Курсы валют
USD 57,4247 −0,0981
EUR 61,8636 −0,2323
USD 56, 8800 −0,1050
EUR 61,5 650 0,0175
USD 57, 0236 −0,1028
EUR 61, 6243 −0,1008
USD 57,1500 57,3900
EUR 61,6200 61,9800
покупка продажа
57,1500 57,3900
61,6200 61,9800
27.03 — 03.04
56,7000
61,2000
BRENT 50,80 −0,33
Золото 1256,78 0,04
ММВБ 2039,77 −0,09
Главная Новости Банки «Дыры» в электронном банкинге: как у вас украдут деньги
«Дыры» в электронном банкинге: как у вас украдут деньги

«Дыры» в электронном банкинге: как у вас украдут деньги

Источник: Банки.ру |

Разработать надежный, красивый и удобный онлайн-банк – лишь половина дела. Нужно также позаботиться о том, чтобы в него не могли вломиться любители легкой наживы. Компания Positive Technologies подготовила исследование об уязвимостях отечественных систем интернет- и мобильного банкинга. Выводы, сделанные аналитиками компании, оптимизма не внушают.

Эксперты Positive Technologies подвели итоги анализа защищенности систем дистанционного банковского обслуживания многих российских банков, проведенного за два последних года. Всего они исследовали 28 систем дистанционного банковского обслуживания для физических и юридических лиц.

Уязвимостью в системе называется ошибка в коде или изъян архитектуры, с помощью которой можно вмешаться в работу системы. Иные уязвимости вполне безобидны и не приводят к каким-либо серьезным проблемам, другие могут дать злоумышленнику доступ к важным данным или операциям, вызвать сбой всей системы. Большая часть работы хакера как раз и состоит в поиске уязвимостей и методов их эксплуатации. Причем какие-то уязвимости можно найти в любой системе. Вопрос в том, как умелый преступник может их использовать. И в случае систем ДБО это весьма дорогостоящий вопрос.

По данным Positive Technologies, высокий уровень риска присвоен 44% обнаруженных уязвимостей. Эти уязвимости позволяют «сливать» конфиденциальные данные с 89% исследованных систем ДБО и красть денежные средства на 46% систем.

Уязвимости идентификаторов учетных записей были обнаружены в 64% систем. Предсказуемость формата идентификатора учетной записи (имени пользователя) позволяет достаточно легко подобрать нужный ему идентификатор. Хуже того, 32% исследованных систем в ответ на специальным образом сформированные запросы выдают сведения о существующих учетных записях. Само по себе знание идентификаторов ничего не дает злоумышленнику, но это отправная точка для подбора пароля.

Межсайтовое выполнение сценариев опасно для 54% систем ДБО. Перейдя на сайт своего интернет-банка по подсунутой ему ссылке, пользователь попадет куда надо и сможет вполне безопасно проводить финансовые операции. Но при этом в его браузере будет работать код, загруженный с вредоносного сайта. В результате злоумышленник получает доступ к ДБО под видом данного клиента.

Уязвимости сессий клиента также были выявлены в 54% случаев. Некорректное завершение сессии, некорректная настройка cookie, отсутствие привязки сессии к IP-адресу клиента и т. д. позволяют хакеру «подхватить» сессию уже отключившегося клиента и продолжить работу, выдав себя за него.

Уязвимость внедрения внешних сущностей XML найдена на 46% систем. С их помощью злоумышленник может получить содержимое файлов, хранящихся на сервере ДБО, и вызвать состояние отказа в обслуживании – фактически «поломать» на какое-то время интернет-банк.

Недостаточно строгая реализация аутентификации обнаружена в 58% систем. К этому виду уязвимости отнесены слабая парольная политика, недостаточная защита от подбора учетных данных, возможность обхода механизма CAPTCHA или отсутствие обязательной двухфакторной аутентификации при входе в личный кабинет. Все это облегчает работу киберпреступников.

Различные недостатки авторизации и защиты трансакции выявлены в 79% исследованных систем ДБО. При этом в 42% случаев они дают возможность получения несанкционированного доступа к данным пользователей, а в 13% систем злоумышленник имел возможность осуществлять банковские операции от лица легитимных пользователей. И лишь в 21% систем таких уязвимостей выявлено не было.

Поделитесь с друзьями
Оставить комментарий
Читать наБанки.ру
Рубрики
Банки
Еще от Банки.ру