Система быстрых платежей оказалась уязвимой для мошенников
В ЦБ признали наличие проблемы перебора номеров в Системе быстрых платежей (СБП). Система устроена так, что дает возможность получить имя и отчество клиента, привязавшего номер к карте или счетам, а также названия банков, в которых они находятся. Это первичная информация для мошенников, специализирующихся на социальной инженерии. Всего в рамках борьбы с подбором данных ЦБ заблокировал более 23 тыс. номеров. Но такая блокировка — временная мера, в системе другого банка заблокированный номер телефона воспринимается как «чистый» и подбор можно начинать снова.
Куратор ФинЦЕРТ (подразделение ЦБ) Артем Сычев сообщил 20 февраля в ходе Уральского форума по информбезопасности, что СБП позволила заблокировать 23,3 тыс. операций по подозрению в попытках перебора номеров.
Как пояснили в ЦБ, были блокированы 23 тыс. телефонных номеров для использования в СБП. Из них 169 блокировок — подтвержденные банками попытки перевода денег без согласия клиента. «Важно подчеркнуть, что в СБП не хранятся клиентские данные, — отметили в ЦБ. — При этом система антифрода обеспечивает блокировку номеров, с которых осуществляются переборы или попытки направления запросов в банки—участники СБП в целях выяснить, возможно ли сделать перевод в пользу того или иного клиента этих банков».
Система быстрых платежей Банка России работает с конца января 2019 года. По данным ЦБ, за год в ней было проведено около 9 млн операций на 80 млрд руб. В настоящее время к ней подключены 42 банка, еще около 160 кредитных организаций подали заявки на подключение. Система позволяет гражданам переводить деньги по номеру мобильного телефона клиенту подключенного к СБП банка. Таким образом злоумышленники и подбирают данные, выясняя, где у конкретного человека есть счета, а потом методами социальной инженерии добиваются перевода средств со счета клиента на свои счета или счета подставных лиц.