- 61% банковских онлайн-приложений плохо защищены от атак хакеров
- Клиентам почти всех банков угрожает перехват данных
- В прошлом году хакеры украли у корпоративных клиентов 1,47 млрд рублей
Компания Positive Technologies проанализировала надежность банковских онлайн-приложений и больше, чем в половине, нашла уязвимости, пишет Коммерсант со ссылкой на отчет компании. При этом в 61% случаев эксперты выявили низкий или крайне низкий уровень защищенности онлайн-банков.
Детали. 54% выявленных уязвимостей могут привести к хищению средств, указано в отчете. Хакеры могут узнать номер карты, посмотреть шаблоны и отредактировать их – например, подменить номер телефона, если у клиента банка настроен автоплатеж.
Главные угрозы. В 2018 году самой частой угрозой стала недостаточная защита от атак, направленных на перехват данных – эта проблема выявлена в 92% банков. Вторая по распространенности уязвимость – недостатки двухфакторной аутентификации, она обнаружена в 77% случаев. У этих банков операции повышенной важности, такие как перевод средств по реквизитам, совершаются без подтверждения одноразовым паролем из СМС.
Наиболее распространенные уязвимости онлайн-банков
| Уязвимость | Доля в 2018 году | Доля в 2017 году |
|---|---|---|
| Недостаточная защита от атак, направленных на перехват данных | 92% | 69% |
| Недостатки реализации двухфакторной аутентификации | 77% | 25% |
| Межсайтовое выполнение сценариев | 62% | 75% |
| Разглашение важных данных | 46% | 50% |
| Раскрытие чувствительной информации в сообщениях об ошибках | 46% | 25% |
| Раскрытие информации о версии используемого ПО | 38% | 31% |
| Нарушение логики работы приложения | 31% | 6% |
| Недостаточная авторизация | 31% | 63% |
| Внедрение внешних сущностей XML | 23% | 19% |
| Недостаточная защита от подбора аутентификационных данных | 23% | 19% |
По сравнению с 2017 годом резко выросло количество банковских приложений, в которых нарушена логика работы. В 2018 году их доля увеличилась с 6% до 31%. Например, это случаи, когда из-за ошибки в приложении злоумышленник может обменять рубли на доллары по курсу 1 к 1.
Контекст. ФинЦЕРТ ЦБ сообщал, что в 2018 году хакеры украли у корпоративных клиентов банков 1,47 млрд рублей. В 46% случаев хищения совершались из-за того, что злоумышленники получали доступ к системам ДБО с использованием вредоносных программ.
Как сообщали раньше эксперты Лаборатории Касперского, в 2018 году 890 тысяч пользователей антивирусных программ компании подверглись атакам банковских троянов — вирусов, которые крали учетные данные в системах онлайн-банкинга, перехватывали одноразовые пароли, отправляя их злоумышленникам.
Количество этих атак выросло на 15,9% по сравнению с 2017 годом, большая часть атак пришлась на Россию и Германию (22% и 20% соответственно), тройку замыкает Индия с 4% от глобального числа атак.
