Mail.ruПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
Рассылка
Получайте главные новости дня от Hi-Tech Mail.ru
, Источник: Газета Коммерсантъ

Хакеры начали издалека. Эксперты назвали главные уязвимости онлайн-банков

Более чем в половине российских онлайн-банков выявлены уязвимости, которые могут привести к хищению средств клиентов, говорится в исследовании Positive Technologies, посвященном веб-приложениям дистанционного банковского обслуживания (ДБО). Уровень защищенности 61% из них признан «низким или крайне низким». По данным отчета ФинЦЕРТ ЦБ, эти уязвимости уже активно используются злоумышленниками. Эксперты отмечают, что ситуация требует от банков изменения подхода к безопасности в целом.

Как следует из отчета Positive Technologies «Уязвимости онлайн-банков», во всех обследованных десятках банков были выявлены уязвимости веб-приложений ДБО, причем 54% из них может привести к хищению средств у клиентов банка. В 61% случаев был выявлен низкий или крайне низкий уровень защищенности онлайн-банков.

Так, уязвимости в виде доступа к информации клиента и к банковской тайне были выявлены в 100% обследованных кредитных организаций. «То есть злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их, — поясняет руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.— Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного».

Фото: Depositphotos

В 2018 году не выявлено онлайн-банков, позволяющих войти без двухфакторной аутентификации, но операции повышенной важности совершаются без второго фактора в 77% банков. «Например, при вводе логина и пароля запрашивается одноразовый пароль из SMS, — пояснил Ярослав Бабин.— Однако для некоторых операций подтверждение не требуется — для перевода по банковским реквизитам, отправки данных виртуальной карты или даже для отключения подтверждения с помощью одноразового пароля».

Еще один опасный тренд — нарушение логики работы приложений. Количество онлайн-банков, где была выявлена уязвимость, увеличилось в 5 раз — с 6% до 31%. «Она позволяет злоумышленнику обойти правила приложения, — поясняет господин Бабин.— Например, когда из-за ошибки он может, скажем, сразу перейти к переводу денег на другой счет, обойдя процесс подтверждения трансакции с помощью одноразового пароля, или, например, получить возможность перевести деньги с рублевого счета на долларовый по курсу 1 к 1».

При этом уязвимостей в продаваемых на рынке готовых онлайн-банках втрое меньше, чем в самописных продуктах.

«Разница в количестве уязвимостей связана с низким уровнем квалификации в части безопасной разработки у разработчиков самописных решений, которые не “вылизывают” продукт, который будет использован многими заказчиками», — поясняет консультант по интернет-безопасности компании Cisco Алексей Лукацкий.

Согласно отчету ФинЦЕРТ ЦБ, уязвимости ДБО активно использовались злоумышленниками в 2018 году. По данным ФинЦЕРТ, у корпоративных клиентов банков в 2018 году украли 1,47 млрд руб., было совершено 6,1 тыс. попыток хищений, при этом в 46% случаев хищение было совершено путем получения злоумышленниками доступа к системе ДБО с использованием вредоносов. И в этом году тренд сохранится, считают в ЦБ.

Эксперты в сфере информбезопасности отмечают, что необходимы радикальные меры для исправления ситуации. «Приложения стали последним рубежом защиты от проникновения злоумышленников в инфраструктуру компании, — отмечает руководитель направления Solar appScreener “Ростелеком-Solar” Даниил Чернов.— Единственным правильным решением в такой ситуации видится внедрение процесса безопасной разработки (SSDLC), остальные меры будут неполными».

По словам директора по безопасности Почта-банка Станислава Павлунина, в нынешней ситуации для повышения уровня защиты банкам необходимо внедрять Аpplication Security (набор процедур, направленных на анализ программного кода с целью обнаружения уязвимостей и предотвращения их возникновения), однако Аpplication Security есть лишь у единичных российских банков. «К сожалению, вероятность атаки на ДБО близка к 100%, — отмечает начальник отдела по противодействию мошенничеству ЦПСБ “Инфосистемы Джет” Алексей Сизов.— И важнейшим показателем здесь является доля предотвращенных потерь, поскольку вероятность хищений зависит не только от технических уязвимостей, но и от бизнес-процессов, социальной инженерии и т. д.».

Вероника Горячева.

Это тоже интересно: 

Поделись полезной статьей с друзьями — нажми одну из кнопок ниже!
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Вы подписались на рассылку.Отменить
Подписаться на рассылку
Комментарии
6
Сергей Порошин
В ответ на комментарий от Марат Губайдуллин
Марат Губайдуллин
Что такое транСакция?
СсылкаПожаловаться
Неверное, это трнЗакция, нет ?
СсылкаПожаловаться
Kom Pit
В ответ на комментарий от zzz zzz
zzz zzz
Самая защищённая карта (счёт) это та, на которой нет денег.
СсылкаПожаловаться
есть такая вещь - как виртуальная карта.
СсылкаПожаловаться
дмитрий
а смс с кодом подтверждения тоже бандитам будут на мой телефон приходить??самая главная уязвимость это когда директор все деньги стырит и смоется в Израиль...а вам скажут что все деньги сгорели
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Вы не ввели текст комментария
Вы не ввели текст комментария
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.ru