Введите запрос для поиска

Скрыть поиск
Курсы валют

Хакеры держат дистанцию

Ставшие привычными для граждан технологии мобильных и онлайн-банков крайне уязвимы для хакеров, выяснили специалисты по кибербезопасности Bi.Zone. Злоумышленники могут воспользоваться, например, слишком продолжительной сессией клиента в мобильном банке или подобрать трансакцию под пароль, а не наоборот. Риски высоки более чем в половине работающих в РФ мобильных банков, и клиентам остается только проявлять предусмотрительность.

О самых распространенных уязвимостях мобильных и онлайн-банков рассказал на конференции OFFZONE 2018 ведущий специалист по тестированию на проникновение Bi.Zone (дочерняя структура Сбербанка, специализирующаяся на кибербезопасности) Аркадий Литвиненко. По его словам, используемая сейчас рассылка одноразовых паролей в СМС-сообщениях для подтверждения входа в личный кабинет в онлайн-банке или мобильном банке — это «порочный путь», который может привести к хищению. Проблема в безопасности передачи самого пароля: по поддельной доверенности и скану паспорта жертвы можно получить дубликат сим-карты. Есть и сравнительно недорогие устройства (от $700) для перехвата СМС-сообщений. И, по словам Аркадия Литвиненко, это далеко не единственная уязвимость.

Так, в большинстве банков для подтверждения трансакций используются одноразовые пароли из СМС из четырех цифр, при трижды неверно введенном пароле трансакция блокируется. «Но можно перебирать трансакцию под пароль (например, 5555), то есть создать множество операций по списанию средств со счета клиента, при подборе 16 тыс. трансакций вероятность угадать пароль — 99%»,— отмечает эксперт.

Конечно, клиент банка может не заметить 16 тыс. СМС от банка с одноразовым паролем разве что ночью или в отпуске, когда не пользуется телефоном постоянно, но это не исключено, отмечают эксперты.

Получить доступ к личному кабинету в онлайн-банке злоумышленники могут, если клиент, к примеру, прошел по ссылке в фишинговом письме или случайно загрузил вредоносное программное обеспечение, отмечает руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов.

По данным Positive Technologies, по итогам 2017 года компания выявила критически опасные уязвимости более чем в половине онлайн-банков. При этом недостатки авторизации выявляли в 63% случаев. Использование банками одноразового пароля также на вход плюс ограничение по количеству одноразовых паролей может снизить эти риски, отмечает Аркадий Литвиненко.

Что касается мобильного банкинга, то Bi.Zone выявил в приложениях кредитных организаций уязвимости, которые были сделаны для комфорта клиентов. Например, пароль от банковского аккаунта достаточно длинный, и вводить его каждый раз при входе в мобильный банк неудобно. «И порой банки не ограничивают сессию клиента при входе в мобильный банк или делают ее очень долгой,— отмечает Аркадий Литвиненко.— Получив доступ к сессии, злоумышленник получает доступ к мобильному банку». По словам Луки Сафронова, перехватить сессию злоумышленники могут, например, если клиент банка пользуется общественным wi-fi в торговом центре или в общественном транспорте.

Еще один опасный момент — когда приложение мобильного банка запоминает код на вход в приложение и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту»,— отмечает Аркадий Литвиненко. Впрочем, даже если приложение и не запоминает код, а он хранится на сервере, то и в этой ситуации есть уязвимость — код может быть выявлен тем же методом подбора, отмечает эксперт. И лишь связка пин-код + устройство клиента может снизить риски.

По данным Positive Technologies, уязвимости в 52% мобильных банков позволяли расшифровать, перехватить и подобрать учетные данные для доступа в мобильное приложение или обойти процесс аутентификации. Данные для взлома мобильных банков активно продаются в даркнете, отмечают в Positive Technologies. При этом средняя стоимость «входа» в мобильный банк составляет $22.

Впрочем, доля систем дистанционного банковского обслуживания, в которых обнаруживаются критически опасные уязвимости, снижается с каждым годом. Если в 2015 году уязвимости высокого уровня риска содержались в 90% проанализированных систем, а в 2016 году — в 71%, то по итогам 2017-го уже только в 56%, указывают в Positive Technologies. Тем не менее клиентам необходимо знать о возможных рисках и проявлять предусмотрительность.

Вероника Горячева

Источник: Газета "Коммерсантъ" №213 от 20.11.2018
Тэги:

Читайте также

Радиотехбанк изменил условия по вкладу «Максимальный доход»
Радиотехбанк изменил условия по вкладу «Максимальный доход»
ВТБ Капитал занял лидирующие позиции в ежегодной премии Cbonds Awards
ВТБ Капитал стал лауреатом ряда номинаций ежегодной премии Cbonds Awards
Мобильное приложение ВТБ-Онлайн позволяет начать инвестировать в ценные бумаги
Пользователи мобильного приложения ВТБ-Онлайн получили возможность оформить брокерский счет и индивидуальный инвестиционный счет (ИИС) с телефона или планшета
Банк «Восточный» представил новую кредитную карту КЭШБЭК
Банк «Восточный» в рамках модернизации линейки кредитных карт представил карту КЭШБЭК, сочетающую в себе главные преимущества кредитных карт банка
ВТБ нарастил выдачу кредитов наличными в 1,5 раза
Банк ВТБ по итогам 11 месяцев 2018 года оформил 1,3 миллиона кредитов наличными на общую сумму более 700 миллиардов рублей
Без SWIFT не останемся
Уход с поста главы организации не изменит ее политику в отношении к России
Не хватает ни наличных, ни безналичных
Операции по картам замедлили рост
Минфин оставил инвесторов без премии
Доходности ОФЗ не растут при размещении
Банки поборются за деньги садоводов
С 2019 года все садовые товарищества (СНТ) обяжут открыть счета в банках, куда будут поступать взносы их членов и производиться безналичная оплата работ и услуг
ЦБ сообщил о росте числа безналичных платежей за 9 месяцев 2018 года
Количество банковских карт, с помощью которых в период с января по сентябрь текущего года была совершена как минимум одна операция, выросло по сравнению с 2017 годом на 15%