Навигация: Главная / Проблемы с онлайн-банкингом.
Проблемы с онлайн-банкингом.
22 Авг, 2015 в 10:14 | Раздел: В цифрах

Онлайн-бан должен быть не только надежным, удобным и красивым, но он еще  должен привлечь, как можно больше любителей легкой наживы. Компания Positive Technologies провела исследования об уязвимостях мобильно банкинга и отечественных систем интернета. В результате исследований аналитики компании сделали не оптимистичные выводы.

Эксперты компании провели анализ  защищенности систем дистанционного банковского обслуживания большинства российских банков, который проводился в течение последних двух лет. Экспертам удалось провести исследования  28 систем дистанционного банковского обслуживания для юридических и физических лиц.

Под уязвимостью в системе подразумевается изъян архитектуры или ошибка в коде, благодаря которой можно вторгнуться в работу системы. Другие уязвимости не такие опасные, и не способны привести к каким-нибудь  серьезным проблемам, иные могут позволить злоумышленнику получить доступ к важным операциям или данным, нарушить работу всей системы.  Основная задача хакера как раз и заключается в поиске методов эксплуатации и их  уязвимостей. Следует отметить, что в каждой системе можно обнаружить какие-нибудь уязвимости. Только важно то, как удалый преступник может их применить. Это довольно дорогой вопрос в системах ДБО.

Согласно данным Positive Technologies, высокий уровень риска был присвоен 44% выявленных уязвимостей. Эти уязвимости дают возможность красть денежные средства на 46% систем и получать секретные данные с 89% исследуемых систем. Также в 64% систем были выявлены уязвимости идентификаторов учетных записей.

Благодаря предсказуемости формата  идентификатора учетной записи  можно  довольно легко подобрать необходимый ему идентификатор.  Плохо то, что 32% исследованных систем, отвечая на запросы, сформированные специальным образом, выдают сведения о действующих учетных записях. Злоумышленникам ничего не дает знание идентификаторов, но оно может помочь подобрать пароль.

Межсайтовое выполнение сценариев наносит вред 54% систем ДБО. Если пользователь  по подсунутой ему ссылке переходит на сайт своего интернет-банка, то он может попасть куда нужно и сможет безопасно осуществлять финансовые операции. Но, в этом случае в его браузере будет работать код, поступивший с вредоносного сайта. После этого у злоумышленника появляется доступ к ДБО в качестве данного клиента.  Также и уязвимости сессий клиента были обнаружены в 54% случаев. Отсутствие привязки сессии к IP-адресу клиента, грубая настройка cookie, некорректное завершение сессии и т.д. дают возможность хакеру овладеть сессией, отключившегося клиента, и продолжать работу, выдавая себя за него.

Рекомендации клиентам банков

Клиентам банков необходимо придерживаться  некоторых простых правил, позволяющих снизить риск:

— не следует переходить в интернет-банк по  ссылкам, полученным в СМС или по почте, а лучше  вручную набрать адрес сайта банка;

— необходимо обязательно через соответствующий интерфейс выходить из интернет-банка после окончания работы в нем;

— не следует через общественную беспроводную сеть заходить в интернет банки;

— необходимо использовать антивирусные продукты.