Главные уязвимости онлайн-банков: авторизация, аутентификация и Android

Главные уязвимости онлайн-банков: авторизация, аутентификация и Android

Уязвимости высокого уровня риска в исходном коде, а также серьезные недостатки механизмов аутентификации и авторизации во многих системах дистанционного банковского обслуживания позволяют проводить несанкционированные транзакции или даже получить полный контроль над системой со стороны внешнего злоумышленника, что может привести к существенным финансовым и репутационным потерям.

Такие выводы содержатся в исследовании уязвимостей ДБО, обнаруженных экспертами Positive Technologies в 2013 и 2014 годах в ходе работ по анализу защищенности для ряда крупнейших российских банков. В данной статье мы представляем некоторые результаты этого исследования.

В рамках исследования было рассмотрено 28 систем дистанционного банковского обслуживания физических (77%) и юридических лиц (23%). Среди них были и мобильные системы ДБО, представленные серверной и клиентской частью (54%). Две трети систем (67%) являлись собственными разработками банков (использовались Java, C# и PHP), остальные были развернуты на базе платформ известных вендоров. Большинство систем ДБО (74%) находились в промышленной эксплуатации и были доступны для клиентов, а четверть ресурсов составляли тестовые стенды, готовые к переводу в эксплуатацию.

Общие результаты

Почти половина обнаруженных уязвимостей систем ДБО (44%) имеет высокий уровень риска. Примерно одинаковое количество уязвимостей имеют среднюю и низкую степень риска (26% и 30%). В целом, уязвимости высокого уровня риска были выявлены в 78% исследованных систем.

Большая часть уязвимостей (42%) связана с ошибками реализации механизмов защиты систем ДБО, заложенных разработчиками. В частности, к данной категории уязвимостей относятся недостатки механизмов идентификации, аутентификации и авторизации. На втором месте — уязвимости, связанные с ошибками в коде приложений (36%). Остальные уязвимости в основном связаны с недостатками конфигурации (22%).

Наиболее часто в системах ДБО встречались уязвимости, связанные с возможностью идентификации используемого ПО и с предсказуемыми форматами идентификаторов пользователей (57% систем). Более чем в половине систем (54%) обнаружены ошибки в программном коде типа «Межсайтовое выполнение сценариев». Если при наличии этой уязвимости в системе клиент банка перейдет по специально сформированной вредоносной ссылке, атакующий может получить доступ к системе ДБО с привилегиями данного клиента.

Распространены также уязвимости, позволяющие реализовать атаки на сессии пользователей (54% систем). Сюда относятся уязвимости, связанные с некорректным завершением сессий, некорректной настройкой cookie-параметров, возможностью параллельной работы нескольких сессий для одного пользователя, отсутствием привязки сессии к IP-адресу клиента и др. При успешной атаке злоумышленник может получить доступ к личному кабинету пользователя с его привилегиями.

В число наиболее распространенных вошла уязвимость высокой степени риска «Внедрение внешних сущностей XML», которая обнаружена в 46% систем. В результате ее эксплуатации злоумышленник может получить содержимое файлов, хранящихся на уязвимом сервере, данные об открытых сетевых портах узла, вызвать отказ в обслуживании всей системы ДБО, — а также, в ряде случаев, обратиться к произвольному узлу от лица уязвимого сервера и развить атаку.

Отказ в обслуживании системы ДБО может быть вызван с использованием различных уязвимостей в половине исследованных ресурсов (52%).

Большинство распространенных уязвимостей имеет средний или низкий уровень риска. Тем не менее, в сочетании с особенностями функционирования конкретных систем ДБО это может привести к реализации серьезных угроз безопасности, включая кражу конфиденциальных данных (89% систем) и кражу денежных средств (46%).

Исследованные системы ДБО содержат также ряд существенных недостатков на уровне логики. К примеру, в ряде систем была обнаружена возможность атак на основе некорректного использования алгоритмов округления чисел. Скажем, злоумышленник переводит 0,29 рублей в доллары США. При стоимости одного доллара в 60 рублей, сумма в 0,29 рублей соответствует 0,00483333333333333333333333333333 долларов. Данная сумма будет округлена до двух знаков после запятой, т. е. до 0,01 доллара (один цент). Затем злоумышленник переводит 0,01 доллара обратно в рубли и получает 0,60 рублей. Таким образом злоумышленник «выигрывает» 0,31 рублей. В результате автоматизации данной процедуры, учитывая отсутствие ограничений по количеству транзакций в сутки и минимальному размеру транзакции, а также возможности эксплуатации уязвимости типа Race Condition («Состояние гонки»), — в ряде случаев злоумышленник может получать неограниченные суммы денежных средств.

Уязвимости высокого уровня риска в исходном коде, а также серьезные недостатки механизмов аутентификации и авторизации во многих системах дистанционного банковского обслуживания позволяют проводить несанкционированные транзакции или даже получить полный контроль над системой со стороны внешнего злоумышленника, что может привести к существенным финансовым и репутационным потерям." />

После разблокировки Roblox в России мошенники раздают фейковые робуксы

Roblox вернулся в Россию, а мошенники тут же устроили на этом праздник фишинга. Компания «Эфшесть / F6» обнаружила новую схему угона аккаунтов в мессенджерах: злоумышленники обещают пользователям бесплатную игровую валюту в честь возвращения Roblox, а на деле крадут коды входа.

Официально о снятии ограничений с Roblox стало известно 10 июня 2026 года. После этого начали появляться фейковые сайты, копирующие дизайн настоящего Roblox. На них пользователям предлагают получить 1000 робуксов бесплатно. Ну конечно, просто так, без подвоха, как же иначе.

 

По данным «Эфшесть / F6», к 2 июля специалисты нашли уже более 10 фишинговых ресурсов, созданных по одному шаблону. Больше половины доменов зарегистрированы в зоне .xyz, остальные — в .cfd, .shop, .top, .cyou и .sbs. Ссылки на такие сайты распространяют через рекламные посты в Telegram, включая приватные и открытые каналы.

 

Пользователь нажимает кнопку «Продолжить», вводит номер телефона, а затем получает запрос на код из СМС. Только это не код для начисления робуксов, а код подтверждения входа в мессенджер. Если его ввести, аккаунт фактически оказывается в руках злоумышленников.

После этого мошенники могут читать переписку, смотреть контакты, документы, фото и видео, а также рассылать сообщения от имени жертвы. При этом пользователь может даже не сразу понять, что доступ уже скомпрометирован: злоумышленники не всегда блокируют владельца аккаунта сразу.

 

В «Эфшесть / F6» отмечают, что связанные с этими фейковыми сайтами IP-адреса пересекаются и с другими фишинговыми ресурсами, которые используются для угона учетных записей по похожим схемам.

Специалисты компании уже направили домены на блокировку в России. Но расслабляться рано: такие сайты легко появляются заново.

RSS: Новости на портале Anti-Malware.ru