Актуальный метод скама на п2п, будте осторожны

Доброе время суток!

Как мы бы могли заscummить mamонта на лям на изи, но не сделали этого, так наша работа - защищать юзеров на платежных системах!

Сегодня я хочу рассказать вам о неординарной ситуации в области кибербезопасности, которая, как мне кажется, заслуживает внимания.

Недавно наша организация, назовем ее SecureBridge, решила расширить свои горизонты и открыть подразделение, специализирующееся на финансовой безопасности. Это было по моей инициативе, поскольку я убежден, что защита финансовых транзакций не менее важна, чем защита информационных сетей.

К нам обратился клиент, владеющий мощной платежной платформой, которую мы назовем DevilPay, с просьбой провести аудит их безопасности. Вместо того чтобы сразу привлекать наших специалистов по проникновению, я предложил начать с оценки финансовой безопасности.

Что же мы сделали? Наши усилия привели к удивительным результатам. Мы обнаружили брешь в системе DevilPay, позволившую нам осуществить весьма простую атаку. Мы использовали программу под названием EliteTemkOff, представляющую собой точную копию приложения банка Тинькофф со всеми его функциями и возможностями изменения данных.


* Подмена информации обо всем (Имя, Баланс, Карты, Счета и т.д.)
* Возможность редактирования истории платежей
* Проведение фиктивных переводов
* Автоматическая генерация платежных чеков
* И другие возможности

С помощью этой программы мы провели ряд манипуляций, которые оказались катастрофическими для безопасности DevilPay.
1. Мы создали фиктивный перевод через P2P ордер для покупки децентрализованного актива на сумму 1'000'000 рублей.
2. Затем, не производя реальный перевод, мы подтвердили этот ордер и предоставили контрагенту поддельный чек.
3. Контрагент, подозревая мошенничество, открыл спор.
4. И НАИБОЛЕЕ ИНТЕРЕСНЫЙ МОМЕНТ! В чат ордера мы загрузили видео с нашего поддельного Тинькофф банка, где заранее изменили все данные. Мы записали, как переходим по приложению, заходим в профиль, историю и показываем якобы наш перевод.
Поскольку контрагент проводил сделки от имени третьих лиц, поддержка встала на нашу сторону и отпустила нам активы. В итоге мы получили активы бесплатно, что указывает на серьезную уязвимость, о которой мы немедленно сообщили.

Вот еще пример со Сбербанком, разработанный той же командой, что и Тинькофф.



Заключение:
Подобные случаи подчеркивают важность проверки не только технической, но и финансовой безопасности систем. Мы рекомендуем специалистам по безопасности рассматривать этот метод оценки, а владельцам платежных систем проводить такие аудиты.