Хакеры начали атаковать юрлиц через мобильные приложения

Отработанные на физлицах схемы мошенничества преступники начали применять по отношению к коммерческим структурам. Они используют мобильные приложения для атаки на счета компаний. В связи с этим Центробанк рекомендовал банковским учреждениями провести проверку систем дистанционного обслуживания.

По словам экспертов, если в поставляемом в качестве «коробочного решения» софте обнаружатся уязвимости, то под ударом окажутся клиенты многих кредитных организаций. Из письма ЦБ следует, что для хищения средств со счетов коммерческих структур мошенники используют системы ДБО. Они авторизуются в них от лица реальных клиентов путем подмены номеров.

В документе подчеркивается, что инициаторы атак имеют очень высокий уровень подготовки. Об используемых в системах ДБО технологиях хакеры знают не меньше разработчиков. В письме Центробанка приводится реальная мошенническая схема. Из ее описания следует, что хакер авторизовался в приложении банка с помощью подлинных пароля и логина. Далее он перевел апплет в режим отладки с целью изучения порядка и структуры вызовов API системы ДБО. Располагая всеми необходимыми параметрами API-запросов, злоумышленник сформировал распоряжение о переводе средств со счета жертвы на указанный им счет. Номера счетов жертв мошенники берут из открытых источников.