La publicación “Kommersant”(un recurso muy fiable en rusia) informa que los expertos enviaron los boletines a los bancos FinTsERT con la descripción del nuevo esquema de robo de fondos de los usuarios la semana pasada. Para esto, los atacantes sin nombre utilizaron el Sistema de Pago Rápido (FPS) y una vulnerabilidad en uno de los sistemas bancarios. Según los participantes del mercado, este es el primer caso de robo de fondos utilizando fast payment system (no es implementado en todos los países, incluso españa no lo tiene).

Una fuente propia explicó a los periodistas que a través de la vulnerabilidad el pirata informático obtuvo datos de la cuenta del cliente. Luego lanzó la aplicación móvil en modo debug, ingresó como cliente real, envió una solicitud para transferir fondos a otro banco, pero antes de realizar la transferencia, en lugar de su cuenta del remitente de fondos, indicó el número de cuenta de otro cliente de este banco. La banca online sin verificar si la cuenta especificada pertenece al remitente, envió un comando al FPS para transferir fondos, que llevó a cabo.

El boletín FinCERT señaló que los números de cuenta de las víctimas fueron de fuerza bruta en un ataque exitoso utilizando una función API de banca online no documentada.

“El problema se identificó en el software de un banco (aplicación móvil y sistema de banca online) y era de corto plazo. Fue rápidamente eliminado ”, comentan los representantes del Banco Central. Al mismo tiempo, no se revela el nombre del banco, pero se enfatiza que el FPS en sí está protegido de manera confiable.

Es interesante que según la publicación, la vulnerabilidad era tan específica que era casi imposible descubrirla y fue por casualidad:

“Alguien que conociera bien la arquitectura de la banca móvil de esta entidad de crédito podría conocerla. Es decir, alguien dentro del banco, un desarrollador de software o alguien que lo probó ”, dijo a la prensa un representante del banco.

Los expertos de Grop-IB explican que el fraude consistió en que el campo del remitente no estaba marcado en la aplicación móvil. Los ciberdelincuentes realizaron la transferencia en su propio nombre, pero en lugar de su número de cuenta del que debían debitarse los fondos, lo sustituyeron por el número de cuenta de la víctima (puede especificar el número de teléfono en el FPS). Como resultado, el banco recibió un mensaje sobre la transferencia del número de teléfono de otra persona al número del estafador. Y el banco aceptó esta operación.

“El problema no está en el sistema de pago rápido, sino en su implementación en una aplicación específica de un banco en particular”, dice Sergey Nikitin, Director Adjunto del Laboratorio del Grupo IB. “Los estafadores lograron llevar a cabo este esquema porque examinaron cuidadosamente la aplicación de banca móvil y encontraron que el campo del remitente no está actualizado y se puede cambiar. ¿Alguien más tiene tales vulnerabilidades? Espero que el fraude no se haya generalizado y que ese error sea más bien una excepción. Desafortunadamente, en este esquema, los usuarios no pueden protegerse a sí mismos, pero los bancos pueden y deben realizar una auditoría independiente de sus aplicaciones móviles e implementar sistemas de análisis de comportamiento que protejan la banca móvil “.