Уязвимость на высшем уровне: больше половины онлайн-банков позволяют похитить средства клиентов
Банковские приложения теперь так популярны, что кажутся абсолютно безопасными. Но это не так. Как показало исследование Positive Technologies, самые частые проблемы таких приложений — недостатки двухфакторной аутентификации, межсайтовое выполнение сценариев и разглашение важных данных. Чаще всего встречаются уязвимости, с помощью которых можно так или иначе получить несанкционированный доступ к данным пользователя, говорит руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин. Ярослав Бабин руководитель группы исследований безопасности банковских систем Positive Technologies «В 2018 году абсолютно все банки были уязвимы к этой атаке. Простой пример — когда злоумышленник может получить номера счетов, карт, баланс пользователей. Вырос показатель уязвимостей, связанных с логикой работы приложений. Это могут быть ошибки, например, с конвертацией валюты, когда конвертирование проходит неправильно и с рублевого счета на долларовый можно переводить по курсу один к одному. Если мы переведем один рубль, на долларовый счет тоже упадет один доллар». Конвертация по курсу один доллар за один рубль вряд ли расстроит клиентов. Но несанкционированный доступ к персональным данным может привести к серьезным последствиям. Например, некоторые сведения злоумышленники используют для методов так называемой социальной инженерии, чтобы в дальнейшем завладеть деньгами со счета: пользователю поступает звонок будто из банка, мошенники говорят, что была попытка взлома системы безопасности, но счет вовремя был заблокирован и теперь, чтобы его разблокировать, необходимо назвать код из SMS. Если деньги со счета списаны, клиенту будет сложно отстоять свою правоту: пользователь сам передал данные, а в договоре прописано, что одноразовый пароль никому сообщать нельзя. Но в случае, если взломано приложение и хакеры именно при взломе вывели средства со счетов, банк, скорее всего, будет за это нести ответственность, говорит генеральный директор российского представительства Bitdefender Денис Елисеев: Денис Елисеев генеральный директор российского представительства Bitdefender «Очень высока вероятность, что банк действительно выплатит эти суммы, возместит ущерб в течение месяца с момента заявления, потому что в случае взлома страдает не один пользователь, а много пользователей. В таких случаях банку проще признать взлом, за счет страховых выплат возместить перенесенный ущерб, передать данные о взломе в правоохранительные органы и заниматься устранением возможности взлома в дальнейшем». Еще один тонкий момент: взломать банковское приложение может и специальный вирус. Тут многое зависит от пользователя: обновляет ли он прошивку на своем смартфоне, установлен ли антивирус, какие сайты посещает и что скачивает. Ведь не станет же добросовестный клиент банка размахивать кредиткой в людном месте, если на ее оборотной стороне написан PIN-код. Так и не стоит скачивать сомнительные приложения с сомнительных ресурсов.