Эксперт назвал слабое место Системы быстрых платежей

Фото: ИЗВЕСТИЯ/Алексей Майшев

Читать iz.ru в

Озвучить текст

Выделить главное

вкл

выкл

Само по себе использование системы быстрых платежей (СБП) безопасно, однако проблемы могут оказаться в приложениях отдельных банков, рассказал «Известиям» руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин 24 августа.

Ранее в этот день «Коммерсант» написал, что Центробанк выявил новый способ хищения средств со счетов клиентов в банке с использованием СБП. При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была остановлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя.

Банкоматная очередь: в АТМ появится функция переводов по номеру телефона

Кредитные организации внедряют такой сервис через систему быстрых платежей

По словам Ярослава Бабина, если хакеры обнаружили уязвимость в приложении кредитной организации, то клиент никак не сможет повлиять на сохранность своих средств. Вся ответственность лежит на банке, разработавшем и выпустившем приложение.

«В данном случае речь идет о весьма типовой уязвимости, связанной с недостаточной авторизацией, которую мы встречали в 37% проанализированных в прошлом году веб-приложений», — сказал эксперт.

Это значит, что любой банк, своевременно анализирующий защищенность своих систем и сервисов, мог бы обнаружить ее раньше, чем это сделали злоумышленники.

«Мы рекомендуем уделять больше внимания анализу защищенности систем, обязательно внедрять методы безопасной разработки, а также анализировать исходный код всех публичных приложений или их обновлений до их публикации, в том числе с использованием автоматизированных инструментов», — заключил специалист.

Система быстрых платежей — сервис, который позволяет физическим лицам мгновенно переводить по номеру телефона себе или другим лицам. При этом неважно, в каком банке открыты счета отправителя или получателя средств, главное — чтобы эти банки были подключены к системе.

В мае «Известия» писали, что в кредитных организациях ожидают всплеска мошенничеств с использованием поддельных банковских приложений. Дистанционное обслуживание стало особенно популярным в период самоизоляции: количество скачиваний ПО и активных пользователей резко увеличилось.