Ограничения для детей (18+)
Новые ведомости
 Пятница, 23 08 2019
Home / Общество / В каждом онлайн-банке есть уязвимости

В каждом онлайн-банке есть уязвимости

Половину можно использовать для хищений

Уязвимости есть абсолютно у всех обследованных онлайн-приложений российских банков, и более чем в половине случаев они могут привести к хищениям, пишет «Коммерсантъ» со ссылкой на исследование Positive Technologies. В исследовании фигурируют десятки российских банков, но какие, в публикации не раскрывается. Злоумышленники знают и активно используют уязвимости.

Насколько все плохо

  • Обнаруженные уязвимости можно использовать для доступа к информации клиента в 100% случаев, а для хищения его средств — в 54% случаев.
  • Уровень защищенности приложений онлайн-банкинга оценен как низкий и крайне низкий в 61% случаев.
  • Самыми распространенными ошибками были недостаточная защита от перехвата данных, авторизации и зашита от внедрения вредоносного кода на выдаваемую страницу. В 77% случаев при выполнении операций повышенной важности внутри приложения оно не запрашивает пароль.
  • Из-за «дыр» в приложениях злоумышленники могут узнать номера карт, перенастроить автоплатеж на постороннее лицо и даже перевести деньги на посторонний счет.

По данным ФинЦЕРТ ЦБ, в 2018 году только у корпоративных клиентов российских банков украли 1,47 млрд руб., причем этом в 46% случаев деньги ушли через доступ к банковским приложениям. Объем несанкционированных операций с использованием платежных карт граждан в 2018 году вырос на 44% до 1,38 млрд руб.

В чем причины

Самый тревожный тренд в безопасности банковских приложений — нарушение логики их работы. Количество онлайн-банков, где выявлена такая уязвимость, увеличилось в 5 раз, с 6% до 31%. Именно она делает возможными самые опасные махинации, вроде конвертации рублей со счета жертвы в доллары по курсу 1:1.

Проблема в том, что многие приложения банков — самописные: у их авторов не хватает квалификации в части безопасной разработки, говорят эксперты. В готовых онлайн-банках уязвимостей втрое меньше.

Что делать

Отраслевые эксперты называют ситуацию критической. Возможное решение лежит во всеобщем внедрении стандартов безопасной разработки приложений (SSDLC) и процедур анализа программного кода, которые сейчас есть у единичных российских банков.

Повышение безопасности онлайн-банкинга в прямых интересах клиентов. Хотя по закону «О национальной платежной системе» банк «обязан возместить клиенту сумму операции, совершенной без согласия клиента», в нем есть два важных условия. Во-первых, держатель карты не должен нарушать установленные договором правила использования, а во-вторых, сообщить о незаконности операции на следующий день после уведомления о списании.

Почему это важно

Причин не полностью доверять онлайн-банкам становится больше. Если в приложении есть уязвимость, то от потери средств не спасет и двухфакторная аутентификация.

Сергей Смирнов

По материалам: «The Bell»


*Экстремистские и террористические организации, запрещенные в Российской Федерации: «Правый сектор», «Украинская повстанческая армия» (УПА), «ИГИЛ», «Джабхат Фатх аш-Шам» (бывшая «Джабхат ан-Нусра», «Джебхат ан-Нусра»), Национал-Большевистская партия, «Аль-Каида», «УНА-УНСО», «Талибан», «Меджлис крымско-татарского народа», «Свидетели Иеговы», «Мизантропик Дивижн», «Братство» Корчинского.

Рейтинг@Mail.ru