По информации издания «Коммерсатъ», Банк России разослал рекомендации кредитным организациям проверить совместно с поставщиками программного обеспечения сервисы дистанционного обслуживания на уязвимости в связи с появлением нового типа атаки на счета юридических лиц через корпоративные банковские мобильные приложения.
Причем злоумышленники хорошо разбираются в технологиях дистанционного банковского обслуживания (ДБО) на уровне разработчиков. Они осведомлены об особенностях обработки платежей банками и знают, как обойти их антифрод-системы.
По данным издания, ЦБ выслал банкам описание схемы, применяемой мошенниками.
ЦБ пояснил, что злоумышленники заходили в корпоративное мобильное приложение банка под настоящими учетными данными пользователя. Далее они, зная порядок и структуру вызовов API системы ДБО, переводили приложение в режим отладки и формировали в нем распоряжение на перевод денежных средств, указывая в поле «Номер счета отправителя» счет жертвы. Информацию о счетах пострадавших компаний мошенники брали из открытых источников.
ЦБ порекомендовал банкам ввести дополнительные проверки принадлежности расчетного счета клиента, используемого в банковских операциях, его учетной записи.
Летом прошлого года аналогичную схему с подменой данных отправителя злоумышленники использовали для хищения средств у физлиц. Опасность новой атаки в том, что мошенники смогут перевести сразу больше денег, так как у компаний на счетах их больше, чем у обычных клиентов банков. Также лимиты на перевод средств юрлиц существенно выше.
Эксперт компании SafeTech пояснил «Коммерсанту», что подобная атака возможно только из-за «грубейших нарушений принципов проектирования логики приложения». Если уязвимость присутствует в версии приложения, которое используют в качестве шаблонной сразу несколько банков, то могут пострадать сразу многие компании.
ИБ-специалист компании Cisco уточнил, что банки уделяют мало внимания безопасности API, с помощью которых взаимодействуют между собой приложения для ДБО. С другой стороны, злоумышленники наоборот стараются найти любые лазейки, чтобы совершить атаки на API, если есть такая возможность.
v1000
Даже разработчики онлайн игр знают про принцип «ничему не доверять на стороне клиента»
salnicoff
А разработчики банковского софта, похоже, нет. :-(
dopusteam
Что то очень сомнительно, что банки полагаются на данные с клиента и реально не проверяют ничего на сервереХотя почему бы и нет, аджайл, первая итерация :)
salnicoff
Помню, давали зарплату через один мелкий банк, банкоматы которого висли с завидной регулярностью. Стою однажды у такого неработающего банкомата в ТЦ, звоню в банк с требованием немедленно поднять. А сотрудники: «О! А мы ждали Вашего звонка. Пожалуйста, зайдите с другой стороны банкомата, выдерните его вилку из розетки питания, а потом снова воткните. Он перезагрузится и заработает!» Так и хотелось спросить, а чтобы ящики с деньгами открыть за какую ручку нужно дернуть?
Потом зарплатный проект перевели в крупный банк, который теперь «системообразующий». Одна из лапшин, которую вешали нам на уши, что у них есть он-лайн банк (тогда это действительно было редкостью). Кое-кто решил подключить и посмотреть, как он устроен. Оказалось, что логин с паролем передаются при авторизации в открытом виде через http как два поля формы…
Какой, нахрен, эджайл, какие, нахрен, итерации…
Mur81
Для владельца онлайн игры разработчики это те люди которые зарабатывают деньги.
Для банкира разработчики это те люди которые деньги тратят.
Вот и делайте выводы.