В 2020 году сообщалось, что система быстрых платежей (СБП) считается уязвимой для мошенников из-за того, что мошенники могут получить данные клиентов банков простым перебором номеров. 1 СБП устроена так, что по номеру телефона можно узнать имя, отчество и банк клиента. 1 Эти данные злоумышленники пытались использовать для социальной инженерии. 1

Кроме того, антифрод-система СБП была недостаточно эффективной: номер блокировался только для тех банков, в адрес которых мошенники пытались осуществить подбор. 1 Также банки не передавали СБП данные о попытках подбора номера, поэтому часть информации о возможных попытках мошенничества до СБП не доходила. 1

В январе 2024 года директор компании «ИТ-Резерв» Павел Мясоедов отметил, что риск хищения средств при покупках с помощью СБП связан с возможностью отправки поддельной ссылки на СБП-платеж. 2 Хакеры могли взломать базу интернет-магазина, выждать крупный заказ, а затем отправить жертве поддельную ссылку. 2

Чтобы снизить риски, пользователям СБП рекомендовали тщательно проверять ссылку перед платежом, особенно при оплате по QR-коду, где реквизиты получателя заполняются автоматически. 2