contemplativeИ сдаются трусы. Такие, как вы…
(Ответ Сальвадора Альенде на ультиматум генерала Пиночета.)
Если постоянно делать добро из зла, то зла может не хватить…
(Мунован Муноди, консультант в светлом будущем по темному прошлому.)
«Слушая ораторов толпа забывает правду. Ее же можно лишь увидеть собственным глазами. Чем больше лжи уходит в толпу, тем быстрее она становится для нее правдой. Так следует превращать народ в стадо»
(Из наставления…)
Если добро не может победить, надо сделать так, чтоб победа досталась злу как можно дороже».
(Автор неизвестен.)
«Часто манипуляция остается единственно возможным средством для тех, кто не может чего-то добиться от кого-то, ни даже воспротивиться власти, которую имеет над ним другой человек».
(Р.В. Жуль и Ж.Л. Бовуа. Небольшой трактат о манипуляции для порядочных людей).
Мошенники начали применять приемы, отработанные на физлицах, к компаниям. ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение и рекомендовал проверить системы дистанционного банковского обслуживания. Если уязвимости обнаружатся в стандартном программном обеспечении, которое поставляется как «коробочное решение», под угрозой могут оказаться клиенты многих российских банков, подчеркивают эксперты.
Источник: Фотоархив ИД «Коммерсантъ».
Как стало известно «Ъ», в конце прошлой недели ЦБ разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО). Делал это авторизованный клиент банка путем подмены номера счета отправителя. В ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем.
В документе подробно описывается схема инцидента, из которой следует, что атака была направлена на счета юрлиц, но никто не пострадал.
Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО. «Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле “Номер счета отправителя” счет жертвы», — поясняется в документе. Номера счетов жертв мошенники узнавали из открытых источников.
В Банке России отмечают участившиеся атаки на системы ДБО банков и в первую очередь на мобильные приложения. «Ввиду высокой вероятности повторения попыток реализации злоумышленниками таких сценариев атак мы ожидаем, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО», — говорится в документе.
Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости.
В случае их выявления до момента устранения производителем следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ.
Летом прошлого года регулятор описывал схожее мошенничество с подменой данных отправителя, но речь шла об атаке на счета физлиц, и вывод средств осуществлялся через СБП — систему быстрых платежей. В нынешнем случае потери могут быть гораздо серьезнее, поскольку лимиты на перевод средств юрлиц существенно выше, чем на переводы в СБП, да и суммы, находящиеся на счетах юрлиц, как правило, намного больше.
Глава службы информационной безопасности ГК «Элекснет» Иван Шубин подтверждает, что описанная в бюллетене схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов, и в этом ее новизна. «Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой трансакции проводилась сверка расчетного счета клиента с его учетной записью», — поясняет эксперт.
По словам гендиректора SafeTech Дениса Калемберга, атака стала возможна в результате «грубейших нарушений принципов проектирования логики приложения», что сделало бесполезными все остальные средства защиты.
«Если эта система, в которой обнаружена уязвимость, является “коробочной”, то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков», — уверен он.
Консультант по интернет-безопасности компании Cisco Алексей Лукацкий добавляет, что безопасность API, с помощью которых взаимодействуют между собой приложения, особенно в условиях взрывного развития финтеха в России — одна из насущных задач, «которой, к сожалению, пока мало уделяют внимание в банковском сообществе». А вот злоумышленники, подчеркивает эксперт, явно «поняли всю перспективность атак на API и будут только наращивать свои возможности».
Взято из: https://news.mail.ru/incident/45223963/?frommail=1
Journal information