DSecRG продемонстрировал эксплоит для клиентского ПО системы «Банк-Клиент»
Главная » Новости

DSecRG продемонстрировал эксплоит для клиентского ПО системы «Банк-Клиент»

Александр Панасенко 15 Октября 2010 - 10:04
...

Специалисты исследовательского центра DSecRG, основанного компанией Digital Security, на конференции «Infobez-Expo/ИнфоБезопасность» рассказали о проблемах безопасности в отечественных банковских продуктах. В частности, внимание было обращено на отсутствие у разработчиков процедур тестирования безопасности собственного кода, что приводит к проявлению классических уязвимостей. При этом было рассказано как про ошибки в клиентской части ПО, так и в серверной.



Так, в рамках выступлений специалистами DSecRG был продемонстрирован эксплоит, нацеленный на клиентское ПО системы «Банк-Клиент», который не обнаруживался антивирусами и использовал последние методики для обхода защитных механизмов ОС (DEP/ASLR), что возможно не только потому, что в коде присутствуют ошибки, но и потому, что разработчики часто пренебрегают использованием защитных механизмов операционной системы.

«Все, что было сказано и продемонстрировано, необходимо лишь для того, чтобы банки и разработчики ПО для банков поняли, что взламывать можно все, включая их продукты. Сейчас очень важно поднять качество кода отечественного ПО, ведь найти ошибку, скажем, в “Банк-Клиенте” сейчас легче, чем в популярном западном ПО. Поэтому необходимо обращать внимание на такое положение дел, ведь злоумышленники тоже ищут эти уязвимости и используют их в своих целях, и мы должны максимально усложнить им эту задачу», — подчеркнул Алексей Синцов, ведущий аудитор компании Digital Security.

В целом, за два года работы исследовательского центра DSecRG были обнаружены ошибки в коде большинства популярных банковских решений таких компаний, как BSS, INIST, ЦФТ, R-Style и «Сигнал-КОМ», говорится в сообщении Digital Security. Производители были своевременно уведомлены о данных уязвимостях и сообщили об их успешном закрытии и отправке обновлений всем клиентам.

В связи со спецификой продуктов, в которых были найдены уязвимости, детальная техническая информация опубликована только на закрытом форуме Ассоциации Российских Членов Европей. Более подробную информацию об обнаруженных уязвимостях в банковских продуктах можно получить на сайте исследовательского центра DSecRG.

Источник

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Осторожно, фейк: в Telegram распространяют ложь о «выплатах 9 Мая»
Екатерина Быстрова 07 Мая 2025 - 09:16
МошенничествоОнлайн-мошенничество Домашние пользователи F6
Осторожно, фейк: в Telegram распространяют ложь о «выплатах 9 Мая»

В преддверии Дня Победы в Telegram начали распространяться фейковые новости о «новых социальных выплатах» для россиян. В сообщениях утверждается, что якобы принято решение о дополнительных мерах поддержки — дескать, каждому гражданину РФ полагается выплата от 38 925 рублей.

При этом, как пояснили специалисты компании F6, нигде не говорится о критериях нуждаемости, а выплаты «приурочены к 80-летию Победы».

Чтобы сделать фейк более убедительным, авторы таких постов советуют обратиться в «местное отделение соцзащиты» или пройти по ссылке и «ознакомиться с инструкцией».

Ссылка ведёт на телеграм-бота, где пользователю обещают 50 000 рублей. Но вместо этого его перенаправляют в другой канал — якобы инвестиционный, где предлагают вложить деньги и обещают огромную прибыль. При этом прямо в сообщениях указываются банковские карты, на которые нужно отправить «инвестиции».

По наблюдениям экспертов, такие каналы работают уже давно: большую часть времени они публикуют достоверные и безобидные новости о социальной поддержке, а затем — в канун крупных праздников вроде Нового года или 9 Мая — вбрасывают фейковые сообщения о выплатах.

 

В декабре 2024 года уже была подобная волна перед праздниками. Аудитория у таких каналов может достигать сотен тысяч подписчиков. Ни один из них не зарегистрирован в Роскомнадзоре как официальное СМИ.

Сценарий мошенничества с «выплатами» — один из самых популярных. Часто используется в преддверии праздников: 9 Мая, Нового года, 23 Февраля, 8 Марта, 1 сентября. Цель — привлечь внимание, заполучить данные пользователя и выманить у него деньги.

Как защитить себя:

  • Проверяйте информацию только через официальные источники — например, «Госуслуги» или МФЦ.
  • Не подписывайтесь на сомнительные телеграм-каналы — даже пассивная подписка даёт злоумышленникам информацию о вас.
  • Не переходите по ссылкам из подозрительных сообщений, особенно в мессенджерах и соцсетях.
  • Никому не передавайте свои персональные и банковские данные, пароли и коды из СМС.
  • Не переводите деньги незнакомым людям.
  • Прежде чем куда-то вкладывать средства, ищите отзывы — если это мошенничество, скорее всего, кто-то уже об этом написал.
  • Если сомневаетесь, проконсультируйтесь с человеком, которому доверяете.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Android-троян BTMOB RAT приходит под видом софта для стриминга и майнинга
Новость
Android-троян BTMOB RAT приходит под видом софта для стримин...
Из 100 веб-приложений российских банков 50 содержат уязвимости
Новость
Из 100 веб-приложений российских банков 50 содержат уязвимос...
Разработчики ПО ждут возобновления госфинансирования уже со 2 квартала
Новость
Разработчики ПО ждут возобновления госфинансирования уже со...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.