Банк России выявил первую мошенническую схему с использованием системы быстрых платежей (СБП), пишет газета «Коммерсантъ». По информации издания, систему взломали через уязвимость в мобильном банке одной из кредитных организаций.

Как выяснилось, уязвимость связана с открытым API-интерфейсом. Злоумышленник сумел получить данные счетов клиентов, затем авторизовался как реальный клиент и запустил мобильное приложение в режиме отладки. Он отправил запрос на перевод средств в другой банк, но вместо своего счёта отправителя указал чужой.

Номера счетов клиентов банка мошенник получил перебором в ходе атаки по использованию недокументированной возможности программного интерфейса приложения дистанционного банковского обслуживания.

В ЦБ отмечают, что уязвимость не затрагивала программное обеспечение системы СБП и была быстро устранена. Проблему описывают как локальную – в программном обеспечении для одного банка.