Такие выводы содержатся в исследовании компании Positive Technologies, основанном на результатах анализа защищенности финансовых приложений в 2016 году. По данным экспертов компании, за год среднее число уязвимостей, приходящихся на одно финансовое приложение, снизилось с 9 до 6. Однако при этом степень риска увеличилась: если в 2015 году высокий уровень риска содержала треть уязвимостей, то в 2016 году доля таких уязвимостей возросла на 8%. Доля уязвимостей среднего уровня риска тоже выросла — на 18%.
Примечательно, что финансовые приложения, разработанные вендорами, в среднем, имели в два раза больше уязвимостей, чем собственное ПО банков. 23% выявленных у вендоров уязвимостей характеризовались высокой степенью риска. Впрочем, 39% финансовых приложений, созданных внутри банков, также содержали критически опасные уязвимости - в основном, это были недостатки авторизации и двухфакторной аутентификации. Однако код приложений собственной разработки содержал меньше ошибок и уязвимостей, чем код приложений от вендоров.
Онлайн-банки: уязвимостей стало меньше, но они стали опасней
По оценке Positive Technologies, в среднем, на каждый онлайн-банк в 2016 году пришлось по 2,1 уязвимости высокого уровня риска. Это в два раза меньше показателя прошлого года, когда компания нашла по 4,2 уязвимости. Плохая новость заключается в том, что во всех онлайн-банках, кроме одного, эксперты нашли хотя бы одну критически опасную уязвимость, и такие уязвимости лидируют по популярности.
В частности, 71% онлайн-банков имеет недостатки в реализации двухфакторной аутентификации. Эксперты выделили следующие недостатки реализации двухфакторной аутентификации (помимо ее отсутствия): генерация одноразового пароля на стороне клиента; одноразовый пароль не привязан к совершаемой операции; отсутствие ограничения по числу попыток ввода одноразового пароля; отсутствие ограничения на время жизни одноразового пароля.
«Злоумышленник, получивший доступ к учетной записи или сессии жертвы (например, при использовании подключения через публичные сети Wi-Fi), может провести чужую платежную операцию не из списка шаблонов. Единственный барьер, который ему нужно преодолеть, — процедура подтверждения операции одноразовым паролем. Однако платежная форма не имеет ограничений на попытки ввода пароля. С помощью перебора простых четырехзначных паролей злоумышленник может успешно подобрать нужный пароль за непродолжительное время, — говорит Тимур Юнусов, руководитель отдела безопасности банковских систем, Positive Technologies. — При этом пользователю будет приходить SMS-оповещение, которое, безусловно, выдаст действия мошенника».
В 25% исследованных онлайн-банков одновременно присутствовали уязвимости, связанные с недостаточной защитой от подбора аутентификационных данных и небезопасной реализацией двухфакторной аутентификации. В итоге эксплуатация найденных уязвимостей может принести банкам и их клиентам такие проблемы, как кража денежных средств (33% приложений), утечка чувствительных данных (27%) или отказ в обслуживании (13%).
Для совершения атаки на пользователя хакеру необходимо получить доступ к его учетной записи — узнать логин и пароль. «Часто учетные записи от интернет-банков буквально "лежат в открытом доступе" - найти их можно в поисковых системах. Следующий шаг — это подбор пароля, при котором его должны заблокировать после 3 некорректных попыток. Если ему удалось обойти эти ограничения, за непродолжительное время он сможет получить доступ к личному кабинету и транзакциям тех пользователей, , которые используют простые пароли», — поясняет Тимур Юнусов.
Треть мобильных приложений имела недостатки в двухфакторной идентификации
Уровень защищенности iOS-приложений по-прежнему выше, чем у приложений под Android. При этом 30% мобильных приложений для iOS и Android содержали недостатки в реализации двухфакторной аутентификации, а в 64% мобильных банков была выявлена хотя бы одна критически опасная уязвимость. В среднем, на каждое приложение пришлось по 0,9 уязвимости высокого уровня риска.
В 32% рассмотренных мобильных банков эксплуатация выявленных уязвимостей позволяла злоумышленникам расшифровать, перехватить, подобрать учетные данные для доступа в приложение или же вовсе обойти процесс аутентификации, и в результате получить доступ к мобильному приложению от лица легитимного пользователя, и совершать различные операции.
В мобильном приложении, помимо основных функций, должна быть реализована функция защиты канала связи от перехвата в публичных сетях Wi-Fi. Однако приложение не всегда справляется с такой задачей. «Для успешной реализации атаки на перехват сессии, хакер, подключенный к той же самой Wi-Fi-сети, должен представиться банком для мобильного приложения. Для этого злоумышленнику необходимо быть в одной сети с жертвой, где он принудительно пропускает весь ее трафик через себя, либо ему нужно представиться доверенной Wi-Fi-сетью, к которой подключение происходит автоматически», — поясняет Тимур Юнусов. Далее следует аналогичная схема: весь трафик проходит через хакера, который заставляет приложение поверить самоподписанному ssl-сертификату. Приложение может поверить хакеру, но в случае правильного использования Certificate Pinning происходит проверка сертификата SSL не только на валидность и корректный центр сертификации, но и на сравнение с "оригинальным" сертификатом, на создание которого у хакера не будет необходимых ключей шифрования.
По данным Positive Technologies, в прошлом году в клиентских частях мобильных приложений часто встречались уязвимости, связанные с небезопасным хранением и/или передачей данных. В 30% приложений клиентские части имели недостаточную защиту от подбора аутентификационных данных. Нередко для доступа в мобильный банк было достаточно ввести четырехзначный код. Это приводило к тому, что если в приложении отсутствует ограничение по количеству попыток ввода, злоумышленнику достаточно перебрать 10 000 вариантов, а с использованием специального ПО это не занимает много времени.
67% уязвимостей в АБС имели высокий уровень риска
Особое внимание в исследовании уделяется автоматизированным банковским системам (АБС). 67% уязвимостей, выявленных в АБС в прошлом году, имели высокий уровень риска, остальные — средний. К критически опасным уязвимостями, наиболее характерным для АБС, эксперты относят недостаточную авторизацию, недостаточную аутентификацию и внедрение внешних сущностей XML.
В прошлом году два российских банка (Русский международный банк и Металлинвестбанк) пострадали от атак на АБС, и ущерб превысил 1 млрд рублей. «Анализируя инциденты 2016 года, мы отмечали, что целевые атаки на банки во многих случаях были направлены на подмену платежных поручений. Этот вектор атак сложно реализуем, поскольку АБС обычно недоступны внешнему злоумышленнику, но и приводит к самым серьезным последствиям», — говорит руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин.
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
Соответственно, в первом квартале 2023 года средняя сумма снятия наличных в банкоматах составлял 31 864 руб. Средняя сумма пополнения банковского счета через банкоматы в первом квартале этого года составила...
До этого ряд Telegram-каналов сообщили, что турецкие банки прекратили открывать счета россиянам, а также появились сведения о закрытии уже имевшихся счетов в банке "Зираат". При этом собеседник агентства...
По его словам, внедрение новой системы потребует времени, ведется работа над техническими деталями, чтобы обеспечить бесперебойный процесс оплаты, пишут "Известия". Издание со ссылкой на доцента кафедры...
srcset=" https://www.zakon.kz/pbi/WEBP/2024-04-19/file-4c8aa875-5d7d-43de-b35c-41529b9b6976/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-04-19/file-4c8aa875-5d7d-43de-b35c-41529b9b6976/800x450.webp 800w " sizes="(min-width:...
srcset=" https://www.zakon.kz/pbi/WEBP/2024-04-19/file-ce28b869-6c52-4b8c-8967-78d25fafc3dc/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-04-19/file-ce28b869-6c52-4b8c-8967-78d25fafc3dc/800x450.webp 800w " sizes="(min-width:...
srcset=" https://www.zakon.kz/pbi/WEBP/2024-04-19/file-52bc3805-e19d-4c94-91e0-026494adbfe9/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-04-19/file-52bc3805-e19d-4c94-91e0-026494adbfe9/800x450.webp 800w " sizes="(min-width:...
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
Соответственно, в первом квартале 2023 года средняя сумма снятия наличных в
ПодробнееДо этого ряд Telegram-каналов сообщили, что турецкие банки прекратили открывать
ПодробнееПо его словам, внедрение новой системы потребует времени, ведется работа над
ПодробнееПремьер-министр Казахстана Олжас Бектенов встретился с главами крупнейших
ПодробнееС начала 2024 года фьючерсы на золото активно растут и ставят новые рекорды по
ПодробнееПремьер-министр Казахстана Олжас Бектенов посетил павильон ЭКСПО, где осмотрел
ПодробнееЭкономика сегодня
📰 Снижению ключевой ставки препятствует сохранение рисков перегрева экономики из-за высокого спроса, на этом фоне российский ВВП продолжает расти высокими темпами, рассказывает «Коммерсант» о заявлениях главы ЦБ Эльвиры Набиуллиной. Из данных регулятора следует, что, несмотря на высокие ставки, в
Подробнее Банки начали предлагать вклады с плавающей ставкой, которая зависит от ключевой ставки ЦБ РФ — хотя ставки по ним сейчас высокие, в результате вкладчик может получить не ту доходность, на которую рассчитывал, предупреждает главный аналитик финансового маркетплейса Банки Богдан Зварич. Как
Подробнее Пожилые люди в Испании получают самую щедрую пенсию в мире. Выплаты могут доходить до 3060 фунтов стерлингов – 356 000 рублей в месяц, пишет
Подробнее Востребованность новых жилищно-накопительных депозитов будет зависеть от условий, которые предложат банки по таким вкладам, считает главный аналитик Совкомбанка Анна Землянова. Базовые параметры, которые обсуждаются...
Подробнее Пара доллар/рубль в ходе сегодняшних торгов может отступить в район 92 рублей, прогнозирует главный аналитик финансового маркетплейса Банки Богдан Зварич.
Подробнее Российские дачники в 2024 году могут быть оштрафованы за самозахват и захламление земельных участков, возведение незаконных построек, неправильную установку мангала и задолженность по электроэнергии, рассказал...
Подробнее
Комментарии (0)