Из каждого третьего онлайн-банка можно украсть деньги

Из каждого третьего онлайн-банка можно украсть деньги

Из каждого третьего онлайн-банка можно украсть деньги

Доля финансовых приложений, в которых встречаются критически опасные уязвимости, в 2016 году снизилась, однако общий уровень риска выявленных уязвимостей стал значительно выше. Наиболее распространены оказались недостатки механизмов идентификации, аутентификации и авторизации.

Такие выводы содержатся в отчете на основе работ по анализу защищенности финансовых приложений, которые проводились экспертами Positive Technologies в 2016 году.

Как отмечается в исследовании, популярность электронных финансовых инструментов в России за последний год заметно выросла благодаря развитию бесконтактных систем оплаты: к уже привычным PayPass и payWave присоединились технологии NFC-платежей с помощью смартфонов — Apple Pay и Google Wallet. Однако безопасность общедоступных веб- и мобильных приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений. При этом в случае банковских приложений реализация угроз приводит к серьезным последствиям — включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса.

В частности, исследование показало, что в 2016 году доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска — на 18%. При этом в продуктивных системах выявлено почти в два раза больше уязвимостей, чем в системах, находящихся в разработке. А финансовые приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем те, которые разработаны банками самостоятельно.

Большинство онлайн-банков (71%) имеют недостатки в реализации двухфакторной аутентификации. 33% приложений онлайн-банков содержат уязвимости, позволяющие украсть деньги, а в 27% приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну.

Что касается мобильных банков, то в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. Банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе.

В этом году в отчет Positive Technologies также вошла статистика по защищенности автоматизированных банковских систем (АБС), которые обычно считаются недоступными для внешнего злоумышленника. Однако на практике две трети уязвимостей, выявленных в АБС, оказались критически опасными — включая такие, которые позволяют получить административный доступ к серверу. Подобный доступ дает возможность злоумышленнику, оставаясь незамеченным, проводить любые мошеннические операции, связанные с деньгами: например, заводить новые счета и указывать на них любое количество денег, или же подменять платежные поручения, отправляемые в Центробанк.

«Тренды целевых атак прошлого года показывают, что злоумышленники все активнее используют подобные возможности для атак на финансовый сектор, ― отмечает Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. ― При этом большинства недостатков защиты можно избежать еще на этапе проектирования приложений, если учесть все нюансы, связанные с реализацией механизмов аутентификации и авторизации. Значительное количество уязвимостей может быть выявлено на стадии разработки, если придерживаться практик безопасной разработки (SSDLC) и регулярно проводить анализ защищенности приложений. Как показывает практика, наиболее эффективным методом выявления уязвимостей веб-приложения является анализ его исходного кода, в том числе автоматизированными средствами».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Прокуратура Москвы рассказала о новом скрипте мошенников

Мошенники начали использовать новый сценарий обмана, представляясь сотрудниками службы по защите прав потребителей. Под предлогом «спасения сбережений» от якобы кражи, злоумышленники убеждают жертв передать наличные деньги курьерам. Один из последних случаев закончился хищением 5 млн рублей у пожилой пары в Москве.

О появлении новой схемы сообщил ТАСС со ссылкой на прокуратуру Москвы. По данным ведомства, мошенники действовали под видом представителей службы по защите прав потребителей и выманили крупную сумму у 78-летнего москвича и его супруги.

«Новая "маска" телефонных мошенников — теперь они представляются службой защиты прав потребителей. Именно из этой "службы" позвонил 78-летнему москвичу "ведущий сотрудник". Некий мужчина, представившийся Алексеем Федоровичем, сообщил, что деньги пенсионера похищены, но можно их вернуть. Для этого необходимо выполнять все указания и придумать кодовое слово для дальнейшего общения», — приводит ТАСС выдержку из сообщения надзорного ведомства.

По легенде мошенников, на счет одного из супругов должна была поступить компенсация, которую требовалось передать «специалистам» службы через курьеров. Пенсионеры несколько раз снимали крупные суммы со своих счетов и передавали деньги людям, называвшим согласованное кодовое слово. В итоге они лишились около 5 млн рублей.

«Кодовое слово — верный признак мошенничества. Как только по телефону просят передать сбережения курьеру — прекратите общение, положите трубку. Остались сомнения — самостоятельно проверьте информацию, позвонив в тот орган или организацию, от имени которых якобы поступил звонок», — предупредили в прокуратуре Москвы.

Ранее аферисты уже использовали похожие схемы, включая случаи, когда жертв просили не передавать деньги лично, а оставлять их в почтовых ящиках. При этом структура сценариев и легенд остаётся неизменной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru