Эксперты: Половина мобильных банков в России крайне уязвимы

0
ПОДЕЛИТЬСЯ

Российские сервисы мобильных и онлайн-банков крайне уязвимы для хакеров, уверены эксперты по кибербезопасности. Преступники могут сделать дубликат сим-карты и перехватить SMS-сообщения клиента, использовать сессию в публичной сети или совершить списание денег путем подбора транзакции под пароль. В зоне риска остаются более половины российских банков.


Широко используемая российскими банками рассылка одноразовых паролей в SMS-сообщениях для подтверждения входа в личный кабинет в онлайн-банке или мобильном банке — это «порочный путь», который может привести к хищению. Об этом на конференции OFFZONE 2018 ведущий специалист по тестированию на проникновение Bi.Zone (дочерняя структура «Сбербанка» специализирующаяся на кибербезопасности) Аркадий Литвиненко.

По его словам, злоумышленники могут получить дубликат сим-карты по поддельной доверенности и скану паспорта. Кроме того, есть и недорогие устройства для перехвата SMS-сообщений.

Большинство банков используют одноразовые пароли из четырех цифр для подтверждения транзакций, при трижды неверно введенном пароле перевод блокируется. В этом случае есть возможность подобрать «транзакцию под пароль», то есть, создать множество операций по списанию средств со счета клиента, и при подборе 16 тысяч операций вероятность угадать пароль приближается к 99%. Возможность того, что клиент банка может не заметить такое количество SMS-сообщений, мала, но не исключена, уверен Литвиненко.

Кроме того, кибермошенники могут получить доступ к личному кабинету пользователя, если он прошел по ссылке в фишинговом письме или случайно загрузил вредоносное программное обеспечение.

Существуют и уязвимости, допущенные в банковских приложениях для комфорта клиентов. Например, пароль от банковского аккаунта достаточно длинный, и вводить его каждый раз при входе в мобильный банк неудобно. Так преступники получают доступ в онлайн-банк, рассказал Литвиненко:

«Порой банки не ограничивают сессию клиента при входе в мобильный банк или делают ее очень долгой. Получив доступ к сессии, злоумышленник получает доступ к мобильному банку».

Как отметил руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов, злоумышленники могут также перехватить сессию клиента, он пользуется общественным Wi-Fi.

Другая уязвимость появляется, когда приложение мобильного банка запоминает код на вход и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту», — подчеркнул Аркадий Литвиненко. Даже если приложение не запоминает код, а он хранится на сервере, то все равно может быть выявлен методом подбора. Лишь одновременное использование пин-кода и устройства клиента может снизить риски.

По данным компании Positive Technologies, уязвимости в 52% российских мобильных банков позволяли расшифровать, перехватить и подобрать учетные данные для доступа в мобильное приложение или обойти процесс аутентификации. Данные для взлома мобильных банков активно продаются в даркнете, средняя стоимость «входа» в мобильный банк составляет $22.

Вместе с тем, доля онлайн-банков с критическими уязвимостями снижается: если в 2015 году уязвимости их было 90%, то в 2017 — уже только в 56%.

Отметим, 16 ноября компания Group-IB заявила, что десятки российских банков подверглись кибератаке с помощью зараженного вирусом электронного письма, которое имитировало официальную рассылку Центрального банка.

Также, недавно власти Пакистана признали, что хакерам удалось взломать почти все банки страны в ходе масштабного взлома.

Подписывайтесь на BitNovosti в Telegram!

Делитесь вашим мнением об этой новости в комментариях ниже.

Источник

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here