Введите запрос для поиска

Скрыть поиск
Курсы валют

Хакеры держат дистанцию

Ставшие привычными для граждан технологии мобильных и онлайн-банков крайне уязвимы для хакеров, выяснили специалисты по кибербезопасности Bi.Zone. Злоумышленники могут воспользоваться, например, слишком продолжительной сессией клиента в мобильном банке или подобрать трансакцию под пароль, а не наоборот. Риски высоки более чем в половине работающих в РФ мобильных банков, и клиентам остается только проявлять предусмотрительность.

О самых распространенных уязвимостях мобильных и онлайн-банков рассказал на конференции OFFZONE 2018 ведущий специалист по тестированию на проникновение Bi.Zone (дочерняя структура Сбербанка, специализирующаяся на кибербезопасности) Аркадий Литвиненко. По его словам, используемая сейчас рассылка одноразовых паролей в СМС-сообщениях для подтверждения входа в личный кабинет в онлайн-банке или мобильном банке — это «порочный путь», который может привести к хищению. Проблема в безопасности передачи самого пароля: по поддельной доверенности и скану паспорта жертвы можно получить дубликат сим-карты. Есть и сравнительно недорогие устройства (от $700) для перехвата СМС-сообщений. И, по словам Аркадия Литвиненко, это далеко не единственная уязвимость.

Так, в большинстве банков для подтверждения трансакций используются одноразовые пароли из СМС из четырех цифр, при трижды неверно введенном пароле трансакция блокируется. «Но можно перебирать трансакцию под пароль (например, 5555), то есть создать множество операций по списанию средств со счета клиента, при подборе 16 тыс. трансакций вероятность угадать пароль — 99%»,— отмечает эксперт.

Конечно, клиент банка может не заметить 16 тыс. СМС от банка с одноразовым паролем разве что ночью или в отпуске, когда не пользуется телефоном постоянно, но это не исключено, отмечают эксперты.

Получить доступ к личному кабинету в онлайн-банке злоумышленники могут, если клиент, к примеру, прошел по ссылке в фишинговом письме или случайно загрузил вредоносное программное обеспечение, отмечает руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов.

По данным Positive Technologies, по итогам 2017 года компания выявила критически опасные уязвимости более чем в половине онлайн-банков. При этом недостатки авторизации выявляли в 63% случаев. Использование банками одноразового пароля также на вход плюс ограничение по количеству одноразовых паролей может снизить эти риски, отмечает Аркадий Литвиненко.

Что касается мобильного банкинга, то Bi.Zone выявил в приложениях кредитных организаций уязвимости, которые были сделаны для комфорта клиентов. Например, пароль от банковского аккаунта достаточно длинный, и вводить его каждый раз при входе в мобильный банк неудобно. «И порой банки не ограничивают сессию клиента при входе в мобильный банк или делают ее очень долгой,— отмечает Аркадий Литвиненко.— Получив доступ к сессии, злоумышленник получает доступ к мобильному банку». По словам Луки Сафронова, перехватить сессию злоумышленники могут, например, если клиент банка пользуется общественным wi-fi в торговом центре или в общественном транспорте.

Еще один опасный момент — когда приложение мобильного банка запоминает код на вход в приложение и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту»,— отмечает Аркадий Литвиненко. Впрочем, даже если приложение и не запоминает код, а он хранится на сервере, то и в этой ситуации есть уязвимость — код может быть выявлен тем же методом подбора, отмечает эксперт. И лишь связка пин-код + устройство клиента может снизить риски.

По данным Positive Technologies, уязвимости в 52% мобильных банков позволяли расшифровать, перехватить и подобрать учетные данные для доступа в мобильное приложение или обойти процесс аутентификации. Данные для взлома мобильных банков активно продаются в даркнете, отмечают в Positive Technologies. При этом средняя стоимость «входа» в мобильный банк составляет $22.

Впрочем, доля систем дистанционного банковского обслуживания, в которых обнаруживаются критически опасные уязвимости, снижается с каждым годом. Если в 2015 году уязвимости высокого уровня риска содержались в 90% проанализированных систем, а в 2016 году — в 71%, то по итогам 2017-го уже только в 56%, указывают в Positive Technologies. Тем не менее клиентам необходимо знать о возможных рисках и проявлять предусмотрительность.

Вероника Горячева

Источник: Газета "Коммерсантъ" №213 от 20.11.2018
Тэги:

Читайте также

ВТБ запустил новую программу автокредитования
ВТБ запустил специальное предложение «АвтоРалли», в рамках которого ставки по кредитованию новых автомобилей снижены до 9,5% годовых
Райффайзенбанк запустил вклад «Время действовать»
С 22 февраля Райффайзенбанк запустил новый вклад – «Время действовать»
Сотрудники Банка России провели день финансовой грамотности в одной из школ в Азнакаево
Деловую игру «С финансами на ты» для учеников одиннадцатого класса, а также занятие по финансовой грамотности с учащимися девятого класса провели сегодня сотрудники Банка России в школе № 1 г. Азнакаево
Альфа-Банк запустил мобильное приложение для самозантых
Альфа-Банк предложил самозанятым клиентам встать на учет в ФНС, используя мобильное приложение банка
Выпуск от 22.02.2019: Инфляционные поддавки и ТОП-3 программ рефинансирования кредитов
Цены на продовольственные товары должны расти и ТОП-3 кредитов на рефинансирование
Вчера рубль консолидировался в узком диапазоне 65,40 -65,60 руб./долл
Валютный прогноз от банка «Восточный»
ВТБ Капитал Инвестиции запустил первый биржевой фонд российских корпоративных облигаций на Московской бирже
21 февраля на Московской бирже начались торги паями «ВТБ-Российские корпоративные облигации смарт бета»
В Госдуме предложили передавать пенсии по наследству
В Госдуме рассмотрят законопроект «О внесении изменений в федеральный закон «О страховых пенсиях»
Восстановления деловой репутации добились в ЦБ в 2018 году 77 финансовых топ-менеджеров
В 2018 году 225 жалоб поступило в комиссию Банка России
МФО объединяются для борьбы с мошенниками
Крупнейшие микрофинансовые организации (МФО), выдающие займы через Интернет, объединятся в рабочую группу на базе СРО «МиР», являющейся промежуточным звеном между ЦБ и МФО