Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Банк России предупреждает кредитно-финансовые организации об атаках на системы ДБО с целью кражи денежных средств со счетов юридических лиц. Изучив устройство API, злоумышленник авторизуется в мобильном приложении и совершает перевод денежных средств, указывая в качестве отправителя номер счета жертвы.

Похожий способ хищения денег ЦБ зафиксировал минувшим летом. На тот момент грабителей интересовали счета физлиц, которые они опустошали, используя систему быстрых платежей (СБП) и уязвимость в стандартном мобильном приложении.

Переключившись на атаки против юрлиц, злоумышленники отказались от использования СПБ для вывода денег со счета. Вместо этого они формируют распоряжение на перевод денежных средств от имени жертвы. Номер ее счета они узнают из открытых источников.

В остальном схема мошенничества не изменилась: автор атаки заходит в банковское приложение под своими идентификаторами, включает режим отладки, изучает порядок и структуру вызовов API ДБО, а затем совершает перевод, подменяя счет отправителя.

Предупреждая банки о новых атаках, ЦБ отметил высокий уровень подготовки их инициаторов. Похоже, что злоумышленники хорошо осведомлены об устройстве системы ДБО, особенностях обработки платежей, а также принципах работы антифрод-решений.

Атаки на счета юрлиц, по мнению экспертов, могут обернуться для жертв гораздо более серьезными потерями, чем в случае с физлицами. Суммы на таких счетах обычно заметно крупнее, а лимиты на перевод средств со счетов юрлиц намного выше, чем в СБП.

По данным ЦБ, в ходе новой мошеннической кампании пока никто не пострадал. По мнению гендиректора SafeTech Дениса Калемберга, злоумышленникам в данном случае помогают «грубейшие нарушения принципов проектирования логики приложения», сводящие на нет все усилия по защите транзакций.

«Если эта система, в которой обнаружена уязвимость, является "коробочной", то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков»,— отметил также эксперт в своем комментарии для «Ъ».

К сожалению, российские банки пока уделяют мало внимания обеспечению безопасности API, сетует консультант Cisco по вопросам ИБ Алексей Лукацкий. Это на руку злоумышленникам, для которых бурное развитие цифровых технологий в финансовой сфере хозяйственной деятельности России не прошло незамеченным.

В целях противодействия подобным схемам мошенничества ЦБ рекомендует банкам тщательно проверить используемые системы ДБО на уязвимость и ввести дополнительные проверки принадлежности счетов, а также учетных записей клиентов. В частности, специалисты по ИБ советуют при каждой транзакции производить сверку расчетного счета клиента с его аккаунтом.

О новой хакерской атаке на банки и возможных атаках на государственные сервисы рассказал заместитель генерального директора - технический директор компании «Газинформсервис» Николай Нашивочников:

«Этот способ не новый, прежде его "обкатывали" на физлицах. Только на этот раз хакеры подготовились более качественно - в Центробанке уже отметили высокий уровень подготовки атак. Банки, конечно, по-прежнему самая очевидная цель для мошенников, потому что есть быстрая финансовая выгода. Однако, не исключены и повторения ситуации с различными государственными сервисами.

Требования к безопасности приложений сложно формализовать и сегодня, увы, мало что делается в этом направлении. Фреймворков типа bsimm, samm, cmmi становится все больше, но все они находятся в процессе формализации требований к ранним этапам разработки.

Судя по опубликованной информации, эксплуатируемая уязвимость в ПО для ДБО была заложена при проектировании. Это подтверждает один из принципов SDLC: недостаточно включить сканеры, пентесты и анализаторы кода в процесс разработки. Проблемы безопасности должны быть проработаны на самых ранних стадиях. Привлечение к разработке приложений архитектора по безопасности – пока, к сожалению, редкость».