Os invasores encontraram uma vulnerabilidade no Fast Payment System (FPS) e o usaram para roubar fundos das contas de outras pessoas. Escreve sobre este “Kommersant”. O roubo aconteceu através de um aplicativo de um dos bancos, mas a vulnerabilidade já foi corrigida.
Conforme explicou a fonte da publicação, os fraudadores obtiveram dados de contas de clientes por meio da vulnerabilidade do UBS. Em seguida, eles se logaram no aplicativo móvel sob o disfarce de um cliente real, após o que transferiram o dinheiro para a conta de outro usuário do mesmo banco. Presumivelmente, os números das contas da vítima eram de força bruta. De acordo com participantes do mercado, este é o primeiro caso de roubo de fundos por meio de um SBP.
O banco central confirmou o incidente, mas observou que o problema foi prontamente resolvido. Segundo representantes do Banco Central, a vulnerabilidade estava no software de um dos bancos, mas seu nome não foi divulgado. Eles também observaram que o SBP está bem protegido. Uma fonte do Kommersant em um grande banco observou que a vulnerabilidade era muito específica e era quase impossível encontrá-la por acaso. Em sua opinião, testadores ou desenvolvedores de aplicativos estiveram envolvidos no hack.
A Kaspersky Lab disse que é bem possível encontrar esses erros por acidente. De acordo com eles, eles podem ser permitidos pelos desenvolvedores ao escrever o código. A empresa também observou que ataques bem-sucedidos a bancos móveis de grandes organizações ocorrem periodicamente.