Skip to main content

Как сделать залив через систему быстрых платежей

На прошлой неделе специалисты ФинЦЕРТ Центрального Банка России разослали в банки бюллетень с описанием новой схемы хищения средств со счетов пользователей. Реальные заливщики использовали для этого Систему быстрых платежей Центрального Банка (СБП) и уязвимость в одной из банковских систем. По словам участников рынка, это первый случай хищения средств с помощью СБП Центрального Банка.

Технологический откат - мифы и реальность

Собственный источник в среде дроповодов пояснил, что через уязвимость реальный заливщик получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент банка, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого же банка. Система ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП ЦБ команду на перевод средств, который она и осуществила. Таким образом и были произведены заливы с чужих счетов банка на сумму около полумиллиона долларов США.

В бюллетене ФинЦЕРТ отмечалось, что номера счетов жертв реального заливщика были получены перебором в ходе успешной авторизации при использовании недокументированной возможности API системы дистанционного банковского обслуживания (ДБО).

«Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и система ДБО) и носила краткосрочный характер. Она была оперативно устранена», — комментируют представители Центробанка России. При этом название банка в котором отработал реальный заливщик не раскрывается, но подчеркивается, что сама СБП надежно защищена.

Интересно, что, по имеющимся данным, уязвимость была настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал», — сообщил источник обного из крупных обнальных форумов даркнета.

Само списание денежных средств с чужого счёта и залив на счёт дропа заключалось в том, что в мобильном приложении не проверялось поле отправителя. Реальный заливщик от своего имени осуществлял перевод, но вместо своего номера счета, с которого нужно списать средства, подставлял номер счета жертвы (в СБП можно указать номер телефона). В итоге в банк уходило сообщение о переводе с совершено чужого номера телефона на номер счёта дропа. И банк принимал эту операцию.

Проблема не в системе быстрых платежей, а в ее реализации в конкретном приложении конкретного банка, реальному заливщику удалось провернуть эту схему потому, что он внимательно изучил приложение мобильного банкинга и обнаружил, что поле отправителя не обновляется и его можно подменить. Есть ли у кого-то еще такие уязвимости? Надеюсь, что списание денежных средств со счетов клиентов банков таким вот образом не стало массовым, и такой баг — скорее исключение. К сожалению, в этой схеме пользователи не могут себя обезопасить, а вот банки могут и должны провести независимый аудит своих мобильных приложений и внедрить системы поведенческого анализа, которые защищают мобильный банкинг.

Popular posts from this blog

Почему инженеры электросвязи становятся продажниками

Давно предупреждал инженеров электросвязи - если вы не развиваетесь, то рано или поздно превратитесь либо в дворника, либо в ассенизатора. О чем не предупреждал, каюсь, - так это о том, что локальный апокалипсис наступит прямо сейчас. Взять, например, сетевых инженеров  Ростелекома, которые бодро так искали, кого ещё подключить к интернету последние пару недель в Сочи и в Адлере. Скажете, инженеров заставляют работать продажниками - произвол и несправедливость? Лично я в этом совершенно не уверен. Чтобы было сразу понятно, о чем речь, готов проиллюстрировать свою мысль как работодатель. Мы ведь имеем здесь потенциальный конфликт в отношениях между работником и Ростелекомом , верно? И пока возмущенная общественность твердо стоит на стороне работника, предлагаю посмотреть чуть шире — не со стороны работодателя даже, а так, сбоку. Давайте возьмем, например, меня — типичного работодателя. Так случилось, что на меня работает некоторое количество весьма лояльных и толковых людей, ч

Как работает банк со своими корреспондентами по SWIFT

Итак, наш банк имеет открытые корреспондентские счета в США (CITIBANK N.A. NEW YORK), в Европе (VTB BANK DEUTSCHLAND AG), в России (Промсвязьбанк Москва и Собинбанк Москва). Соответственно, все расследования по платежам происходят через эти банки согласно  установленным корреспондентским отношениям с использованием соответствующих форматов SWIFT MT-195/295, MT-196/296, MT-199/299 и MT-192/292 Кроме прямых корреспондентских отношений с банками, нашим банком установлены отношения и с другими финансовыми организациями через процедуру обмена ключами, что даёт возможность использовать SWIFT-форматы МТ-195, МТ-196 и МТ-199 для проведения процедуры расследования по стандартным платежам и платежам с покрытием: - DEUTSCHE BANK TRUST COMPANY AMERICAS USA - COMMERZBANK AG Germany - CITIBANK N.A. London - CITIBANK N.A. Brussels - BANQUE DE COMMERCE ET DE PLACEMENTS S.A. Geneva - NORVIK BANKA JSC  LV - ABLV BANK AS  LV В среднем процедура расследования занимает от 3 до 14 дней (е

Как найти реального заливщика

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево , но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли? Ко мне начал обращаться народ обращается разных категорий 1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса  2. Реальные мэны, которые  льют сразу большую сумму по SWIFT  без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личност

Залив на карту без предоплаты по SWIFT или SEPA

В последнее время наблюдается такая ситуация, что нальщиков и дропов на рынке много, а адекватных заливщиков , можно сказать, совсем нет. Например, один мой хороший знакомый, имеющий свой собственный офшор, работает с заливщиками на условиях партнерства, предоставляя им трафик и взамен получая 20% от поведенных транзакций на свой счет в офшорном банке. Мне он рассказал по большому секрету, как такое ему удается, а начинал он как и все с малого - продажи дебетовых карт и игре на рынке FOREX . Просто так искать Заливщиков на различных форумах, посвящённых обналу и отмыванию денег - достаточно муторное и нудное занятие, потому как после общения с десятым по счету заливщиком, начинаешь понимать, что просто так на карты и счета никто лить не будет. Однако моему другу попался один довольно интересный вариант - Заливщик предложил сделать перевод в размере 375 000 EUR по SEPA  в день предоставления готового к работе счета и активной системы Multihomed AS . Остальные предлож

Как заработать на AdSense в 2023 году

 Если у Вас уже имеется полностью активированная учётная запись, но с доходом как-то не очень... - мы можем предоставить Вам трафик на взаимовыгоных условиях для его дальнейшей монетизации Наши условия Вас приятно удивят  Для начала работы Вам нужно будет добавить в свою учётную запись сайт по предоставленному шаблону в формате текст с одной картинкой 320 х 250 на страничке и с кодами двух объявлений. Принимаются все домены, кроме .ru. С платформами видеохостинга и монетизации видеоконтента мы не работаем, текст может быть абсолютно любой, абсолютно по любой теме на ваше усмотрение, но не рекомендуем его полностью копировать с широкоизвестных ресурсов - за это можно улететь в бан, даже после двух - трёх лет нашей совместной работы. Пробный пакет трафика мы предоставляем бесплатно в размере €50, далее работаем по предоплате из расчёта 50/50. То есть при авансе в €100 вам отгружается пакет трафика на €200. При исчерпании пакета отгрузка трафика приостанавливается. Трафик преимущественно

Всё больше студенток хотят найти себе спонсора

Маше 22 года. На ней спортивные штаны и футболка. Она решила спать с мужчинами гораздо старше ее самой, когда она училась в университете. Свои мысли она выражает спокойно и ясно. "Я люблю секс, - говорит Маша, - и хочу заметить, я хорошо знаю, как им заниматься. Так что найти "папочку" или двух не составило никакого труда". Маша в этом смысле не одинока. Все больше и больше самарских студенток, погребенных под горами долгов, решают найти себе богатого мужчину определенного возраста. Они проводят время с такими "папочками" в обмен на деньги и подарки. "Мой женатый "папочка" давал мне примерно три тысячи за ночь", - говорит Маша. - Его интересовал только секс. Мой разведенный "папочка" давал мне около пяти тысяч рублей на мои расходы". Будучи студенткой, Маша с трудом сводила концы с концами. "В мой первый год у меня было две работы", - говорит она. "Это было ужасно – я работала в баре, где мне