По информации издания «Коммерсатъ», Банк России разослал рекомендации кредитным организациям проверить совместно с поставщиками программного обеспечения сервисы дистанционного обслуживания на уязвимости в связи с появлением нового типа атаки на счета юридических лиц через корпоративные банковские мобильные приложения.
Причем злоумышленники хорошо разбираются в технологиях дистанционного банковского обслуживания (ДБО) на уровне разработчиков. Они осведомлены об особенностях обработки платежей банками и знают, как обойти их антифрод-системы.
По данным издания, ЦБ выслал банкам описание схемы, применяемой мошенниками.
ЦБ пояснил, что злоумышленники заходили в корпоративное мобильное приложение банка под настоящими учетными данными пользователя. Далее они, зная порядок и структуру вызовов API системы ДБО, переводили приложение в режим отладки и формировали в нем распоряжение на перевод денежных средств, указывая в поле «Номер счета отправителя» счет жертвы. Информацию о счетах пострадавших компаний мошенники брали из открытых источников.
ЦБ порекомендовал банкам ввести дополнительные проверки принадлежности расчетного счета клиента, используемого в банковских операциях, его учетной записи.
Летом прошлого года аналогичную схему с подменой данных отправителя злоумышленники использовали для хищения средств у физлиц. Опасность новой атаки в том, что мошенники смогут перевести сразу больше денег, так как у компаний на счетах их больше, чем у обычных клиентов банков. Также лимиты на перевод средств юрлиц существенно выше.
Эксперт компании SafeTech пояснил «Коммерсанту», что подобная атака возможно только из-за «грубейших нарушений принципов проектирования логики приложения». Если уязвимость присутствует в версии приложения, которое используют в качестве шаблонной сразу несколько банков, то могут пострадать сразу многие компании.
ИБ-специалист компании Cisco уточнил, что банки уделяют мало внимания безопасности API, с помощью которых взаимодействуют между собой приложения для ДБО. С другой стороны, злоумышленники наоборот стараются найти любые лазейки, чтобы совершить атаки на API, если есть такая возможность.
