Хакеры начали издалека

Более чем в половине российских онлайн-банков выявлены уязвимости, которые могут привести к хищению средств клиентов, говорится в исследовании Positive Technologies, посвященном веб-приложениям дистанционного банковского обслуживания (ДБО). Уровень защищенности 61% из них признан «низким или крайне низким». По данным отчета ФинЦЕРТ ЦБ, эти уязвимости уже активно используются злоумышленниками. Эксперты отмечают, что ситуация требует от банков изменения подхода к безопасности в целом.

Как следует из отчета Positive Technologies «Уязвимости онлайн-банков» (есть в распоряжении “Ъ”), во всех обследованных десятках банков были выявлены уязвимости веб-приложений ДБО, причем 54% из них может привести к хищению средств у клиентов банка. В 61% случаев был выявлен низкий или крайне низкий уровень защищенности онлайн-банков.

Так, уязвимости в виде доступа к информации клиента и к банковской тайне были выявлены в 100% обследованных кредитных организаций.

«То есть злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их,— поясняет руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.— Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного».

В 2018 году не выявлено онлайн-банков, позволяющих войти без двухфакторной аутентификации, но операции повышенной важности совершаются без второго фактора в 77% банков. «Например, при вводе логина и пароля запрашивается одноразовый пароль из SMS,— пояснил Ярослав Бабин.— Однако для некоторых операций подтверждение не требуется — для перевода по банковским реквизитам, отправки данных виртуальной карты или даже для отключения подтверждения с помощью одноразового пароля».

Еще один опасный тренд — нарушение логики работы приложений. Количество онлайн-банков, где была выявлена уязвимость, увеличилось в 5 раз — с 6% до 31%. «Она позволяет злоумышленнику обойти правила приложения,— поясняет господин Бабин.— Например, когда из-за ошибки он может, скажем, сразу перейти к переводу денег на другой счет, обойдя процесс подтверждения трансакции с помощью одноразового пароля, или, например, получить возможность перевести деньги с рублевого счета на долларовый по курсу 1 к 1».

При этом уязвимостей в продаваемых на рынке готовых онлайн-банках втрое меньше, чем в самописных продуктах.
«Разница в количестве уязвимостей связана с низким уровнем квалификации в части безопасной разработки у разработчиков самописных решений, которые не "вылизывают" продукт, который будет использован многими заказчиками»,— поясняет консультант по интернет-безопасности компании Cisco Алексей Лукацкий.

Согласно отчету ФинЦЕРТ ЦБ, уязвимости ДБО активно использовались злоумышленниками в 2018 году. По данным ФинЦЕРТ, у корпоративных клиентов банков в 2018 году украли 1,47 млрд руб., было совершено 6,1 тыс. попыток хищений, при этом в 46% случаев хищение было совершено путем получения злоумышленниками доступа к системе ДБО с использованием вредоносов. И в этом году тренд сохранится, считают в ЦБ.

Эксперты в сфере информбезопасности отмечают, что необходимы радикальные меры для исправления ситуации.

«Приложения стали последним рубежом защиты от проникновения злоумышленников в инфраструктуру компании,— отмечает руководитель направления Solar appScreener "Ростелеком-Solar" Даниил Чернов.— Единственным правильным решением в такой ситуации видится внедрение процесса безопасной разработки (SSDLC), остальные меры будут неполными».

По словам директора по безопасности Почта-банка Станислава Павлунина, в нынешней ситуации для повышения уровня защиты банкам необходимо внедрять Аpplication Security (набор процедур, направленных на анализ программного кода с целью обнаружения уязвимостей и предотвращения их возникновения), однако Аpplication Security есть лишь у единичных российских банков. «К сожалению, вероятность атаки на ДБО близка к 100%,— отмечает начальник отдела по противодействию мошенничеству ЦПСБ "Инфосистемы Джет" Алексей Сизов.— И важнейшим показателем здесь является доля предотвращенных потерь, поскольку вероятность хищений зависит не только от технических уязвимостей, но и от бизнес-процессов, социальной инженерии и т. д.».