Главная Новости, Банковский сектор, Хакеры, Россия

Удаленное банковское обслуживание чрезвычайно уязвимо для хакерских атак. Риск кражи средств оказался высоким при работе более чем с половиной таких мобильных приложений.

Об этом на конференции OFFZONE2018 рассказали представители компании по кибербезопасности Bi.Zone, пишет Коммерсантъ. По их словам, к хищению может привести рассылка СМС-сообщений от банка, которые содержат пароль для входа в личный кабинет. Злоумышленники могут сделать дубликат сим-карты жертвы с помощью скана ее паспорта и поддельной доверенности и получить такое сообщение. Кроме того, есть устройства, которые перехватывают банковские СМС и при этом стоят относительно недорого, в районе $700.

По данным компании Positive Technologies, для хакеров уязвимы 52% мобильных банков. В случае с ними система позволяет обойти идентификацию, перехватить, расшифровать или подобрать данные для доступа к средствам. Кроме того, информация для входа в аккаунты продается в даркнете, и средняя стоимость входа в мобильный банк обходится злоумышленникам в $22.

Мошенники могут подобрать транзакцию под пароль, создавая множество операций по списанию средств. По данным специалистов, при подборе 16 тыс. таких транзакций вероятность найти нужный пароль составляет 99%. Если человек не пользуется номером, к которому привязана карта, или телефон отключен, он не заметит эти операции. Получить доступ к чужому личному кабинету в онлайн-банке можно, если жертва пройдет по ссылке в фишинговом письме или случайно загрузит вирус.

Многие уязвимости в банковских приложениях изначально сделаны для комфорта клиентов: так, если пароль для входа достаточно длинный, его неудобно вводить каждый раз при входе в мобильный банк. Поэтому сессии для клиентов делают долгими. Получив доступ к такой сессии, мошенник получает доступ к мобильному банку, а перехватить ее можно, если человек зашел в приложение через общедоступный Wi-Fi в кафе или торговом центре.

Еще одна вещь, удобная для хакеров — когда приложение запоминает пароль для входа. Достаточно будет украсть или взломать чужой телефон, чтобы получить доступ к деньгам его владельца. Средства не находятся в безопасности и когда код хранится на сервере, в этом случае его можно найти методом подбора.

Почему это важно

  • В Positive Technologies рассказали, что в 63% случаев с критическими уязвимостями в приложениях банков выявляют проблемы авторизации. При этом число систем, в которых их выявляют, ежегодно снижается. Для сравнения, еще в 2015 году такие проблемы были у 90% приложений.
  • По данным специалистов, снизить риски можно, используя одноразовые пароли и ограничение по их количеству. Также нужно установить отдельный пин-код на устройство на случай его кражи или взлома.

Подписывайтесь на наш Telegram-канал Ihodl и оставайтесь в курсе актуальных новостей мира технологий и финансов.

Читайте также:
Пожалуйста, опишите ошибку
Закрыть