Само по себе использование системы быстрых платежей (СБП) безопасно, однако проблемы могут оказаться в приложениях отдельных банков, рассказал «Известиям» руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин 24 августа.
Ранее в этот день «Коммерсант» написал, что Центробанк выявил новый способ хищения средств со счетов клиентов в банке с использованием СБП. При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была остановлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя.
По словам Ярослава Бабина, если хакеры обнаружили уязвимость в приложении кредитной организации, то клиент никак не сможет повлиять на сохранность своих средств. Вся ответственность лежит на банке, разработавшем и выпустившем приложение.
«В данном случае речь идет о весьма типовой уязвимости, связанной с недостаточной авторизацией, которую мы встречали в 37% проанализированных в прошлом году веб-приложений», — сказал эксперт.
Это значит, что любой банк, своевременно анализирующий защищенность своих систем и сервисов, мог бы обнаружить ее раньше, чем это сделали злоумышленники.
«Мы рекомендуем уделять больше внимания анализу защищенности систем, обязательно внедрять методы безопасной разработки, а также анализировать исходный код всех публичных приложений или их обновлений до их публикации, в том числе с использованием автоматизированных инструментов», — заключил специалист.
Система быстрых платежей — сервис, который позволяет физическим лицам мгновенно переводить по номеру телефона себе или другим лицам. При этом неважно, в каком банке открыты счета отправителя или получателя средств, главное — чтобы эти банки были подключены к системе.В мае «Известия» писали, что в кредитных организациях ожидают всплеска мошенничеств с использованием поддельных банковских приложений. Дистанционное обслуживание стало особенно популярным в период самоизоляции: количество скачиваний ПО и активных пользователей резко увеличилось.