Исследование: онлайн-приложения всех российских банков уязвимы
Специалисты нашли уязвимости, открывающие доступ к личным данным клиентов, у всех обследованных онлайн-приложений российских банков.
Более чем в половине случаев (54%) проблемы могут привести к хищениям денег, пишет «Коммерсантъ» со ссылкой на исследование Positive Technologies. В нем участвовали десятки российских банков, однако в публикации они не названы.
В 61% случаев уровень защищенности онлайн-банков оценили как низкий и крайне низкий. Самой «популярной» уязвимостью стала плохая защита от перехвата данных и авторизации, а также защита от внедрения вредоносного кода на выдаваемую страницу. В 77% случаев приложения не запрашивали пароль при проведении особо важных операций.
В итоге кибермошенники могут получать номера карт, настраивать автоплатежи на неизвестных лиц, переводить средства, отмечается в документе. При наличии «дыр» в приложениях защититься не поможет и двухфакторная аутентификация.
В пять раз выросло число банков (до 31%), у которых выявлено нарушение логики их работы. Эта тенденция является самой опасной, поскольку открывает мошенникам возможности для проведения многих операций.
Эксперты отметили, что онлайн-банки зачастую являются самописными. Соответственно, у разработчиков нет достаточной квалификации в части обеспечения безопасности. У готовых приложений уязвимости выявляют в три раза меньше.
По информации Банка России, в прошлом году у корпоративных клиентов похитили почти 1,5 миллиарда рублей. Почти в половине случаев (46%) деньги похищали через доступы к банковским приложениям. Количество несанкционированных операций по картам выросло на 44% — до 1,4 миллиарда рублей.
По оценкам экспертов, ситуация в этой сфере достигла критического уровня. Среди вариантов решений они обратили внимание на внедрение единых стандартов безопасной разработки приложений (SSDLC) и процедур анализа программного кода. Сегодня они есть у нескольких банков в РФ.
Повышение безопасности приложений выгодной и клиентам. Закон обязывает банки возмещать суммы, утраченные без их согласия. Однако соблюсти все условия для этого сложно: нужно сообщить банку о списании уже на следующий день и доказать соблюдение правил пользования сервисом.
