Финансовые организации – одна из главных целей киберпреступников: исследования Positive Technologies показывают, что банки традиционно входят в топ-5 наиболее популярных целей, а одним из ключевых мотивов для киберпреступника остается финансовая выгода. Поэтому банкам приходится уделять серьезное внимание информационной безопасности и защите своей инфраструктуры. С какими уязвимостями сталкиваются банки и их клиенты? И как защититься?
Популярность банковских приложений – мобильного и онлайн-банкинга – постоянно растет. Одна из причин – появление цифровых альтернатив, что позволяет клиентам банков не тратить время на походы в отделение. Согласно статистике, до 40% клиентов американских банков не были в отделениях по полгода и более. Кроме того, среди общего числа клиентов финансовых организаций растет число молодых пользователей, так называемых миллениалов. К примеру, в США 47% из них используют мобильный банк, в сравнении с 23% людей старшего поколения (бэби-бумеров).
Во всем мире именно пользователи 18–34 лет становятся самой активной группой клиентов. Эти люди озабочены вопросами удобства и надежности используемых продуктов больше, чем их родители. По данным исследования компании Kasasa, 82% пользователей до 34 лет не боятся смены банка, 83% из них сделают это, если конкуренты предложат им более выгодные условия обслуживания (например, кешбэк), а для 65% пользователей удобство мобильного приложения – критически важный фактор при выборе банка.
Россия идет в ногу с мировыми трендами – доля пользователей интернет- и мобильного банкинга в РФ выросла до 45,1%. Развитие технологий приводит к сокращению присутствия банков в офлайне – количество действующих подразделений в 2015 году сократилось на 11,2%, в 2016-м — на 8,7%, в 2017-м — еще на 3,4%.
Безопасность онлайн-банкинга в цифрах
Интернет становится все более важным каналом взаимодействия банков и их клиентов, поэтому финансовые организации уделяют все большее внимание безопасности. Хакерам все сложнее успешно атаковать банковскую инфраструктуру. По данным опубликованного FinCert отчета, с января по август 2018 года целевые атаки принесли киберпреступникам всего 76,5 млн рублей. Годом ранее доход киберпреступников составил 1,08 млрд рублей. И это несмотря на рост общего числа атак (22 за восемь месяцев 2018 года против 20 в прошлом году).
Ущерб от действий хакеров снижается из-за успешного противодействия их работе со стороны служб безопасности финансовых компаний и правоохранительных органов. Согласно данным исследования Positive Technologies, несмотря на рост общего числа уязвимостей в системах дистанционного банковского обслуживания российских банков (с 6 в 2016 году до 7 в 2017-м), количество уязвимостей высокого уровня риска падает несколько лет подряд (в 2015 году такие недостатки безопасности содержались в 90% систем, в 2017 – лишь в 56%). Становятся безопаснее и мобильные приложения. Уровень защищенности 8% таких систем в ходе исследования был оценен как приемлемый. В 2016 году 93% мобильных банков имели низкий уровень защиты.
Внедрить код и перехватить данные
Это две самые распространенные уязвимости банковских систем. Они позволяют злоумышленникам совершать атаки на пользователей финансовых приложений и перехватывать введенные ими данные. Для этого они внедряют в веб-страницу сайта банка вредоносный код, который подменяет или ворует вводимые на этой странице данные.
Такие недостатки безопасности встречаются даже на сайтах и приложениях крупных банков. Например, в сентябре 2018 года издание The Register сообщало о том, что исследователь обнаружил возможность межсайтового выполнения сценариев (XSS) на сайтах британской Lloyds Group, объединяющей банки Lloyds, Halifaxи Bank of Scotland. Ошибка позволяла хакерам перехватывать и модифицировать данные, введенные пользователем в контактную форму на веб-страницах. В итоге могла быть похищена важная информация, включая логины и пароли для доступа к онлайн-банку.
Пользователям трудно самостоятельно защититься от таких атак без специализированных инструментов (вроде плагинов для браузеров). Поэтому банкам приходится самостоятельно осуществлять аудит своих сайтов на предмет наличия XSS.
Пароль перестал быть надежным
Еще одна распространенная уязвимость: несмотря на то, что ее доля с годами снижается, в 2017 году эта проблема встречалась в четверти онлайн-банков. В большинстве подверженных уязвимости системах не была реализована защита от подбора одноразового пароля при использовании двухфакторной аутентификации. Если в системе не реализовано ограничение попыток ввода или время жизни одноразового пароля, то ничто не мешает злоумышленникам подобрать его и получить доступ к счету пользователя.
Кроме того, киберпреступники могут использовать уязвимости сигнальных сетей SS7 для перехвата SMS с кодами для авторизации от банка – жертвами подобной атаки в 2017 году стали жертвы одного германского банка. В том же году Национальный институт стандартов и технологий (NIST) раскритиковал использование SMS как инструмента обеспечения безопасности. Финансовым компаниям стоит задуматься об использовании более надежных способов реализации двухакторной аутентификации (например, с помощью специализированных приложений).
Письма с сюрпризом
Успешные кибератаки, приводящие к краже денежных средств, могут быть осуществлены и без использования конкретных уязвимостей. Одним из наиболее эффективных способов проникновения в корпоративную инфраструктуру финансовых организаций остается фишинговая рассылка электронных писем на адреса сотрудников банка. Письма могут отправляться как на рабочие адреса, так и на личные. Такой метод использовали группировки Cobalt, Lazarus, Metel, GCMAN.
Когда сотрудник кликает на ссылку или запускает вложение из письма, его компьютер заражается трояном, который может открывать возможность удаленного управления. Для минимизации вероятности успешной фишинговой атаки банки проводят обучение сотрудников и внедряют политики безопасности, запрещающие скачивание и запуск файлов от недоверенных адресатов.
Рискованные подключения
Использование для подключения к серверам банка незащищенного WiFi-соединения также может приводить к проблемам. В такой ситуации злоумышленникам очень просто перехватить трафик, содержащий учетные данные. Известны случаи, когда хакерам удавалось обмануть мобильные приложения банков и отправить им поддельные сертификаты безопасности для установления соединения. В частности, исследователи обнаружили возможность проведения таких атак на приложения банков HSBC, Nat West, Bank of America.
Чтобы не стать жертвой подобной атаки, пользователям следует подключаться к онлайн-банкингу только с помощью защищенного соединения.
***
На протяжении последних лет уровень защищенности онлайн-банков и мобильных приложений банков растет. Однако до сих пор во многих системах встречаются серьезные уязвимости, которые несут серьезную угрозу финансовым компаниям и их клиентам. Пользователям следует сохранять бдительность и не надеяться на то, что все возможные проблемы безопасности за них сможет решить банк. Например, использовать все настройки, связанные с безопасностью, в банковских приложениях. В свою очередь, банкам необходимо проводить постоянные аудиты своей инфраструктуры с привлечением внешних экспертов, заниматься обучением сотрудников основам информационной безопасности и использовать системы превентивной защиты от вторжений.
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
В число банков КНР, практически переставших принимать юаневые платежи из России, вошли крупнейший китайский банк ICBC, China Citic Bank, Industrial Bank и Bank of Taizhou, пишут “Известия” со ссылкой на...
Доллар укрепляется на фоне отдаляющейся перспективы понижения процентных ставок в США и совокупности других факторов. Кто и зачем устраивает ажиотажную скупку американской валюты, агентству "Прайм" рассказала эксперт...
В России предлагают установить минимальную тарифную ставку заработной платы не ниже одного МРОТ. Такой законопроект с поправками в Трудовой кодекс будет внесен в Госдуму 16 апреля фракцией «Справедливая Россия —...
В марте 2024 года так называемый Индекс Мишек вырос на 11,2% по сравнению с аналогичным периодом прошлого года, аналогичный показатель в феврале составлял 10%. То есть инфляция в России немного ускорилась. Об этом...
Поправки в Гражданский кодекс, которые позволят легализовать невозвратные тарифы в гостиницах, разработало Минэкономразвития. Это, как ожидается, должно повысить доходы отелей. Предлагается внести изменения...
Мошенники от имени банков стали предлагать россиянам отказаться от спама и предложений оформить кредитные карты. Для этого они просят назвать код из СМС, который на самом деле дает им доступ к «Госуслугам». Об этом...
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
В число банков КНР, практически переставших принимать юаневые платежи из
ПодробнееДоллар укрепляется на фоне отдаляющейся перспективы понижения процентных ставок
ПодробнееВ России предлагают установить минимальную тарифную ставку заработной платы не
ПодробнееВ марте 2024 года так называемый Индекс Мишек вырос на 11,2% по сравнению с
ПодробнееПоправки в Гражданский кодекс, которые позволят легализовать невозвратные
ПодробнееМошенники от имени банков стали предлагать россиянам отказаться от спама и
ПодробнееЭкономика сегодня
📰 Снижению ключевой ставки препятствует сохранение рисков перегрева экономики из-за высокого спроса, на этом фоне российский ВВП продолжает расти высокими темпами, рассказывает «Коммерсант» о заявлениях главы ЦБ Эльвиры Набиуллиной. Из данных регулятора следует, что, несмотря на высокие ставки, в
Подробнее Банки начали предлагать вклады с плавающей ставкой, которая зависит от ключевой ставки ЦБ РФ — хотя ставки по ним сейчас высокие, в результате вкладчик может получить не ту доходность, на которую рассчитывал, предупреждает главный аналитик финансового маркетплейса Банки Богдан Зварич. Как
Подробнее Пожилые люди в Испании получают самую щедрую пенсию в мире. Выплаты могут доходить до 3060 фунтов стерлингов – 356 000 рублей в месяц, пишет
Подробнее Востребованность новых жилищно-накопительных депозитов будет зависеть от условий, которые предложат банки по таким вкладам, считает главный аналитик Совкомбанка Анна Землянова. Базовые параметры, которые обсуждаются...
Подробнее Пара доллар/рубль в ходе сегодняшних торгов может отступить в район 92 рублей, прогнозирует главный аналитик финансового маркетплейса Банки Богдан Зварич.
Подробнее Российские дачники в 2024 году могут быть оштрафованы за самозахват и захламление земельных участков, возведение незаконных построек, неправильную установку мангала и задолженность по электроэнергии, рассказал...
Подробнее
Комментарии (0)