Новости 5 апреля 2019

В каждом онлайн-банке есть уязвимости. Половину можно использовать для хищений

Уязвимости есть абсолютно у всех обследованных онлайн-приложений российских банков, и более чем в половине случаев они могут привести к хищениям, пишет «Коммерсантъ» со ссылкой на исследование Positive Technologies. В исследовании фигурируют десятки российских банков, но какие, в публикации не раскрывается. Злоумышленники знают и активно используют уязвимости.

Масштаб проблемы. Обнаруженные уязвимости можно использовать для доступа к информации клиента в 100% случаев, а для хищения его средств — в 54% случаев.

  • Уровень защищенности приложений онлайн-банкинга оценен как низкий и крайне низкий в 61% случаев.
  • Самыми распространенными ошибками были недостаточная защита от перехвата данных, авторизации и защита от внедрения вредоносного кода на выдаваемую страницу. В 77% случаев при выполнении операций повышенной важности внутри приложения оно не запрашивает пароль.
  • Из-за «дыр» в приложениях злоумышленники могут узнать номера карт, перенастроить автоплатеж на постороннее лицо и даже перевести деньги на посторонний счет.
Читайте только самые важные новости в рассылке The Bell во «ВКонтакте»

Деньги. По данным ФинЦЕРТ ЦБ, в 2018 году только у корпоративных клиентов российских банков украли 1,47 млрд рублей, причем этом в 46% случаев деньги ушли через доступ к банковским приложениям. Объем несанкционированных операций с использованием платежных карт граждан в 2018 году вырос на 44%, до 1,38 млрд рублей.

В чем причины. Самый тревожный тренд в безопасности банковских приложений — нарушение логики их работы. Количество онлайн-банков, где выявлена такая уязвимость, увеличилось в 5 раз, с 6% до 31%. Именно она делает возможными самые опасные махинации, вроде конвертации рублей со счета жертвы в доллары по курсу 1:1.

Проблема в том, что многие приложения банков — самописные: у их авторов не хватает квалификации в части безопасной разработки, говорят эксперты. В готовых онлайн-банках уязвимостей втрое меньше.

Что делать. Отраслевые эксперты называют ситуацию критической. Возможное решение лежит во всеобщем внедрении стандартов безопасной разработки приложений (SSDLC) и процедур анализа программного кода, которые сейчас есть у единичных российских банков.

  • Повышение безопасности онлайн-банкинга в прямых интересах клиентов. Хотя по закону «О национальной платежной системе» банк «обязан возместить клиенту сумму операции, совершенной без согласия клиента», в нем есть два важных условия. Во-первых, держатель карты не должен нарушать установленные договором правила использования, а во-вторых, сообщить о незаконности операции на следующий день после уведомления о списании.

Почему это важно. Причин не полностью доверять онлайн-банкам становится больше. Если в приложении есть уязвимость, то от потери средств не спасет и двухфакторная аутентификация.

Сергей Смирнов