Вверх

Реклама

Статистика

Яндекс.Метрика

   

Хакеры начали издалека. Эксперты назвали главные уязвимости онлайн-банков

Более чем в половине российских онлайн-банков выявлены уязвимости, которые могут привести к хищению средств клиентов, говорится в исследовании Positive Technologies, посвященном веб-приложениям дистанционного банковского обслуживания (ДБО). Уровень защищенности 61% из них признан «низким или крайне низким». По данным отчета ФинЦЕРТ ЦБ, эти уязвимости уже активно используются злоумышленниками. Эксперты отмечают, что ситуация требует от банков изменения подхода к безопасности в целом.

Хакеры начали издалека. Эксперты назвали главные уязвимости онлайн-банков

Как следует из отчета Positive Technologies «Уязвимости онлайн-банков», во всех обследованных десятках банков были выявлены уязвимости веб-приложений ДБО, причем 54% из них может привести к хищению средств у клиентов банка. В 61% случаев был выявлен низкий или крайне низкий уровень защищенности онлайн-банков.

Так, уязвимости в виде доступа к информации клиента и к банковской тайне были выявлены в 100% обследованных кредитных организаций. «То есть злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их, — поясняет руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.— Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного».

В 2018 году не выявлено онлайн-банков, позволяющих войти без двухфакторной аутентификации, но операции повышенной важности совершаются без второго фактора в 77% банков. «Например, при вводе логина и пароля запрашивается одноразовый пароль из SMS, — пояснил Ярослав Бабин.— Однако для некоторых операций подтверждение не требуется — для перевода по банковским реквизитам, отправки данных виртуальной карты или даже для отключения подтверждения с помощью одноразового пароля».

Еще один опасный тренд — нарушение логики работы приложений. Количество онлайн-банков, где была выявлена уязвимость, увеличилось в 5 раз — с 6% до 31%. «Она позволяет злоумышленнику обойти правила приложения, — поясняет господин Бабин.— Например, когда из-за ошибки он может, скажем, сразу перейти к переводу денег на другой счет, обойдя процесс подтверждения трансакции с помощью одноразового пароля, или, например, получить возможность перевести деньги с рублевого счета на долларовый по курсу 1 к 1».
При этом уязвимостей в продаваемых на рынке готовых онлайн-банках втрое меньше, чем в самописных продуктах.

«Разница в количестве уязвимостей связана с низким уровнем квалификации в части безопасной разработки у разработчиков самописных решений, которые не “вылизывают” продукт, который будет использован многими заказчиками», — поясняет консультант по интернет-безопасности компании Cisco Алексей Лукацкий.

Согласно отчету ФинЦЕРТ ЦБ, уязвимости ДБО активно использовались злоумышленниками в 2018 году. По данным ФинЦЕРТ, у корпоративных клиентов банков в 2018 году украли 1,47 млрд руб., было совершено 6,1 тыс. попыток хищений, при этом в 46% случаев хищение было совершено путем получения злоумышленниками доступа к системе ДБО с использованием вредоносов. И в этом году тренд сохранится, считают в ЦБ.

Эксперты в сфере информбезопасности отмечают, что необходимы радикальные меры для исправления ситуации. «Приложения стали последним рубежом защиты от проникновения злоумышленников в инфраструктуру компании, — отмечает руководитель направления Solar appScreener “Ростелеком-Solar” Даниил Чернов.— Единственным правильным решением в такой ситуации видится внедрение процесса безопасной разработки (SSDLC), остальные меры будут неполными».

По словам директора по безопасности Почта-банка Станислава Павлунина, в нынешней ситуации для повышения уровня защиты банкам необходимо внедрять Аpplication Security (набор процедур, направленных на анализ программного кода с целью обнаружения уязвимостей и предотвращения их возникновения), однако Аpplication Security есть лишь у единичных российских банков. «К сожалению, вероятность атаки на ДБО близка к 100%, — отмечает начальник отдела по противодействию мошенничеству ЦПСБ “Инфосистемы Джет” Алексей Сизов.— И важнейшим показателем здесь является доля предотвращенных потерь, поскольку вероятность хищений зависит не только от технических уязвимостей, но и от бизнес-процессов, социальной инженерии и т. д.».

Вероника Горячева.

Популярные видеобзоры

EDC карабины

EDC carabines

Продолжая тему подарков на 23 февраля, хотелось бы обратить ваше внимание на несколько мелких посылок из китая стоимость которых не превышает 100 рублей, а прослужить они могут около 10 лет.

Видели на рынках продавцов с барсетками? Вещь удобная но смотрится она просто ужасно, врятли кто-то из молодых людей (моложе 35 лет) будет ходить с такой без крайней необходимости. Но что делать если есть только карманы на штанах а с собой нужно взять телфон ключи от дома, машины, нож, флешкарту, рулетку?

 

Подробнее...

Обзор Wi-Fi роутера Totolink N300RT

КороткоРоутер  TOTOLINK N300RT

Мастерская Тардис решила протестировать роутер от Totolink. Роутер принадлежит к низкому ценовому сегменту. Представляет интерес набор заявленных производителем харестеристик и возможных настроек. Распакуем и посмотрим.

Подробнее...

Заказ обратного звонка

Перезвоним через 30 секунд.