Сотни тысяч попыток списаний: разработчик приложений устроил атаку на клиентов Сбера

Некая украинская компания пыталась провести списания со счетов клиентов, имея данные их банковских карт.

Заместитель председателя правления Сбербанка Станислав Кузнецов рассказал о серьезной атаке на средства клиентов банка.

По его словам, некая украинская компания – разработчик мобильных приложений – пыталась провести массовые списания с карт клиентов Сбербанка. Название компании он не назвал – но у нее порядка 50 разных приложений, в которых разработчик продавал легальные услуги вроде подписок на планы питания, фитнес-программы и другие.

Как заявил Кузнецов, компания инициировала массовые списания по всей накопленной базе данных клиентов Сбербанка. В отдельные моменты количество попыток списания доходило до десятков тысяч в минуту – а всего Сбербанк «отбил» несколько сотен тысяч попыток списать деньги.

Проблема в том, что компания проводила списания легально с точки зрения платежных систем – поскольку клиенты оставляли данные своих карт ранее (например, для автосписания в счет оплаты за подписку), продавец услуги был вправе списывать деньги с карт.

В заявлении представителя Сбербанка говорится, что разработчик приложений в нарушение требований международных платежных систем собирал и хранил данные банковских карт своих клиентов.

Правда, в этой истории остаются вопросы – например, что было с картами клиентов других банков (которые не объявляли об атаках), удалось ли разработчикам приложений списать деньги у кого-то из клиентов и как на это все отреагировали платежные системы.

Сейчас таких рисков у клиентов банка уже нет – из-за прекращения работы международных платежных систем Visa и Mastercard в России, никакая оплата российской картой за пределами страны в принципе не может пройти. Соответственно, даже если у зарубежных разработчиков остались данные банковских карт россиян, сделать с ними ничего невозможно. Впрочем, это не отменяет аналогичных рисков уже со стороны российских приложений. Например, фишинговое приложение может собирать данные карт за платные услуги, а потом инициировать массовое списание со счетов клиентов.