La banque centrale a mis en garde les établissements de crédit contre un stratagème frauduleux, à l’aide duquel des attaquants peuvent voler de l’argent sur les comptes d’entités juridiques via une application mobile. Cela a été rapporté par Kommersant en référence à la lettre du régulateur.
La Banque centrale a noté que les attaques de pirates ont été préparées à un niveau très élevé et que ceux qui les ont commises connaissent bien le système bancaire à distance (RBS) et les fonctionnalités du traitement des paiements.
Ainsi, la lettre cite à titre d’exemple un cas où un fraudeur est entré dans l’application mobile de la banque à l’aide d’un nom d’utilisateur et d’un mot de passe légaux, après quoi il l’a mise en mode débogage afin d’étudier l’ordre et la structure des appels à l’interface du logiciel RBS.
«Connaissant tous les paramètres nécessaires des requêtes API, l’attaquant génère un ordre de transfert de fonds, en indiquant le compte de la victime dans le champ, Numéro de compte de l’expéditeur » , précise le document.
Le régulateur a recommandé que les banques effectuent des contrôles appropriés des systèmes RB appliqués et introduisent un contrôle accru sur ceux-ci.