МОСКВА, 24 авг — ПРАЙМ. Хищение средств через Систему быстрых платежей было зафиксировано только в одном банке и через определенную уязвимость, такой вид мошенничества не станет массовым и не отразится на популярности СБП, к тому же в целом российские финансовые организации хорошо защищены и смогут обезопасить своих клиентов, считают опрошенные РИА Новости эксперты.
Созданная ЦБ РФ Система быстрых платежей работает с января 2019 года, с ее помощью россияне могут переводить друг другу деньги по номеру телефона. Газета "Коммерсант" в понедельник написала, что произошел первый случай использования СБП в схеме успешной хакерской атаки на банк — ЦБ выявил уязвимость в мобильном приложении одной из кредитных организаций, через которую мошенники отправляли себе деньги с чужих счетов.
"По имеющимся данным, злоумышленник получил данные учетной записи клиента через уязвимость в банковской системе, а затем запустил мобильное приложение банка в режиме отладки. Далее он вошел в систему как настоящий клиент, отправил запрос на перевод денег в другой банк. Однако перед переводом преступник ввел другой номер счета. Система дистанционного банковского обслуживания, не проверяя принадлежность указанного аккаунта отправителю, отправила команду Системе быстрых платежей на перевод средств, которая и осуществила перевод", — рассказал глава представительства Avast в России и СНГ Алексей Федоров.
По его оценке, такой вид мошенничества вряд ли станет массовым.
"Согласно тому, что нам известно, мошенничество стало возможным из-за уязвимости в банковской системе. Уязвимость уже исправлена… Вряд ли этот случай повлияет на популярность СБП, так как это удобный способ для клиентов разных банков и наиболее распространенный метод перевода денег", — сказал эксперт.
"Вполне возможно, что при создании приложения кто-то из разработчиков создал возможность скрытого удаленного доступа к программе. Через этот бэкдор злоумышленники смогли организовать успешную атаку и списать деньги со счетов. Скорее всего, теперь подключенные к СБП банки проведут тщательную проверку своих приложений", — отметил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Вместе с тем, как указал ведущий эксперт "Лаборатории Касперского" Сергей Голованов, в целом финансовые организации в России защищены очень хорошо, а уязвимости могут встретиться в любом ПО.
С ним согласен антифрод-аналитик Сross Technologies Николай Белобородов: "Любая система может иметь недостатки. Хорошо, что данная уязвимость выявлена только в одном банке и была быстро устранена. Дело в том, что процессы, которые связаны с денежными операциями, всегда имеют повышенный интерес со стороны мошенников". "Чтобы обезопасить себя, банкам необходимо подробнее ознакомиться с бюллетенем из ЦБ и проверить свои приложения на предмет подобных уязвимостей", — отметил он.
Замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин отметил, что в этой схеме пользователи не могут себя обезопасить. "А вот банки могут провести независимый аудит своих мобильных приложений и внедрить системы поведенческого анализа, которые защищают мобильный банкинг", — добавил он.