Из 100 веб-приложений российских банков 50 содержат уязвимости

Яков Шпунт 26 Февраля 2025 - 15:45

...

Из 100 веб-приложений российских банков 50 содержат уязвимости

ГК «Солар» оценила безопасность веб-приложений 100 российских банков и выявила, что более половины из них содержат уязвимости высокой или средней критичности. В каждом втором приложении обнаружена хотя бы одна серьезная проблема.

Анализ проводился с использованием динамических и статических инструментов тестирования, а также сторонних решений. В 20% случаев уровень защищенности оказался низким, в 39% – средним.

Одной из наиболее распространенных уязвимостей оказался недостаточный контроль доступа, выявленный в 78% приложений. Это может привести к тому, что как внутренние, так и внешние злоумышленники получат доступ к широкому спектру данных и смогут использовать их в своих целях.

Межсайтовый скриптинг (XSS) также остается значимой проблемой: в 75% случаев уязвимость позволяет внедрять вредоносный код через пользовательский ввод. Еще одна серьезная угроза связана с недостаточным шифрованием данных – 56% приложений хранят персональные сведения, пароли и номера платежных карт с использованием устаревших протоколов и слабых криптоалгоритмов, что упрощает их компрометацию.

Кроме того, 36% выявленных уязвимостей связаны с недостатками логирования и мониторинга, что затрудняет обнаружение и расследование инцидентов. В таких условиях банки могут не отслеживать несанкционированный доступ к своим ИТ-системам.

Проблема утечек данных в банковском секторе остается актуальной. По данным ГК «Солар», в 2024 году объем утекшей информации из финансовых организаций составил 410 миллионов строк, что вдвое превышает показатели 2023 года. Среди компрометированных данных – ФИО клиентов, контактные данные, кредитная история и другая чувствительная информация. Финансовый сектор оказался наиболее уязвимым по сравнению с другими отраслями, включая государственные структуры.

Как отметил руководитель направления развития бизнеса ПО Solar appScreener Владимир Высоцкий, в последние годы банки уделяют все больше внимания защите информации, что связано как с требованиями регуляторов, так и с развитием законодательства в области безопасной разработки. Внедрение решений для анализа кода на ранних этапах помогает снижать риски наиболее распространенных уязвимостей и повышать уровень защиты банковских веб-приложений.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 07 Октября 2025 - 09:10

Мошенничество Онлайн-мошенничество Домашние пользователи F6

F6 выявила сеть мошеннических ресурсов по продаже ветпрепаратов

Компания F6 выявила сеть из 20 телеграм-каналов и фейковый сайт ветеринарной клиники. Мошенники обманывали владельцев домашних животных, предлагая по 100% предоплате поставки импортных ветеринарных препаратов, ставших дефицитом из-за санкций.

По данным F6, злоумышленники действуют под брендом «Зооаптека PRO». Их схема работает с мая, однако, как сообщает ТАСС, первые жалобы от пострадавших появились ещё в апреле.

Чаще всего мошенники предлагают купить препараты против блох и клещей – «Бравекто», «Симпарику», «Апоквел», NexGard. Эти средства стали труднодоступными после введения санкций, а указанные цены близки к рыночным, что делает предложения правдоподобными.

Как отмечают в F6, сайт и телеграм-каналы злоумышленников индексируются в российских поисковиках. Кроме того, создан отдельный канал с поддельными положительными отзывами, где нельзя оставлять комментарии. При этом в компании уточняют, что до конца не установили, каким именно образом мошенники привлекают новых жертв.

Заказы принимаются через аккаунт «менеджера» в одном из телеграм-каналов. Реквизиты для оплаты постоянно меняются, а от покупателей требуют полную предоплату. После этого с клиентом связывается «логист».

Если человек требует вернуть деньги, запускается второй этап атаки: жертву направляют на сайт-двойник банка и просят заполнить форму с полными платёжными реквизитами. В результате средства списываются повторно. Средний ущерб от одной «покупки» составляет 7–10 тысяч рублей.

Мошеннические схемы с предоплатой применяются уже не первый год. Так, осенью 2020 года фиксировалась волна атак с использованием клонов сайта ЦИАН. В 2025 году подобные схемы применялись при сборе предзаказов на новинки Apple, продаже «горящих» туров и мошенничестве вокруг обхода утильсбора на автомобили.