SS
Пацаны, снимаем бабки и рассовываем их по 3л банкам
Ну обалдеть: Центробанк нашел уязвимость в Системе Быстрых платежей, которую… сам и создал! Мы неоднократно писали о том, что система опасная, сделала из говна и палок (что не помешало цэбэшникам распилить многомиллиардный бюджет и получить премии), но того, что эти чудики оставят возможность мошенникам через API подменять счета получателя и отправителя средств - этого даже мы предположить не могли.
Схема простая: мошенник запускает мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправляет запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указывает номер счета другого клиента этого банка. И с чужого счета сам себе переводят деньги. У обворованного клиента не спрашивают ни смс, не подтверждения платежа. Система просто переводит. Быстро:) Видели массу сообщений на банках.ру - что у них вдруг пропали деньги, хотя никаких смс им не приходило, “специалисты банка” не звонили и тд? Скажите спасибо тетушке Эле - она сделала это возможным. Фактически она (законодательно!) подложила трояна во все мобильные банковские приложения страны. @infernal_money
