05.04.2019, 15:10
Количество просмотров 140

Positive Technologies исследовала уязвимость онлайн-банков

Эксперты компании оценили уровень защищенности онлайн-банков в 2018 году и выяснили, что 54% из обследованных систем позволяют злоумышленникам похитить денежные средства, а угрозе несанкционированного доступа к личным данным и банковской тайне подвержены все онлайн-банки.
Positive Technologies исследовала уязвимость онлайн-банков

По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.

Угроза несанкционированного доступа к информации клиентов и банковской тайне, например к выпискам по счету или платежным поручениям других пользователей, оказалась актуальной для каждого исследованного онлайн-банка, а в отдельных случаях уязвимости позволяли развивать атаку на ресурсы корпоративной сети банка. Исследования Positive Technologies показывают, что данные входят в ТОП наиболее популярных для продажи в дарквебе продуктов. При этом непосредственно на долю учетных данных и данных банковских карт приходится более 80% в общем объеме продающихся данных. Средняя стоимость данных одного пользователя онлайн-банка составляет 22 долл. США.

В ходе анализа в 77% обследованных онлайн-банков были обнаружены недостатки реализации механизмов двухфакторной аутентификации. По словам аналитика Positive Technologies Яны Авезовой, в некоторых онлайн-банках одноразовые пароли для критически важных действий (например, для аутентификации) не применяются или имеют слишком большой срок действия. Эксперты связывают это с тем, что банки стремятся найти баланс между безопасностью и удобством использования.

«Отказ даже от части мер безопасности в пользу удобства повышает риск совершения мошеннических операций. Если нет необходимости подтверждать операцию с помощью одноразового пароля, злоумышленнику больше не требуется доступ к мобильному телефону жертвы, а слишком большой срок действия пароля повышает шанс его успешного подбора, поскольку при отсутствии ограничений на подбор одноразовый пароль из четырех символов можно подобрать за считанные минуты», — отметил руководитель группы исследования безопасности банковских систем Positive Technologies Ярослав Бабин.

Сравнительный анализ показал, что изученные готовые решения, предлагаемые вендорами, содержат в три раза меньше уязвимостей, чем системы, разработанные банками самостоятельно. А вот количество уязвимостей в продуктивных и тестовых системах сравнялось: согласно статистике, в 2018 году оба эти типа систем в большинстве случаев содержат как минимум одну критически опасную уязвимость. Эксперты связывают это с тем, что разработчики, единожды протестировав систему на безопасность, склонны откладывать повторный анализ защищенности после внесения изменений в программный код, что неминуемо приводит к накоплению уязвимостей, и со временем их число становится сопоставимо с тем, которое было обнаружено при первичной проверке.

Главной позитивной тенденцией в безопасности финансовых онлайн-приложений в 2018 году стало сокращение доли уязвимостей высокого уровня риска в общем числе всех выявленных недостатков. По данным специалистов Positive Technologies, доля критически опасных уязвимостей снизилась вдвое по сравнению с предыдущим годом. Однако в целом уровень защищенности онлайн-банков остается низким.

Независимый эксперт PLUSworld.ru Николай Пятиизбянцев считает, что "данные уязвимости, возможно, действительно есть, но вероятность их использования со стороны злоумышленников очень низкая". По его словам, согласно данным ЦБ РФ, 97% несанкционированные операции в России, совершенные в интернет и с помощью устройств мобильной связи, связаны с социальной инженерией и нарушением порядка использования систем ДБО, в этом на сегодняшний день основная угроза. Защищенность российских онлайн-банков, вероятно, повысится после вступления в силу  в Положение ЦБ РФ № 382-П с 1 января 2020 г. новых требований по информационной безопасности, считает эксперт.

По материалам Positive Technologies, PLUSworld.ru

Рубрика:
{}Безопасность
PLUSworld в соцсетях:
telegram
vk
youtube

ТАКЖЕ ПО ТЕМЕ