Мобильные и онлайн-банки крайне уязвимы для мошенников, используемая в них система рассылки одноразовых паролей через SMS может быть относительно легко скомпрометирована, пишет «Коммерсант» со ссылкой на экспертов по кибербезопасности. В 2015 году доля банковских систем с критическими уязвимостями составляла 90%, в 2017-м — уже 56%.
О самых распространенных уязвимостях российских онлайн-банков рассказали специалисты компании Bi.Zone — дочерней компании Сбербанка, созданной для борьбы с киберугрозами. Список дополнили сотрудники других компаний в области информационной безопасности. В него вошли:
- Рассылка одноразовых паролей через SMS для входа в личный кабинет в мобильном или онлайн-банке. Это «порочный путь», говорит ведущий специалист по тестированию на проникновение Bi.Zone Аркадий Литвиненко. Так, по поддельной доверенности или скану паспорта жертвы можно получить дубликат SIM-карты, а устройства для перехвата SMS стоят относительно недорого — от $700.
- Еще одна уязвимость с SMS связана с подтверждением транзакций. Чаще всего банки используют одноразовые пароли из SMS из четырех цифр, а в случае трижды неверно введенного пароля операция блокируется. Но можно действовать наоборот: перебирать транзакции под пароль (например, 5555), создав множество операций по списанию средств со счета клиента. «При подборе 16 тысяч трансакций вероятность угадать пароль — 99%», — отмечает Литвиненко. Клиенту будет сложно не заметить 16 тысяч SMS от банка с одноразовым паролем, но полностью исключать этот метод нельзя: жертва может находиться в отпуске или просто спать.
- Получить доступ к личному кабинету в онлайн-банке также можно через фишинговые письма и другое вредоносное ПО, добавляет руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов.
- Ради удобства клиентов некоторые банки не ограничивают сессию пользователя при входе в мобильный банк или делают очень долгой — в таком случае мошенники могут получить доступ к мобильному банку, например, если клиент банка пользуется общественным Wi-Fi, указывают эксперты.
- Еще один опасный момент — когда приложение мобильного банка (также для удобства клиента) запоминает пин-код для входа в приложение и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту», — говорит Литвиненко. Впрочем, код можно установить тем же методом подбора, уточняет он.
- Тем не менее доля банковских систем с критическими уязвимостями последовательно снижается — в 2015 году их было 90%, в 2017 году — уже 56%. Средняя цена «входа» хакера в мобильный банк — около $22.
Артем Губенко