Критические уязвимости: почему не стоит доверять банковским приложениям?
05.04.2019 494 0
Уязвимости есть абсолютно у всех обследованных онлайн-приложений банков, и более чем в половине случаев они могут привести к хищениям, пишет «Коммерсантъ» со ссылкой на исследование Positive Technologies. В исследовании фигурируют десятки банков, но какие, в публикации не раскрывается. Злоумышленники знают и активно используют уязвимости. Насколько все плохо Обнаруженные уязвимости можно использовать для доступа к информации клиента в 100% случаев, а для хищения его средств — в 54% случаев.
Уровень защищенности приложений онлайн-банкинга оценен как низкий и крайне низкий в 61% случаев. Самыми распространенными ошибками были недостаточная защита от перехвата данных, авторизации и зашита от внедрения вредоносного кода на выдаваемую страницу. В 77% случаев при выполнении операций повышенной важности внутри приложения оно не запрашивает пароль. Из-за «дыр» в приложениях злоумышленники могут узнать номера карт, перенастроить автоплатеж на постороннее лицо и даже перевести деньги на посторонний счет. По данным ФинЦЕРТ ЦБ, в 2018 году только у корпоративных клиентов банков украли 1,47 млрд руб., причем этом в 46% случаев деньги ушли через доступ к банковским приложениям. Объем несанкционированных операций с использованием платежных карт граждан в 2018 году вырос на 44% до 1,38 млрд руб. В чем причины Самый тревожный тренд в безопасности банковских приложений — нарушение логики их работы. Количество онлайн-банков, где выявлена такая уязвимость, увеличилось в 5 раз, с 6% до 31%.
Именно она делает возможными самые опасные махинации, вроде конвертации рублей со счета жертвы в доллары по курсу 1:1. Проблема в том, что многие приложения банков — самописные: у их авторов не хватает квалификации в части безопасной разработки, говорят эксперты. В готовых онлайн-банках уязвимостей втрое меньше. Что делать Отраслевые эксперты называют ситуацию критической. Возможное решение лежит во всеобщем внедрении стандартов безопасной разработки приложений (SSDLC) и процедур анализа программного кода, которые сейчас есть у единичных российских банков.
Повышение безопасности онлайн-банкинга в прямых интересах клиентов. Хотя по закону «О национальной платежной системе» банк «обязан возместить клиенту сумму операции, совершенной без согласия клиента», в нем есть два важных условия. Во-первых, держатель карты не должен нарушать установленные договором правила использования, а во-вторых, сообщить о незаконности операции на следующий день после уведомления о списании. Почему это важно Причин не полностью доверять онлайн-банкам становится больше. Если в приложении есть уязвимость, то от потери средств не спасет и двухфакторная аутентификация.
Уровень защищенности приложений онлайн-банкинга оценен как низкий и крайне низкий в 61% случаев. Самыми распространенными ошибками были недостаточная защита от перехвата данных, авторизации и зашита от внедрения вредоносного кода на выдаваемую страницу. В 77% случаев при выполнении операций повышенной важности внутри приложения оно не запрашивает пароль. Из-за «дыр» в приложениях злоумышленники могут узнать номера карт, перенастроить автоплатеж на постороннее лицо и даже перевести деньги на посторонний счет. По данным ФинЦЕРТ ЦБ, в 2018 году только у корпоративных клиентов банков украли 1,47 млрд руб., причем этом в 46% случаев деньги ушли через доступ к банковским приложениям. Объем несанкционированных операций с использованием платежных карт граждан в 2018 году вырос на 44% до 1,38 млрд руб. В чем причины Самый тревожный тренд в безопасности банковских приложений — нарушение логики их работы. Количество онлайн-банков, где выявлена такая уязвимость, увеличилось в 5 раз, с 6% до 31%.
Именно она делает возможными самые опасные махинации, вроде конвертации рублей со счета жертвы в доллары по курсу 1:1. Проблема в том, что многие приложения банков — самописные: у их авторов не хватает квалификации в части безопасной разработки, говорят эксперты. В готовых онлайн-банках уязвимостей втрое меньше. Что делать Отраслевые эксперты называют ситуацию критической. Возможное решение лежит во всеобщем внедрении стандартов безопасной разработки приложений (SSDLC) и процедур анализа программного кода, которые сейчас есть у единичных российских банков.
Повышение безопасности онлайн-банкинга в прямых интересах клиентов. Хотя по закону «О национальной платежной системе» банк «обязан возместить клиенту сумму операции, совершенной без согласия клиента», в нем есть два важных условия. Во-первых, держатель карты не должен нарушать установленные договором правила использования, а во-вторых, сообщить о незаконности операции на следующий день после уведомления о списании. Почему это важно Причин не полностью доверять онлайн-банкам становится больше. Если в приложении есть уязвимость, то от потери средств не спасет и двухфакторная аутентификация.
Комментарии
Читайте также: