ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение

ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение

В ЦБ оценили вероятность повторения подобных попыток как высокую и посоветовали банкам провести проверки систем ДБО на уязвимости.

Регулятор отмечает, что атаки были подготовлены на высоком уровне, а те, кто их совершал, разбирались в технологии ДБО на уровне разработчиков, а также в особенностях обработки банком платежей и работе антифрод-систем (используются банками для оценки транзакций и выявления подозрительных и мошеннических операций), сообщает «Коммерсантъ» со ссылкой на письмо Центробанка.

В своем письме ЦБ описывает следующий инцидент: злоумышленник воспользовался реальным логином и паролем для того, чтобы зайти в мобильное приложение банка. После этого он перевел его в режим отладки и изучил порядок и структуру вызовов API (программный интерфейс приложения) дистанционного банковского обслуживания. После таких действий мошенник имеет возможность сформировать распоряжение на перевод денежных средств, указав в качестве номера счета отправителя счет жертвы. Счета мошенники узнавали из открытых источников.

В случае их выявления до момента устранения производителем следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ.

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!