У россиян через онлайн-банки за прошлый год было украдено 1,47 млрд рублей

Более чем в половине – в 54% – российских онлайн-банков выявлены разного рода уязвимости, которые могут привести к хищению средств клиентов.

Согласно исследованию Positive Technologies, посвященному веб-приложениям дистанционного банковского обслуживания (ДБО), в 61% случаев уровень защищенности онлайн-банков признан низким или крайне низким.

Причем уязвимости в виде доступа к информации клиента и к банковской тайне были выявлены абсолютно во всех, то есть в 100% обследованных кредитных организаций!

Как поясняет руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин, злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их.

«Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного», – поясняет эксперт.

Согласно исследованию за прошлый год не было выявлено онлайн-банков, позволяющих войти без двухфакторной аутентификации. Вместе с тем в подавляющем количестве финансовых организаций – в 77% банков – операции повышенной важности совершаются без второго фактора.

«Например, при вводе логина и пароля запрашивается одноразовый пароль из СМС. Однако для некоторых операций подтверждение не требуется. Как, к примеру, для перевода по банковским реквизитам, отправки данных виртуальной карты или даже для отключения подтверждения с помощью одноразового пароля», –- уточняет Бабин.

Кроме того, выявлен еще один опасный тренд – нарушение логики работы приложений. Согласно исследованию Positive Technologies только за последнее время количество онлайн-банков, где была выявлена подобная уязвимость, возросло в 5 раз – с 6% до 31%.

Согласно материалам ФинЦЕРТ Центробанка, уязвимости ДБО активно использовались злоумышленниками в прошлом году. По данным регулятора, только за 2018 год у корпоративных клиентов различных банков было украдено 1,47 млрд руб.

Кроме того, было совершено 6,1 тыс. попыток хищений, притом почти в половине случаев, кражи были совершены путем получения злоумышленниками доступа к системе ДБО с использованием вредоносов.

Кстати, как недавно отмечал Центробанк, данный тренд сохранился и в нынешнем году.

Эксперты в сфере информационной безопасности отмечают, что необходимы радикальные меры для исправления ситуации.

«Приложения стали последним рубежом защиты от проникновения злоумышленников в инфраструктуру компании, – отмечает руководитель направления Solar appScreener «Ростелеком-Solar» Даниил Чернов. – Единственным правильным решением в такой ситуации видится внедрение процесса безопасной разработки (SSDLC), остальные меры будут неполными».

Начальник отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексей Сизов с ним полностью согласен.

«К сожалению, вероятность атаки на ДБО близка к 100%. И важнейшим показателем здесь является доля предотвращенных потерь, поскольку вероятность хищений зависит не только от технических уязвимостей, но и от бизнес-процессов, социальной инженерии и многих других факторов», – указывает эксперт.

 

«Финансовая газета»