Логические ошибки при банковском переводе позволяют злоумышленнику поменять 100 долларов на 100 евро.
Генеральный директор компании-поставщика решений по информационной безопасности ACROS Security Митя Колсек (Mitja Kolsek) поделился с читателями корпоративного блога информацией об уязвимостях систем онлайн банкинга, с которыми ему часто доводилось встречаться. По словам эксперта, почти в каждой системе, допускающей автоматизированное осуществление денежных переводов, можно найти критическую ошибку, позволяющую злоумышленнику воровать средства, как у пользователей службы, таки и у самого банка.
В своей публикации Митя Колсек привел пример схемы, при который злоумышленник может похитить у системы онлайн банкинга крупную сумму денег, не нарушая при этом никаких законов и пользовательских соглашений. В этой схеме задействуется функция округления сумм при проведении обмена валют таким образом, что за 100 долларов злоумышленник может получить 100 евро, несмотря на разницу в курсе.
Исследователь объясняет, что при обмене валют всегда существует два курса – курс продажи и курс покупки. Благодаря существованию этой разницы, или спрэда, банки при переводе денег из одной валюты в другую всегда получают прибыль. Во время проведения конвертации при использовании большинства валют банки округляют суммы до двух десятых от денежной единицы. Так, при покупке долларов на сумму 1000,00 евро клиент получает, например, 1.364,00 условных единиц, хотя на самом деле при текущем курсе валют реальная сумма обмена может составлять порядка 1.364,0045.
Используя эту систему округления злоумышленник может попытаться совершить обмен минимально допустимой суммы – в большинстве случаев это 0,01 от единицы денежной валюты. Если попытаться таким образом поменять 0,01 евро на доллары, то получиться сумма приблизительно в 0,01364 долларов. Банк автоматически округлит получившуюся величину до двух сотых и выдаст клиенту 0,01 доллара, что составит 27% убытка клиенту. Однако если попытаться произвести ту же операцию наоборот, то при конвертации получится сумма приблизительно в 0,0072046, которая также, в конечном счете, будет округлена до 0,01.
В вышеприведенном примере потенциальный злоумышленник, воспользовавшись легитимными средствами, получил доход в 38,8%. Проведение данной транзакции не сможет принести большого дохода, однако если повторить операцию по обмену сто раз, то 1 доллар можно поменять на 1 евро. При использовании автоматизированных сценариев, злоумышленники может производить десятки тысяч транзакций в день и зарабатывать по несколько тысяч долларов.
По словам гендиректора ACROS Security, данная схема впервые была описана еще в 2001 году в исследовании «Ассиметричное округление валют» («Assymetric Currency Rounding»), но оно до сих пор часто встречается в современных системах онлайн банкинга.
Пользователю предоставляется поддельный счет страхования, который обещает компенсацию всей суммы украденных средств на банковском счете. Этот поддельный счет страхования на самом деле является реальным банковским счетом мошенников.
(6) Происходит это из-за того, что банки недостаточно уделяют внимания и сил защите и сохранности накоплений потребителей. К примеру, недавно в Петербурге были задержаны похитители денег с карт, которыми их владельцы расплачивались в ресторанах. Для этог ...
Японская компания NEC объявила о создании экспериментального образца сверхтонкой батареи, которую можно будет в буквальном смысле приклеить к материнской плата или другой микросхеме. Подойдет Organic Radical Battery (ORB) и для банковских карт и гибких экранов.
(8) В 2008 году он арендовал ячейку в одном из банковских отделений, а в 2009 году обратился в полицию с заявлением о пропаже денег. "8 декабря в ячейке лежало 20 тысяч евро, а 15 декабря денег уже не оказалось", — вспоминает он. В банке ...
По данным компании, в первом случае хакеры используют троянскую программу Gozi, которая позволяет им похитить идентификационные номера мобильных телефонов (IMEI) в момент входа пользователя в свою учетную запись в системе ДБО. Вредоносное ПО встраивает в браузер фальшивое сообщение от банка, в котором требуется ввести IMEI код мобильного телефона пользователя, состоящий из 15 цифр.
