Экономическая проверка платежной системы / Пентест даже не понадобился кек

Доброго времени суток!

Сегодня я поделюсь с вами одним необычным случаем в области информационной безопасности, который, как мне кажется, представляет интерес для обсуждения.

Позвольте начать с того, что недавно мы, компания (назовем BridgeSecurity), решили расширить нашу сферу деятельности и открыть отдел, специализирующийся на экономической безопасности. Это стало следствием моей инициативы, так как я убежден, что защита финансовых операций имеет не меньшее значение, чем защита информационных систем.

Однажды к нам обратился заказчик, владеющий крупной платежной системой под названием (пусть будет ShaitanPayment), с просьбой провести проверку безопасности их платформы. Вместо того чтобы сразу привлекать наших специалистов по пентесту, я предложил начать с анализа экономической безопасности.

Что же мы сделали? Наша работа принесла удивительные результаты) Мы обнаружили уязвимость в системе ShaitanPayment, которая позволила нам выполнить тупейшую атаку. Мы приобрели программу под названием TemkOffElite, которая представляет собой точную копию приложения Тинькофф банка, включая все его функции и возможности подмены данных.

* изменение информации обо всем (Имя, Баланс, Карты, Счета, …)
* Возможность редактировать историю платежей как душе угодно
* Розыгрыш-переводы любыми методами
* Авто-чеки платежей
* И прочие фичи

С помощью этой программы мы смогли провести несколько манипуляций, которые оказались фатальными для безопасности ShaitanPayment.
1. Мы создали фиктивный перевод средств через P2P ордер на приобретение децентрализованного актива на сумму 1'000'000 рублей.
2. Затем, не осуществляя фактического перевода, мы подтвердили этот ордер и представили контрагенту поддельный чек.
4. Далее, разумеется, контрагент открыл спор (мол его пытаются обмануть).
5. И САМОЕ ВАЖНОЕ И УДИВИТЕЛЬНОЕ! В чат ордера скидываем видео с нашего Тинькова, в которым мы уже заранее подделали все данные. Снимаем на видео как мы ходим по банку, заходим в профиль, историю и показываем якобы наш перевод.
Поскольку контрагент проводит сделки от третьего лица, то поддержка стала на нашу сторону, и отпустила нам активы. По итогу мы отобрали их бесплатно у контрагента!!! Это и есть дыра в безопасности, о которой мы незамедлительно сообщили.

Вот еще, например, сбербанк, который так же разработала команда проекта, где мы брали тинькоф


Вывод:
Подобные инциденты, как этот, подчеркивают важность проверки не только технической, но и экономической безопасности финансовых систем. Мы рекомендуем другим специалистам в области безопасности рассмотреть данный метод проверки, а владельцам платежных систем обратить внимание на необходимость проведения подобных аудитов.