Эксперты рассказали, как мошенники могут проникать в мобильный банк

Мошенники в России научились проникать в мобильные приложения банков клиентов, находя уязвимости в программном обеспечении кредитных организаций, однако такие случаи не распространены, злоумышленникам проще похищать средства граждан с помощью социальной инженерии, сообщили РИА Новости эксперты в сфере информационной безопасности.

Мошенники научились проникать в мобильный банк
© depositphotos.com

В феврале первый замглавы департамента информбезопасности ЦБ РФ Артем Сычев сообщал в интервью РИА Новости, что регулятор в прошлом году зафиксировал случаи, когда злоумышленники нащупывали слабые места в программном обеспечении, "которое находится между банком и клиентом".

По словам ведущего эксперта "Лаборатории Касперского" Сергея Голованова, речь идет о приложениях или личных кабинетах на сайтах для использования интернет-банкинга, а также сервисах для перевода средств с карты на карту. Уязвимости могут быть самые разнообразные, но наиболее опасные – связанные с недостаточной авторизацией или аутентификацией, указал эксперт.

Руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин согласился с коллегой. Данная уязвимость приводит к тому, что злоумышленники легко могут узнать некоторую информацию из личных кабинетов в онлайн-банкинге: сумму вкладов, траты, паспортные данные, отметил он.

"Вторая по популярности проблема — это возможность проведения атак на клиентов (36%), что может позволить получить доступ в ваш личный кабинет, а при совокупности разных уязвимостей — даже вывести деньги", — заявил эксперт.

Причины появления таких уязвимостей – это спешка, отсутствие принципов безопасной разработки, и отсутствие профессионального и качественного аудита приложений и протоколов общения до ввода его в эксплуатацию, говорит замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

Вместе с тем Голованов из "Лаборатории Касперского" добавил, что реальных инцидентов, когда злоумышленники пользовались такими "слабостями" в ПО, немного.

"Зачастую злоумышленникам проще выманить необходимую для перевода информацию с помощью социальной инженерии", — заключил эксперт.