April 8, 2019

Во всех российских онлайн-банках нашли уязвимости

Исследователи Positive Technologies признали уровень защищенности 61% российских онлайн-банков «низким или крайне низким». Уязвимости при этом были найдены во всех банках. Их уже активно используют злоумышленники, отметили эксперты.

Согласно отчету Positive Technologies, во всех проверенных онлайн-банках эксперты нашли уязвимости. Уязвимостью называют доступ злоумышленника к информации клиента и к банковской тайне. При этом 54% из таких уязвимостей могут привести к хищению денег у клиентов. В 61% случаев эксперты обнаружили низкий или крайне низкий уровень защищенности онлайн-банков.

Руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин подчеркнул, что мошенники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их. «Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного», — рассказал Бабин.

Эксперты также обнаружили новую проблему — нарушение логики работы онлайн-банков. Число организаций с такой уязвимостью выросло в 5 раз по сравнению с прошлым годом — с 6% до 31%. Бабин пояснил, что нарушение логики в приложении позволяет злоумышленнику обойти правила мобильного банка.

«Из-за ошибки злоумышленник может, скажем, сразу перейти к переводу денег на другой счет, обойдя процесс подтверждения трансакции с помощью одноразового пароля, или, например, получить возможность перевести деньги с рублевого счета на долларовый по курсу 1 к 1», — приводит примеры эксперт.

В 2018 году у корпоративных клиентов украли 1,47 млрд руб. Всего, по данным ФинЦЕРТ, было совершено 6,1 тыс. попыток хищений. При этом в 46% случаев мошенники получили доступ к онлайн-банкам с использованием вредоносов. Центробанк считает, что тренд сохранится и в этом году. Эксперты в сфере информбезопасности говорят, что для исправления ситуации нужно принять радикальные меры.

В конце января клиенты приложения Сбербанка стали жертвами мошенников, которые использовали для звонков контактные номера банка. Такой взлом возможен только при доступе злоумышленников к конфиденциальной информации клиентов, сообщал Inc.

Источник