На прошлой неделе стало известно о новых мошеннических схемах, целью злоумышленников на этот раз стали счета юридических лиц. Атака происходит через мобильное приложение, которое предоставляет компаниям доступ к дистанционному банковскому обслуживанию. Проще говоря, пользуясь несовершенной безопасностью банковских приложений, мошенники могут вывести деньги со счетов компаний.

Как это происходит

Через мобильное приложение происходит вполне обычная авторизация, затем, хорошо подкованный мошенник переводит ПО в режим разработчика и получает доступ к структуре и порядку API (программный интерфейс приложения) дистанционного банковского обслуживания. Эти данные помогают сформировать фальшивое распоряжение на перевод определенной суммы со счёта жертвы. Реквизиты “отправителей” берутся из Интернета и других открытых источниках информации.

Сколько денег было украдено 

Пока от такого типа мошенничества еще никто не потерял деньги - атака на банковские приложения была замечена в отношении счетов юридическим лиц Банком России. После этого банки получили предупреждение о возможном повторении сценария. ЦБ настоятельно рекомендовал совместно с разработчиками ПО провести проверку сервисов ДБО на уязвимости.

Неизвестно, является ли программное обеспечение, на которое совершилась атака, «коробочным решением» или это была заказная разработка для одного банка. В случае, если это было тиражируемое ПО, то жертвами могут оказаться клиенты многих российских банков. 

Почему такие атаки возможны 

Главная причина, почему такая схема в принципе является рабочей — ошибка в логике приложения. Дело в том, что при транзакции  не проводится сверка расчетного счета отправителя средств с реквизитами пользователя, который осуществляет платеж через свою учетную запись. Это и есть лазейка, через которую мошенники выводят деньги. Ранее похожие схемы реализовывались в отношении физических лиц.