Вход в тест-сектор
Логин:
Пароль:

Хакеры начали издалека: Эксперты назвали главные уязвимости онлайн-банков

   Более чем в половине российских онлайн-банков выявлены уязвимости, которые могут привести к хищению средств клиентов, говорится в исследовании Positive Technologies, посвященном веб-приложениям дистанционного банковского обслуживания (ДБО). Уровень защищенности 61% из них признан "низким или крайне низким". По данным отчета ФинЦЕРТ ЦБ, эти уязвимости уже активно используются злоумышленниками. Эксперты отмечают, что ситуация требует от банков изменения подхода к безопасности в целом.
   Как следует из отчета Positive Technologies "Уязвимости онлайн-банков" (есть в распоряжении "Ъ"), во всех обследованных десятках банков были выявлены уязвимости веб-приложений ДБО, причем 54% из них может привести к хищению средств у клиентов банка. В 61% случаев был выявлен низкий или крайне низкий уровень защищенности онлайн-банков.
   Так, уязвимости в виде доступа к информации клиента и к банковской тайне были выявлены в 100% обследованных кредитных организаций.
   "То есть злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их,- поясняет руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.- Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного".



   В 2018 году не выявлено онлайн-банков, позволяющих войти без двухфакторной аутентификации, но операции повышенной важности совершаются без второго фактора в 77% банков. "Например, при вводе логина и пароля запрашивается одноразовый пароль из SMS,- пояснил Ярослав Бабин.- Однако для некоторых операций подтверждение не требуется - для перевода по банковским реквизитам, отправки данных виртуальной карты или даже для отключения подтверждения с помощью одноразового пароля".
   Еще один опасный тренд - нарушение логики работы приложений. Количество онлайн-банков, где была выявлена уязвимость, увеличилось в 5 раз - с 6% до 31%. "Она позволяет злоумышленнику обойти правила приложения,- поясняет господин Бабин.- Например, когда из-за ошибки он может, скажем, сразу перейти к переводу денег на другой счет, обойдя процесс подтверждения трансакции с помощью одноразового пароля, или, например, получить возможность перевести деньги с рублевого счета на долларовый по курсу 1 к 1".
    При этом уязвимостей в продаваемых на рынке готовых онлайн-банках втрое меньше, чем в самописных продуктах.
   "Разница в количестве уязвимостей связана с низким уровнем квалификации в части безопасной разработки у разработчиков самописных решений, которые не "вылизывают" продукт, который будет использован многими заказчиками",- поясняет консультант по интернет-безопасности компании Cisco Алексей Лукацкий.
   Согласно отчету ФинЦЕРТ ЦБ, уязвимости ДБО активно использовались злоумышленниками в 2018 году. По данным ФинЦЕРТ, у корпоративных клиентов банков в 2018 году украли 1,47 млрд руб., было совершено 6,1 тыс. попыток хищений, при этом в 46% случаев хищение было совершено путем получения злоумышленниками доступа к системе ДБО с использованием вредоносов. И в этом году тренд сохранится, считают в ЦБ.
   Эксперты в сфере информбезопасности отмечают, что необходимы радикальные меры для исправления ситуации.
   "Приложения стали последним рубежом защиты от проникновения злоумышленников в инфраструктуру компании,- отмечает руководитель направления Solar appScreener "Ростелеком-Solar" Даниил Чернов.- Единственным правильным решением в такой ситуации видится внедрение процесса безопасной разработки (SSDLC), остальные меры будут неполными".
   По словам директора по безопасности Почта-банка Станислава Павлунина, в нынешней ситуации для повышения уровня защиты банкам необходимо внедрять Аpplication Security (набор процедур, направленных на анализ программного кода с целью обнаружения уязвимостей и предотвращения их возникновения), однако Аpplication Security есть лишь у единичных российских банков. "К сожалению, вероятность атаки на ДБО близка к 100%,- отмечает начальник отдела по противодействию мошенничеству ЦПСБ "Инфосистемы Джет" Алексей Сизов.- И важнейшим показателем здесь является доля предотвращенных потерь, поскольку вероятность хищений зависит не только от технических уязвимостей, но и от бизнес-процессов, социальной инженерии и т. д.".

Источник: Коммерсант https://www.kommersant.ru/doc/3933113



 


Реклама
Чехия