На прошлой неделе Банк России разослал финансовым организациям предупреждение о новом типе атак на счета юридических лиц, сообщает «Коммерсант». Злоумышленники используют уязвимость в мобильном банковском приложении.
Как сообщил Центробанк, речь идет о хорошо подготовленных атаках: злоумышленники разбираются в технологии дистанционного банковского обслуживания (ДБО), работе антифрод-систем и порядке банковских переводов. Мошенники заходили в банковское приложение под действующим аккаунтом, начинали отладку и вручную меняли в API-запросе номер счета отправителя на номер жертвы, который могли узнать из открытых источников.
Банк России призвал кредитные организации усилить контроль за системами ДБО и вместе с поставщиками ПО проверить их на наличие уязвимостей.
В прошлом году Центробанк выявил аналогичную схему в отношении счетов физических лиц. Тогда злоумышленники действовали через систему быстрых платежей.
По мнению главы SafeTech Дениса Калемберга, такие атаки говорят о грубейших нарушениях при проектировании приложений, из-за которых любые меры безопасности оказываются неэффективными.