Было установлено, что при подключении функции переводов через СБП в мобильном банке одна из кредитных организаций оставила уязвимость. Мошенникам удалось воспользоваться этой ошибкой и получить данные клиентских счетов.
Затем злоумышленники запустили мобильный банк в режиме отладки, вошли в систему как реальные клиенты и отправили запрос на перевод средств в другой банк, однако вместо своего счета они указали номер счета другого клиента для списания. Поскольку система не проверяет право собственности на счет, она списывала деньги и переводила их мошенникам.
По словам участников рынка, это первый случай хищения средств с использованием СБП. Эксперты пояснили, что об уязвимости мог знать лишь тот, кто хорошо знаком с «архитектурой» приложения – сотрудник или разработчик.
Ранее стало известно, что четверть жителей России входит в группу риска при хищениях с карт. Так, по данным аналитиков, 27% респондентов готовы сообщить посторонним личные данные карт, которые нельзя разглашать – срок действия и CVV-код.