше.

Эксперт компании SafeTech пояснил «Коммерсанту», что подобная атака возможно только из-за «грубейших нарушений принципов проектирования логики приложения». Если уязвимость присутствует в версии приложения, которое используют в качестве шаблонной сразу несколько банков, то могут пострадать сразу многие компании.

ИБ-специалист компании Cisco уточнил, что банки уделяют мало внимания безопасности API, с помощью которых взаимодействуют между собой приложения для ДБО. С другой стороны, злоумышленники наоборот стараются найти любые лазейки, чтобы совершить атаки на API, если есть такая возможность.

  • 4 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Связаться со мной
Close