Безопасность банковских приложений: самые популярные уязвимости и атаки - «Финансы»

Финансовые организации – одна из главных целей киберпреступников: исследования Positive Technologies показывают, что банки традиционно входят в топ-5 наиболее популярных целей, а одним из ключевых мотивов для киберпреступника остается финансовая выгода. Поэтому банкам приходится уделять серьезное внимание информационной безопасности и защите своей инфраструктуры. С какими уязвимостями сталкиваются банки и их клиенты? И как защититься?

Популярность банковских приложений – мобильного и онлайн-банкинга – постоянно растет. Одна из причин – появление цифровых альтернатив, что позволяет клиентам банков не тратить время на походы в отделение. Согласно  статистике, до 40% клиентов американских банков не были в отделениях по полгода и более. Кроме того, среди общего числа клиентов финансовых организаций растет число молодых пользователей, так называемых миллениалов. К примеру, в США 47% из них используют мобильный банк, в сравнении с 23% людей старшего поколения (бэби-бумеров).

82% пользователей до 34 лет не боятся смены банка, 83% из них сделают это, если конкуренты предложат им более выгодные условия обслуживания

Во всем мире именно пользователи 18–34 лет становятся самой активной группой клиентов. Эти люди озабочены вопросами удобства и надежности используемых продуктов больше, чем их родители. По  данным исследования компании Kasasa, 82% пользователей до 34 лет не боятся смены банка, 83% из них сделают это, если конкуренты предложат им более выгодные условия обслуживания (например, кешбэк), а для 65% пользователей удобство мобильного приложения – критически важный фактор при выборе банка. 

Россия идет в ногу с мировыми трендами – доля пользователей интернет- и мобильного банкинга в РФ выросла до 45,1%. Развитие технологий приводит к сокращению присутствия банков в офлайне – количество действующих подразделений в 2015 году сократилось на 11,2%, в 2016-м — на 8,7%, в 2017-м — еще на 3,4%.

Безопасность онлайн-банкинга в цифрах

Интернет становится все более важным каналом взаимодействия банков и их клиентов, поэтому финансовые организации уделяют все большее внимание безопасности. Хакерам все сложнее успешно атаковать банковскую инфраструктуру. По данным опубликованного FinCert  отчета, с января по август 2018 года целевые атаки принесли киберпреступникам всего 76,5 млн рублей. Годом ранее доход киберпреступников составил 1,08 млрд рублей. И это несмотря на рост общего числа атак (22 за восемь месяцев 2018 года против 20 в прошлом году).

Ущерб от действий хакеров снижается из-за успешного противодействия их работе со стороны служб безопасности финансовых компаний и правоохранительных органов. Согласно данным  исследования Positive Technologies, несмотря на рост общего числа уязвимостей в системах дистанционного банковского обслуживания российских банков (с 6 в 2016 году до 7 в 2017-м), количество уязвимостей высокого уровня риска падает несколько лет подряд (в 2015 году такие недостатки безопасности содержались в 90% систем, в 2017 – лишь в 56%). Становятся безопаснее и мобильные приложения. Уровень защищенности 8% таких систем в ходе исследования был оценен как приемлемый. В 2016 году 93% мобильных банков имели низкий уровень защиты.

Внедрить код и перехватить данные

Это две самые распространенные уязвимости банковских систем. Они позволяют злоумышленникам совершать атаки на пользователей финансовых приложений и перехватывать введенные ими данные. Для этого они внедряют в веб-страницу сайта банка вредоносный код, который подменяет или ворует вводимые на этой странице данные.

Такие недостатки безопасности встречаются даже на сайтах и приложениях крупных банков. Например, в сентябре 2018 года издание The Register сообщало о том, что исследователь обнаружил возможность межсайтового выполнения сценариев (XSS) на сайтах британской Lloyds Group, объединяющей банки Lloyds, Halifaxи Bank of Scotland. Ошибка позволяла хакерам перехватывать и модифицировать данные, введенные пользователем в контактную форму на веб-страницах. В итоге могла быть похищена важная информация, включая логины и пароли для доступа к онлайн-банку.

Пользователям трудно самостоятельно защититься от таких атак без специализированных инструментов (вроде плагинов для браузеров). Поэтому банкам приходится самостоятельно осуществлять аудит своих сайтов на предмет наличия XSS.

Пароль перестал быть надежным

Еще одна распространенная уязвимость: несмотря на то, что ее доля с годами снижается,  в 2017 году эта проблема встречалась в четверти онлайн-банков. В большинстве подверженных уязвимости системах не была реализована защита от подбора одноразового пароля при использовании двухфакторной аутентификации. Если в системе не реализовано ограничение попыток ввода или время жизни одноразового пароля, то ничто не мешает злоумышленникам подобрать его и получить доступ к счету пользователя. 

Кроме того, киберпреступники могут использовать уязвимости сигнальных сетей SS7 для перехвата SMS с кодами для авторизации от банка – жертвами подобной атаки в 2017 году стали жертвы одного германского банка. В том же году Национальный институт стандартов и технологий (NIST) раскритиковал использование SMS как инструмента обеспечения безопасности. Финансовым компаниям стоит задуматься об использовании более надежных способов реализации двухакторной аутентификации (например, с помощью специализированных приложений). 

Письма с сюрпризом

Одним из наиболее эффективных способов проникновения в корпоративную инфраструктуру финансовых организаций остается фишинговая рассылка электронных писем на адреса сотрудников банка

Успешные кибератаки, приводящие к краже денежных средств, могут быть осуществлены и без использования конкретных уязвимостей. Одним из наиболее эффективных способов проникновения в корпоративную инфраструктуру финансовых организаций остается фишинговая рассылка электронных писем на адреса сотрудников банка. Письма могут отправляться как на рабочие адреса, так и на личные. Такой метод использовали группировки  Cobalt,  Lazarus,  Metel,  GCMAN.

Когда сотрудник кликает на ссылку или запускает вложение из письма, его компьютер заражается трояном, который может открывать возможность удаленного управления. Для минимизации вероятности успешной фишинговой атаки банки проводят обучение сотрудников и внедряют политики безопасности, запрещающие скачивание и запуск файлов от недоверенных адресатов.

Рискованные подключения

Использование для подключения к серверам банка незащищенного WiFi-соединения также может приводить к проблемам. В такой ситуации злоумышленникам очень просто перехватить трафик, содержащий учетные данные. Известны случаи, когда хакерам удавалось обмануть мобильные приложения банков и отправить им поддельные сертификаты безопасности для установления соединения. В частности, исследователи обнаружили возможность проведения таких атак на приложения банков HSBC, Nat West, Bank of America.

Чтобы не стать жертвой подобной атаки, пользователям следует подключаться к онлайн-банкингу только с помощью защищенного соединения.

***

На протяжении последних лет уровень защищенности онлайн-банков и мобильных приложений банков растет. Однако до сих пор во многих системах встречаются серьезные уязвимости, которые несут серьезную угрозу финансовым компаниям и их клиентам. Пользователям следует сохранять бдительность и не надеяться на то, что все возможные проблемы безопасности за них сможет решить банк. Например, использовать все настройки, связанные с безопасностью, в банковских приложениях. В свою очередь, банкам необходимо проводить постоянные аудиты своей инфраструктуры с привлечением внешних экспертов, заниматься обучением сотрудников основам информационной безопасности и использовать системы превентивной защиты от вторжений.