Центробанк выявил "иные" компьютерные атаки на клиентов банков в системе быстрых платежей (СБП). Об этом регулятор сообщил банкам в письме за подписью директора департамента информационной безопасности Вадима Уварова.
СБП позволяет физлицам переводить деньги друг другу по номеру мобильного телефона вне зависимости от того, в каком из ее банков-участников открыты счета отправителя и получателя. Оператор СБП – Центробанк, система заработала в феврале.
В письме регулятора, с которым "Ведомости" ознакомились, ЦБ называет атаками сбор информации о клиентах банков.
Зная идентификатор клиента в СБП - номер его мобильного телефона, можно получить дополнительную информацию о человеке. Например, имя, отчество и первую букву фамилии, а также названия банков, где у него открыты счета. Такие запросы могут быть массовыми, ЦБ называет их "переборами идентификаторов клиентов" и относит к инцидентам информационной безопасности.
Доля атак с использованием метода перебора ничтожно мала, говорит представитель ВТБ. Впрочем, мошенники могут знать о лимитах, которые выставляют банки для блокировки переборов, и не превышать этот лимит, говорит эксперт по безопасности в платежной сфере.
Кроме того, по его словам, мошенники могут использовать специальные алгоритмы и делать запросы с разных номеров и не вызывать подозрений. Сотрудник другого крупного банка считает, что для целенаправленных атак, например на состоятельных клиентов банков, мошенникам может хватить и пары запросов. Что касается массовых переборов в СБП, то они не запрещены законом и основания для блокировки очень спорны.