Более чем в половине – в 54% – российских онлайн-банков выявлены разного рода уязвимости, которые могут привести к хищению средств клиентов.
Согласно исследованию Positive Technologies, посвященному веб-приложениям дистанционного банковского обслуживания (ДБО), в 61% случаев уровень защищенности онлайн-банков признан низким или крайне низким.
Причем уязвимости в виде доступа к информации клиента и к банковской тайне были выявлены абсолютно во всех, то есть в 100% обследованных кредитных организаций!
Как поясняет руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин, злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их.
«Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного», – поясняет эксперт.
Согласно исследованию за прошлый год не было выявлено онлайн-банков, позволяющих войти без двухфакторной аутентификации. Вместе с тем в подавляющем количестве финансовых организаций – в 77% банков – операции повышенной важности совершаются без второго фактора.
«Например, при вводе логина и пароля запрашивается одноразовый пароль из СМС. Однако для некоторых операций подтверждение не требуется. Как, к примеру, для перевода по банковским реквизитам, отправки данных виртуальной карты или даже для отключения подтверждения с помощью одноразового пароля», –- уточняет Бабин.
Кроме того, выявлен еще один опасный тренд – нарушение логики работы приложений. Согласно исследованию Positive Technologies только за последнее время количество онлайн-банков, где была выявлена подобная уязвимость, возросло в 5 раз – с 6% до 31%.
Согласно материалам ФинЦЕРТ Центробанка, уязвимости ДБО активно использовались злоумышленниками в прошлом году. По данным регулятора, только за 2018 год у корпоративных клиентов различных банков было украдено 1,47 млрд руб.
Кроме того, было совершено 6,1 тыс. попыток хищений, притом почти в половине случаев, кражи были совершены путем получения злоумышленниками доступа к системе ДБО с использованием вредоносов.
Кстати, как недавно отмечал Центробанк, данный тренд сохранился и в нынешнем году.
Эксперты в сфере информационной безопасности отмечают, что необходимы радикальные меры для исправления ситуации.
«Приложения стали последним рубежом защиты от проникновения злоумышленников в инфраструктуру компании, – отмечает руководитель направления Solar appScreener «Ростелеком-Solar» Даниил Чернов. – Единственным правильным решением в такой ситуации видится внедрение процесса безопасной разработки (SSDLC), остальные меры будут неполными».
Начальник отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексей Сизов с ним полностью согласен.
«К сожалению, вероятность атаки на ДБО близка к 100%. И важнейшим показателем здесь является доля предотвращенных потерь, поскольку вероятность хищений зависит не только от технических уязвимостей, но и от бизнес-процессов, социальной инженерии и многих других факторов», – указывает эксперт.
«Финансовая газета»