Кибербезопасность для банков может лечь на плечи клиентов

Кибербезопасность для банков может лечь на плечи клиентов

Как известно, Центробанк озадачился борьбой с хищением средств у компаний и граждан России — для этого от банков требуют «разделения технологий» и введения ограничений по платежам. Однако, судя по всему, за введение новых мер кибербезопасности придется расплачиваться клиентам банков.

Эти нововведения могут привести к тому, что для работы с банком потребуется иметь два мобильных телефона, либо ЭЦП.

Комитет АРБ по банковской безопасности, например, смутили поправки к положению о требованиях к информационной безопасности банков (382-П), которые вступили в силу 1-го июля. Согласно пункту 2.10.5, банкам необходимо обеспечить раздельные технологии при подготовке платежа клиентом и при его подтверждении в случае, если обеспечить «непосредственный контроль защиты информации от воздействия вредоносного кода» не получается.

Раздельные технологии подразумевают использование различных программных сред, которые будут формировать платежные документы и подтверждения трансакции. Также с их помощью надо сверять реквизиты платежки как в момент формирования, так и на этапе подтверждения.

Если банку не удается реализовать такую систему, он должен будет установить ограничения по сумме трансакции, перечню получателей, географии плательщика, временному периоду совершения трансакций. Но самое интересное — ограничение должно накладываться на устройства, на которых может быть сформирован платежный документ и какими подтвержден.

Многие специалисты отмечают, что само понятие раздельных технологий крайне размыто, стало быть, не совсем понятно, что именно имеет в виду Центральный Банк России. Если для проведения платежей используется смартфон, сможет ли он обеспечить разделение технологий?

Все сводится к тому, что за нововведения (как всегда) будут расплачиваться сами россияне. Это выльется либо в подорожании использования мобильного банка, либо обычные операции станут занимать у людей гораздо больше времени.

Напомним, что Минюст обязал банки соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного оборудования.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Дыра в Android-версии WhatsApp позволяет удалённо взломать смартфоны

Разработчики WhatsApp устранили две опасные уязвимости в Android-версии мессенджера. Если злоумышленник задействует эти дыры в атаке, у него появится возможность выполнить вредоносный код и удалённо взломать мобильное устройство жертвы.

Более того, атакующий в теории может перехватывать сообщения пользователя и следить за его переписками. Такой тип атаки специалисты называют «Man-in-the-Disk» («человек в хранилище»), поскольку почвой для них служит некорректное взаимодействие мобильных приложений с внешним хранилищем.

В этом случае киберпреступник может скомпрометировать уязвимый софт за счёт манипуляции определёнными данными, которыми программа обменивается с внешним хранилищем (/sdcard).

«Здесь мы видим, что обычная фишинговая атака через Android-мессенджер может вылиться в прямую утечку данных, которые хранятся на внешнем накопителе. Мы покажем, как выявленные уязвимости помогут атакующему удалённо собрать криптографический материал TLS для сессий TLS 1.3 и TLS 1.2», — объясняют эксперты Census Labs, обнаружившие проблему.

Одна из уязвимостей, получившая идентификатор CVE-2021-24027, кроется в межпроцессорном взаимодействии (IPC), которым приложения пользуются для обмена данными с другим софтом. Злоумышленник может отправить жертве в WhatsApp специально созданный HTML-файл, а эксплойт отработает в тот момент, когда браузер попытается открыть такой файл.

Помимо того, что атакующий способен получить ключи сессии, уязвимость позволяет ему удалённо выполнить код и даже извлечь ключи протокола Noise, которые используются для защиты переписок пользователей сквозным шифрованием. Исследователи даже записали небольшой видеоролик с демонстрацией своей находки:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru