Центробанк РФ выявил новый способ хищения средств со счетов клиентов в банке — уже с использованием Системы быстрых платежей (СБП).
При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя, сообщает газета «Коммерсант».
Эксперты констатируют, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.
Впрочем, в ЦБ заверили, что проблема была обнаружена в мобильном приложении только одной кредитной организации и была оперативно устранена. В программном обеспечении самой системы брешей не было найдено.
Напомним, что Система быстрых платежей (СБП) — сервис, который начал действовать в конце 2019 года и позволяет физическим лицам мгновенно (в режиме 24/7) переводить деньги по номеру мобильного телефона себе или другим лицам, вне зависимости от того, в каком банке открыты счета отправителя или получателя средств. Для этого необходимо, чтобы эти банки были подключены к Системе быстрых платежей. Доступ к системе возможен через мобильное приложение банков, подключенных к СБП, как со смартфона или планшета, так и с компьютера. Кроме того, через СБП можно оплачивать товары и услуги посредством QR-кода. В настоящее время в системе уже примерно 40 участников, к подключению готовятся еще до 160 кредитных организаций.
В конце февраля совет директоров Центробанка РФ принял решение обнулить с 1 апреля 2020 года до 30 июня 2022 года свои тарифы для банков в Системе быстрых платежей по переводам между физическими лицами. Как пояснил тогда регулятор, «это позволит кредитным организациям предоставлять своим клиентам — физическим лицам услуги по переводам в СБП также бесплатно либо по минимальным тарифам».
В прошлом году для банков уже действовал льготный период, когда ЦБ не брал с них плату за операции в СБП, — бесплатными они были до 1 января 2020 года, но затем регулятор начал брать комиссию в равной степени как с банка-отправителя, так и с банка-получателя.
Источник: