Система быстрых платежей в чем опасность
Перейти к содержимому

Система быстрых платежей в чем опасность

  • автор:

Система хитрых платежей

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.

Фото: Анатолий Жданов, Коммерсантъ / купить фото

Фото: Анатолий Жданов, Коммерсантъ / купить фото

Как стало известно “Ъ”, ФинЦЕРТ на прошлой неделе разослал в банки бюллетень с описанием новой схемы хищения. Как пояснил “Ъ” источник, знакомый с ситуацией, злоумышленник через уязвимость в одной из банковских систем получил данные счетов клиентов. Затем он запустил мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов.

По словам участников рынка, это первый случай хищения средств с помощью СБП.

В бюллетене отмечалось, что номера счетов жертв были получены перебором в ходе успешной атаки по использованию недокументированной возможности API (программного интерфейса приложения) дистанционного банковского обслуживания (ДБО).

В ЦБ “Ъ” подтвердили факт инцидента: «Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена». Названия банка в ЦБ не раскрыли, но подчеркнули, что сама СБП надежно защищена и уязвимость не касалась программного обеспечения системы. В НСПК, которая выступает операционным платежным клиринговым центром СБП, также отметили, что в ПО системы уязвимостей не выявлено:

«Была обнаружена локальная проблема в программном обеспечении, разработанном для одного конкретного банка».

По словам источника “Ъ” в крупном банке, сама уязвимость оказалась настолько специфической, что обнаружить ее случайно было практически невозможно: «О ней мог знать кто-то хорошо знакомый с архитектурой мобильного банка этой кредитной организации. То есть либо кто-то внутри банка, либо разработчик программного обеспечения, либо тот, кто его тестировал».

Как в ЦБ признали наличие проблемы перебора номеров в СБП

Впрочем, ведущий эксперт «Лаборатории Касперского» Сергей Голованов считает случайное обнаружение даже такой уязвимости вполне вероятным: «Уязвимости могут встретиться в любом ПО, ведь программы, в том числе приложения для интернет-банкинга, пишут люди, которые могут ошибаться. Обычно подобные бреши обнаруживаются после обращений клиентов и расследования инцидентов». По его словам, в «Лаборатории Касперского» периодически отмечают случаи успешных атак на мобильные банки кредитных организаций.

Однако ни в одной из опрошенных “Ъ” крупных кредитных организаций не подтвердили случаев успешного взлома мобильного банка.

Мошеннические операции с участием людей, сотрудничавших с разработчиками или тестировщиками ПО, на рынке хорошо известны. По словам заместителя директора департамента розничных клиентских решений и цифрового бизнеса Росбанка Павла Меньшикова, у любого крупного банка есть внешняя разработка: «Для минимизации рисков проводится тестирование на всех этапах разработки, в том числе и регресс всего функционала независимой командой».

Директор департамента Digital банка «Открытие» Александр Пятигорский отмечает, что API по своей сути это только формат взаимодействия сторон (в описанном случае банков и СБП). «Риски в таком взаимодействии лежат на уровне надежности каждого элемента взаимодействия,— заявил он.— У нас в банке выстроена многоуровневая система тестирования, один из которых — тестирование со стороны внешнего бета-сообщества, в котором установлены крайне высокие выплаты для обнаружившего любой риск безопасности».

В чем подвох системы быстрых платежей и есть ли опасность?

Иван Беляев

Чем неудобна и опасна система быстрых платежей, в чем подвох использования сервиса? В основном наибольшую проблему составляют сами условия пользования. Так, например, многие пользователи забывают, что для того, чтобы осуществлять переводы через СБП по номеру телефона, нужно чтобы инструмент был подключен и у отправляющей, и у принимающей стороны. А работают с сервисом далеко не все российские банки и ни одного зарубежного представителя. Еще один подвох СБП — переводы возможны только рублевые. Кроме того, появилась опасность со стороны мошенников. Злоумышленники путем перебора определяют, в каком банке открыты счета у пользователей, и атакуют их звонками. Кроме того, многие клиенты даже не знают, что у них в настройках могут быть включены автоматические переводы средств в ответ на запрос другого клиента СБП. Так что держать ухо востро придется постоянно, таких нюансов и подвохов уйма. Ну или один раз разобраться досконально с правилами безопасности банковского счета. Что еще таит в себе система быстрых платежей, в чем опасность использования СБП? Подробнее расскажем далее.

Плюсы и минусы

Широкая реклама СБП в сети сделала свое дело, и многие ломанулись подключать инструмент. Но далеко не все разобраться в подвохах системы быстрых платежей. Поэтому взвесьте все плюсы и минусы системы быстрых платежей перед тем, как активировать ее.

Преимущества

К плюсам СБП можно отнести:

  • Возможно моментально перевести денежные средства другому пользователю даже другого банка по номеру телефона. Вам не нужно знать номер счета клиента и другие реквизиты, чтобы отправить деньги. Вам нужны только цифры телефона, привязанного к карте, и наименование банка.
  • Еще одно преимущество сервиса — зачисление происходит мгновенно 24/7. Нет зависимости от праздничных и выходных дней.
  • Нет необходимости устанавливать дополнительное приложение. Все операции производятся в банковской программе.
  • Взвешивая плюсы и минусы перевода СБП, стоит также отметить, что комиссия для операций частных лиц до определенной суммы отсутствует. Например, в Сбербанке можно переводить через систему быстрых платежей до 100 тысяч в месяц без комиссии. Все транзакции свыше этой суммы облагаются комиссией в размере 0,5%, но не более 1500 рублей.
  • Если еще говорить про плюсы для покупателей, то стоит отменить возможность подключения оплаты по QR-коду через систему быстрых платежей. Этот платежный сервис работает без участия NFC-модуля, ему нужен по сути только выход в интернет. А это значит, что Вы не зависите от работы терминала и блокировок платежных систем.
  • Преимущество оплаты СБП — отсутствие необходимости постоянного ввода реквизитом карты, а также отслеживания срока перевыпуска пластика. Ведь сервис привязан к счету, а не к конкретной карте.
  • Еще одно преимущество для бизнеса — сниженные проценты по комиссии за прием оплаты через систему быстрых платежей. А если удастся воспользоваться субсидией, то можно и вернуть все потраченные деньги.
  • Кроме того, у продавца пропадает необходимость в кассе или терминале. Но зато можно комбинировать различные способы расчетов за покупки.

Недостатки

Продолжая разговор про недостатки и преимущества СБП для клиента, перейдем к явным минусам системы быстрых платежей.

  • Самый главный подвох в использование сервиса — это то, что подключить его в большинстве банков можно только в мобильном приложении. В десктопной версии возможность такая банально не заложена. И даже визит в офис и звонок на горячую линию ничего не решит.
  • Кроме того, подключить опцию придется самостоятельно. А многие банковские организации «прячут» инструмент так, что не сразу удается найти. Например, в СбербанкОнлайн для активации нужно перейти сначала в «Профиль», а затем в «Настройки».
  • Кстати, про настройки. Проверьте всё внимательно несколько. Прежде всего, речь идет о двух моментах:
  1. Не подключайте к одному номеру несколько разных клиентов. Такое часто бывает внутри семьи.
  2. Настройте приоритетный банк, если пользуетесь картами нескольких организаций и ко всем подключен сервис быстрых платежей.
  3. Сразу же отключите автоматический перевод по запросам от других пользователей без подтверждения операции. Иначе не заметив этот подвох, Вы рискуете остаться без денег на счету.
  • Говоря про плюсы и минусы СБП для физических лиц и предпринимателей, не стоит забывать и о том, что обоим участникам операции нужно подключить систему быстрых платежей к своим счетам. Если у отправляющей или принимающей стороны инструмент не подключен, мгновенная транзакция не пройдет. В связи с этим есть еще один явный минус — далеко не все банки запартнерились и подключились к сервису.
  • Еще один момент для клиентов СБП, в чем подвох системы быстрых платежей в Тинькофф или у Сбербанка, — очень проблематично вернуть ошибочно проведенную транзакцию. Вплоть до того, что возможно деньги вернуть не удастся.
  • А вот и еще один подвох — ограничения и условия. Не забывайте и о том, что для проведения переводов и платежей без комиссии устанавливаются лимиты.
  • Кроме того, все переводы средств только рублевые. Перекинуть валюту, а уж тем более на карту заграничного банка у Вас не выйдет.
  • Еще один подвох в работе инструмента — обязательно нужен стабильный интернет. Без него ничего работать не будет.
  • К тому же, если Вы владелец бизнеса, стоит заранее подготовиться к тому, что в настоящий момент еще не такой уж большой процент покупателей привык пользоваться СБП. Так что возможно первое время придется комбинировать различные способы расчетов за покупки.

Ну и конечно же, не забудьте посмотреть отзывы других пользователей. Кто еще лучше них скажет про все плюсы и минусы СБП Сбербанка или любой другой банковской организации? Как часто бывают сбои и с какими приложениями особенно не дружит система быстрых переводов? В чем подвох конкретного банка?

Безопасно ли?

Ну и наконец, вопрос, который волнует многих пользователей СБП: безопасно ли это? Как и любой другой механизм перевода денег, система быстрых платежей имеет свои бреши в защите. Но если соблюдать правила безопасности и не забывать про различные подвохи в работе инструмента, тогда Вы сможете сберечь свои кровные.

В настоящее время мошенники нащупали уже 2 лазейки для совершения махинаций. Обе базируются на методе перебора. Когда злоумышленники перебирая данные находят информацию. Прежде всего, их интересует: у кого, в каком банке открыт счет, и к какому номеру он привязан. Дальше они, как правило, действуют двумя методами:

  1. Начинают звонить клиенту от имени банка и сообщают о мошеннических действия со счетом, выманивая данные по карте;
  2. Пытаются отправить запросы на перевод средств, вычисляя пользователей, у которых в настройках стоит автоматическое перечисление по запросу без подтверждения. Мы уже говорили про этот подвох выше в недостатках инструмента.

Конечно, это не все мошеннические схемы, но самые популярные в настоящий момент. Исходя из этого ответим на вопрос: безопасно ли подключать систему быстрых платежей? Да, если помнить обо всех подвохах и настроить сервис изначально правильно. В частности:

  • Сразу же отключите автоматические переводы без подтверждения. Да, может быть неудобно тратить время на вводы кодов, но это сбережет Ваши деньги;
  • Отключить вообще входящие запросы, если они Вам не понадобятся;
  • Не сообщайте по телефону никакой информации по карте «сотрудникам» банка/правоохранительных органов и тд. Это конфиденциальные данные. Лучше вообще не вести такие переговоры.

А с какими подвохами в работе опции сталкивались Вы? Что Вам нравится, а что хотелось бы изменить? Делитесь в комментариях, не стесняйтесь!

ЦБ предупредил о риске использования Системы быстрых платежей мошенниками

Фото: Андрей Любимов / РБК

ЦБ предупредил банки о возможности использования мошенниками сервиса Системы быстрых платежей (СБП) для получения информации о клиентах путем «перебора идентификаторов». Об этом сообщает газета «Ведомости» со ссылкой на разосланное по банкам письмо за подписью директора департамента информационной безопасности ЦБ Вадима Уварова.

В документе отмечается, что с помощью запроса через СБП номера мобильного телефона можно узнать имя, отчество и первую букву фамилии его владельца, а также названия банков, где у человека открыты счета. Этой информации недостаточно для хищения денег, однако мошенники могут использовать ее для того, чтобы совершить кражу с использованием методов «социальной инженерии». Например, позвонить от имени банка и, верно назвав имя и отчество человека, попытаться убедить того сообщить необходимый для списания средств с карты код из смс-сообщения.

В документе указано также, что дочерняя ЦБ Национальная система платежных карт (НСПК, операционно-клиринговый центр СБП) сама ведет мониторинг операций и блокирует номера телефонов, с которых осуществляется массовый перебор.

В июне 2019 года первый замдиректора департамента информационной безопасности Банка России Артем Сычев, отвечая на вопрос об угрозе того, что через СБП мошенники могут узнать, в каком банке у человека открыт счет, назвал «уровень фрода» (от английского fraud — мошенничество) нулевым.

«Действительно, изначально были опасения, что система позволяет перебором номера узнать какую-то информацию. Это не так. Для исключения такого риска мы реализовали специальный алгоритм. Он позволяет в случае обнаружения подобных попыток со стороны банка отправителя не доводить эти запросы до банка получателя. Мы видим, что в ряде банковских систем такие переборы делают, но на уровне СБП они блокируются», — заявил Сычев в интервью ТАСС.

Система быстрых платежей (СБП) — сервис, который позволяет физическим лицам круглосуточно и практически мгновенно переводить деньги по номеру мобильного телефона себе или другим лицам вне зависимости от того, в каком подключившемся к СБП банке открыты счета отправителя или получателя средств.

Какой риск в Системе быстрых платежей

С 28 февраля первые банки запустили для своих клиентов переводы денег по номеру телефона через Систему быстрых платежей (СБП) Центробанка. Чтобы сделать перевод, отправитель должен в приложении своего банка выбрать номер получателя из списка контактов, а из перечня банков – участников СБП – тот, в который перевести деньги.

Узнай его банки

Таким образом можно проверить, в каких банках есть счета у получателя, убедились «Ведомости». Если у него есть счет в каком-то банке, система показывала имя, отчество и первую букву фамилии получателя и предлагала отправить ему деньги. В противном случае появлялось сообщение, что у получателя в этом банке счета нет (такой ответ возможен также, если клиент не оставлял свой номер телефона в банке при открытии счета или давал другой номер).

Так корреспондент «Ведомостей» нашел банк, в котором есть счет у Владимира Комлева, гендиректора Национальной системы платежных карт (НСПК, «дочка» ЦБ, операционный клиринговый центр СБП).

Как запускается Система быстрых платежей Центробанка

Сам он это проблемой не считает. «Для того чтобы найти мой банк, вы должны знать мои имя и фамилию, мой номер мобильного и еще дополнительные детали, например место работы и предполагаемый зарплатный банк, – сказал Комлев «Ведомостям». – Вряд ли сведения о моем банке будут кому-то полезны. Мы знаем, что у более половины россиян есть счет в Сбербанке, например, – и что? Если же мошенники захотят что-то обо мне узнать, то использование СБП будет для них очень трудозатратно: во-первых, им нужны будут какие-то сведения изначально, либо им придется вручную перебирать все множество банков, во-вторых, у нас есть защита от ботов, которые могли бы автоматически методом перебора искать банки, в которых у владельца телефона есть счет».

Через СБП можно получить связь номера телефона, имени, отчества, счета в конкретном банке, чем могут воспользоваться злоумышленники, говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Злоумышленникам нужны эти данные для обзвона жертв (т. н. социальной инженерии), чтобы получить коды для списания денег. Уже сейчас злоумышленники обращаются к жертве по имени и отчеству, чтобы не вызывать подозрения, рассказывает он, теперь эти же злоумышленники смогут называть жертвам конкретные банки, в которых у них есть счета, и представляться службой безопасности одного из них. Шансы на успешное списание денег возрастут, указывает Голованов: чем больше злоумышленники знают, тем лучше они входят в доверие и тем больше людей им верят и выполняют их распоряжения.

В прошлом году мошенники украли с карт 1,4 млрд руб., рост за год – 44%, следует из данных ЦБ. Основная причина краж (в 97% случаев) – это социальная инженерия, говорится в отчете регулятора.

Клиенты могут в СБП привязать к номеру телефона счет по умолчанию – тогда система не будет предлагать тем, кто отправляет им деньги, список банков на выбор, подчеркивают представители ЦБ (оператор СБП) и НСПК. Однако многие банки планируют автоматически подключать переводы через СБП своим клиентам, вне зависимости от того, выбрали они счет по умолчанию или нет.

«Тезис, что через СБП возможно узнать много дополнительной информации о клиенте, не соответствует действительности», – говорит представитель ЦБ, а описанный сценарий «перебора» не нов для рынка. Точно такую же информацию можно получить и в рамках внутрибанковских сервисов переводов по номеру телефона, указывает он. И подчеркивает, что в СБП предусмотрена защита для предотвращения мошенничества.

«Ведомости» направили запросы в Сбербанк и «Тинькофф банк», у которых есть собственные системы переводов по номеру телефона, видят ли они риски в их собственных системах. «Положение Банка России 383-п предусматривает возможность осуществления переводов по идентификатору получателя. Таким идентификатором может быть номер телефона. Банк действует в соответствии с законодательством», – сказал представитель Сбербанка, но на вопрос о возникающих при этом рисках не ответил. В «Тинькофф банке» есть система противодействия мошенничеству, которая ограничивает перебор счетов наших клиентов и обеспечивает защиту от бот-сетей, говорит его представитель. При подозрениях включается блокировка, в результате которой клиент не сможет запрашивать информацию на определенное время, указывает он.

К СБП будут подключены много банков, и если злоумышленники смогут узнать какой-то «редкий» банк, в котором у жертвы есть счет, то вызовут больше доверия, ведь счетом в Сбербанке уже никого не удивишь, говорит эксперт по информационной безопасности банков Николай Пятиизбянцев. Система мониторинга, защищающая от поиска счетов методом перебора, прежде чем сработать, должна сначала пропустить несколько запросов, а это дает мошенникам несколько попыток, объясняет он. По его мнению, логичнее, когда человек сам привязывает счет, на который он хочет получать деньги по номеру мобильного, и уже только после этого давать возможность получать переводы.

Есть риски и для госслужащих, указывает Пятиизбянцев: кто-то, зная их номер телефона, что не великая тайна, может перевести им деньги, а им потом придется объяснять, что это не взятка.

Нужно ли согласие

Правила НСПК обязывают банки получать согласие клиентов на передачу сведений о нем НСПК, участникам СБП и плательщику. А в положении Центробанка говорится о том, что банк, если это не указано в договоре, должен получить согласие клиента на зачисление денег по идентификатору, например номеру телефона.

Договоры QIWI и «Тинькофф» с клиентами уже предусматривают возможность получать деньги через СБП, говорят их представители. СКБ-банк и «АК барс» также не будут запрашивать отдельно согласие получателя. Клиент дает согласие в электронной форме на присоединение к СБП, говорит представитель Совкомбанка. Клиенты Райффайзенбанка смогут получать деньги через СБП только при наличии такого волеизъявления, говорит его представитель: чтобы начать пользоваться сервисом, нужно в настройках мобильного приложения выбрать Райффайзенбанк основным для получения переводов по номеру телефона, а также указать счет, на который будут зачисляться переводы. Представитель «Золотой короны» заявил, что из-за закона о персональных данных и банковской тайне сначала будет запрашиваться согласие на получение денег.

Клиент банка может в любой момент отказаться от получения средств через СБП, подчеркнула пресс-служба НСПК.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *