Вверх

Реклама

Статистика

Яндекс.Метрика

Кто на сайте

Сейчас 26 гостей и ни одного зарегистрированного пользователя на сайте

Хакеры начали издалека. Эксперты назвали главные уязвимости онлайн-банков

Более чем в половине российских онлайн-банков выявлены уязвимости, которые могут привести к хищению средств клиентов, говорится в исследовании Positive Technologies, посвященном веб-приложениям дистанционного банковского обслуживания (ДБО). Уровень защищенности 61% из них признан «низким или крайне низким». По данным отчета ФинЦЕРТ ЦБ, эти уязвимости уже активно используются злоумышленниками. Эксперты отмечают, что ситуация требует от банков изменения подхода к безопасности в целом.

Хакеры начали издалека. Эксперты назвали главные уязвимости онлайн-банков

Как следует из отчета Positive Technologies «Уязвимости онлайн-банков», во всех обследованных десятках банков были выявлены уязвимости веб-приложений ДБО, причем 54% из них может привести к хищению средств у клиентов банка. В 61% случаев был выявлен низкий или крайне низкий уровень защищенности онлайн-банков.

Так, уязвимости в виде доступа к информации клиента и к банковской тайне были выявлены в 100% обследованных кредитных организаций. «То есть злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их, — поясняет руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.— Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного».

В 2018 году не выявлено онлайн-банков, позволяющих войти без двухфакторной аутентификации, но операции повышенной важности совершаются без второго фактора в 77% банков. «Например, при вводе логина и пароля запрашивается одноразовый пароль из SMS, — пояснил Ярослав Бабин.— Однако для некоторых операций подтверждение не требуется — для перевода по банковским реквизитам, отправки данных виртуальной карты или даже для отключения подтверждения с помощью одноразового пароля».

Еще один опасный тренд — нарушение логики работы приложений. Количество онлайн-банков, где была выявлена уязвимость, увеличилось в 5 раз — с 6% до 31%. «Она позволяет злоумышленнику обойти правила приложения, — поясняет господин Бабин.— Например, когда из-за ошибки он может, скажем, сразу перейти к переводу денег на другой счет, обойдя процесс подтверждения трансакции с помощью одноразового пароля, или, например, получить возможность перевести деньги с рублевого счета на долларовый по курсу 1 к 1».
При этом уязвимостей в продаваемых на рынке готовых онлайн-банках втрое меньше, чем в самописных продуктах.

«Разница в количестве уязвимостей связана с низким уровнем квалификации в части безопасной разработки у разработчиков самописных решений, которые не “вылизывают” продукт, который будет использован многими заказчиками», — поясняет консультант по интернет-безопасности компании Cisco Алексей Лукацкий.

Согласно отчету ФинЦЕРТ ЦБ, уязвимости ДБО активно использовались злоумышленниками в 2018 году. По данным ФинЦЕРТ, у корпоративных клиентов банков в 2018 году украли 1,47 млрд руб., было совершено 6,1 тыс. попыток хищений, при этом в 46% случаев хищение было совершено путем получения злоумышленниками доступа к системе ДБО с использованием вредоносов. И в этом году тренд сохранится, считают в ЦБ.

Эксперты в сфере информбезопасности отмечают, что необходимы радикальные меры для исправления ситуации. «Приложения стали последним рубежом защиты от проникновения злоумышленников в инфраструктуру компании, — отмечает руководитель направления Solar appScreener “Ростелеком-Solar” Даниил Чернов.— Единственным правильным решением в такой ситуации видится внедрение процесса безопасной разработки (SSDLC), остальные меры будут неполными».

По словам директора по безопасности Почта-банка Станислава Павлунина, в нынешней ситуации для повышения уровня защиты банкам необходимо внедрять Аpplication Security (набор процедур, направленных на анализ программного кода с целью обнаружения уязвимостей и предотвращения их возникновения), однако Аpplication Security есть лишь у единичных российских банков. «К сожалению, вероятность атаки на ДБО близка к 100%, — отмечает начальник отдела по противодействию мошенничеству ЦПСБ “Инфосистемы Джет” Алексей Сизов.— И важнейшим показателем здесь является доля предотвращенных потерь, поскольку вероятность хищений зависит не только от технических уязвимостей, но и от бизнес-процессов, социальной инженерии и т. д.».

Вероника Горячева.

Популярные видеобзоры

Обзор точки доступа Микротик hAP lite

Точка доступа  hAP lite от компании Микротик

Точка доступа hAP lite (легкий вариант, т.е. есть еще и нормальный вариант) предназначена для использования дома или в офисе и может быть частью распеределенной WiFi сети подключенной к контроллеру CAPsMAN точек доступа.

Точка доступа hAP Lite (RB941-2nD) оснащена мощным процессором 650MHz, 32MB RAM, двойной антенной MIMO 2,4 ГГц, четырьмя портами Fast Ethernet и лицензии RouterOS L4.

Подробнее...

Обзор Ленивца (Lenovo) IdeaPad Z5070

Не удалось от нашего доктора укрыться и ленивцу по имени Lenovo IdeaPad Z5070, хоть и прятался тот за ценником в 38 000 рублей. Данный, солидный во всех смыслах представитель класса ноутбук был осмотрен от А до Я и всех его скелетов мы выставляем на всеобщее обозрение, читайте и смотрите:

Подробнее...

Заказ обратного звонка

Перезвоним через 30 секунд.