Российские сервисы мобильных и онлайн-банков крайне уязвимы для хакеров, уверены эксперты по кибербезопасности. Преступники могут сделать дубликат сим-карты и перехватить SMS-сообщения клиента, использовать сессию в публичной сети или совершить списание денег путем подбора транзакции под пароль. В зоне риска остаются более половины российских банков.
Широко используемая российскими банками рассылка одноразовых паролей в SMS-сообщениях для подтверждения входа в личный кабинет в онлайн-банке или мобильном банке — это «порочный путь», который может привести к хищению. Об этом на конференции OFFZONE 2018 ведущий специалист по тестированию на проникновение Bi.Zone (дочерняя структура «Сбербанка» специализирующаяся на кибербезопасности) Аркадий Литвиненко.
По его словам, злоумышленники могут получить дубликат сим-карты по поддельной доверенности и скану паспорта. Кроме того, есть и недорогие устройства для перехвата SMS-сообщений.
Большинство банков используют одноразовые пароли из четырех цифр для подтверждения транзакций, при трижды неверно введенном пароле перевод блокируется. В этом случае есть возможность подобрать «транзакцию под пароль», то есть, создать множество операций по списанию средств со счета клиента, и при подборе 16 тысяч операций вероятность угадать пароль приближается к 99%. Возможность того, что клиент банка может не заметить такое количество SMS-сообщений, мала, но не исключена, уверен Литвиненко.
Кроме того, кибермошенники могут получить доступ к личному кабинету пользователя, если он прошел по ссылке в фишинговом письме или случайно загрузил вредоносное программное обеспечение.
Существуют и уязвимости, допущенные в банковских приложениях для комфорта клиентов. Например, пароль от банковского аккаунта достаточно длинный, и вводить его каждый раз при входе в мобильный банк неудобно. Так преступники получают доступ в онлайн-банк, рассказал Литвиненко:
«Порой банки не ограничивают сессию клиента при входе в мобильный банк или делают ее очень долгой. Получив доступ к сессии, злоумышленник получает доступ к мобильному банку».
Как отметил руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов, злоумышленники могут также перехватить сессию клиента, он пользуется общественным Wi-Fi.
Другая уязвимость появляется, когда приложение мобильного банка запоминает код на вход и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту», — подчеркнул Аркадий Литвиненко. Даже если приложение не запоминает код, а он хранится на сервере, то все равно может быть выявлен методом подбора. Лишь одновременное использование пин-кода и устройства клиента может снизить риски.
По данным компании Positive Technologies, уязвимости в 52% российских мобильных банков позволяли расшифровать, перехватить и подобрать учетные данные для доступа в мобильное приложение или обойти процесс аутентификации. Данные для взлома мобильных банков активно продаются в даркнете, средняя стоимость «входа» в мобильный банк составляет $22.
Вместе с тем, доля онлайн-банков с критическими уязвимостями снижается: если в 2015 году уязвимости их было 90%, то в 2017 — уже только в 56%.
Отметим, 16 ноября компания Group-IB заявила, что десятки российских банков подверглись кибератаке с помощью зараженного вирусом электронного письма, которое имитировало официальную рассылку Центрального банка.
Также, недавно власти Пакистана признали, что хакерам удалось взломать почти все банки страны в ходе масштабного взлома.
Источник:
https://bitnovosti.com/2018/11/20/eksperty-polovina-mobilnyh-bankov-v-rossii-krajne-uyazvimy/
. 
. 
. 
. 
. 
. 
Shop
Topic: Крипто-эксперты: Половина мобильных банков в России крайне уязвимы (Read 806 times)
Latest news: