Критические уязвимости: почему не стоит доверять банковским приложениям?
Контакты: mediavektor.org@yandex.com
 |   |  Обратная связь

Опрос




Календарь
«    Апрель 2019    »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930 


 
 

Критические уязвимости: почему не стоит доверять банковским приложениям?

5-04-2019, 10:06 | Технологии
Критические уязвимости: почему не стоит доверять банковским приложениям?

Уязвимости есть абсолютно у всех обследованных онлайн-приложений банков, и более чем в половине случаев они могут привести к хищениям, пишет «Коммерсантъ» со ссылкой на исследование Positive Technologies. В исследовании фигурируют десятки банков, но какие, в публикации не раскрывается. Злоумышленники знают и активно используют уязвимости.

Насколько все плохо

Обнаруженные уязвимости можно использовать для доступа к информации клиента в 100% случаев, а для хищения его средств — в 54% случаев.

Уровень защищенности приложений онлайн-банкинга оценен как низкий и крайне низкий в 61% случаев.

Самыми распространенными ошибками были недостаточная защита от перехвата данных, авторизации и зашита от внедрения вредоносного кода на выдаваемую страницу. В 77% случаев при выполнении операций повышенной важности внутри приложения оно не запрашивает пароль.

Из-за «дыр» в приложениях злоумышленники могут узнать номера карт, перенастроить автоплатеж на постороннее лицо и даже перевести деньги на посторонний счет.

По данным ФинЦЕРТ ЦБ, в 2018 году только у корпоративных клиентов банков украли 1,47 млрд руб., причем этом в 46% случаев деньги ушли через доступ к банковским приложениям. Объем несанкционированных операций с использованием платежных карт граждан в 2018 году вырос на 44% до 1,38 млрд руб.

В чем причины

Самый тревожный тренд в безопасности банковских приложений — нарушение логики их работы. Количество онлайн-банков, где выявлена такая уязвимость, увеличилось в 5 раз, с 6% до 31%. Именно она делает возможными самые опасные махинации, вроде конвертации рублей со счета жертвы в доллары по курсу 1:1.

Проблема в том, что многие приложения банков — самописные: у их авторов не хватает квалификации в части безопасной разработки, говорят эксперты. В готовых онлайн-банках уязвимостей втрое меньше.

Что делать

Отраслевые эксперты называют ситуацию критической. Возможное решение лежит во всеобщем внедрении стандартов безопасной разработки приложений (SSDLC) и процедур анализа программного кода, которые сейчас есть у единичных российских банков.

Повышение безопасности онлайн-банкинга в прямых интересах клиентов. Хотя по закону «О национальной платежной системе» банк «обязан возместить клиенту сумму операции, совершенной без согласия клиента», в нем есть два важных условия. Во-первых, держатель карты не должен нарушать установленные договором правила использования, а во-вторых, сообщить о незаконности операции на следующий день после уведомления о списании.

Почему это важно

Причин не полностью доверять онлайн-банкам становится больше. Если в приложении есть уязвимость, то от потери средств не спасет и двухфакторная аутентификация.

Сергей Смирнов, thebell.io




Другие новости по теме:
Количество троянов-взломщиков банковских приложений выросло втрое Количество троянов-взломщиков банковских приложений выросло втрое
В России хотят ограничить условия получения онлайн кредитов В России хотят ограничить условия получения онлайн кредитов
В iPhone и iPad обнаружены уязвимости, которые позволяют легко обойти защит ... В iPhone и iPad обнаружены уязвимости, которые позволяют легко обойти защит ...
 
| |
 
 



Новости





Free counters!