Онлайн-бан должен быть не только надежным, удобным и красивым, но он еще должен привлечь, как можно больше любителей легкой наживы. Компания Positive Technologies провела исследования об уязвимостях мобильно банкинга и отечественных систем интернета. В результате исследований аналитики компании сделали не оптимистичные выводы.
Эксперты компании провели анализ защищенности систем дистанционного банковского обслуживания большинства российских банков, который проводился в течение последних двух лет. Экспертам удалось провести исследования 28 систем дистанционного банковского обслуживания для юридических и физических лиц.
Под уязвимостью в системе подразумевается изъян архитектуры или ошибка в коде, благодаря которой можно вторгнуться в работу системы. Другие уязвимости не такие опасные, и не способны привести к каким-нибудь серьезным проблемам, иные могут позволить злоумышленнику получить доступ к важным операциям или данным, нарушить работу всей системы. Основная задача хакера как раз и заключается в поиске методов эксплуатации и их уязвимостей. Следует отметить, что в каждой системе можно обнаружить какие-нибудь уязвимости. Только важно то, как удалый преступник может их применить. Это довольно дорогой вопрос в системах ДБО.
Согласно данным Positive Technologies, высокий уровень риска был присвоен 44% выявленных уязвимостей. Эти уязвимости дают возможность красть денежные средства на 46% систем и получать секретные данные с 89% исследуемых систем. Также в 64% систем были выявлены уязвимости идентификаторов учетных записей.
Благодаря предсказуемости формата идентификатора учетной записи можно довольно легко подобрать необходимый ему идентификатор. Плохо то, что 32% исследованных систем, отвечая на запросы, сформированные специальным образом, выдают сведения о действующих учетных записях. Злоумышленникам ничего не дает знание идентификаторов, но оно может помочь подобрать пароль.
Межсайтовое выполнение сценариев наносит вред 54% систем ДБО. Если пользователь по подсунутой ему ссылке переходит на сайт своего интернет-банка, то он может попасть куда нужно и сможет безопасно осуществлять финансовые операции. Но, в этом случае в его браузере будет работать код, поступивший с вредоносного сайта. После этого у злоумышленника появляется доступ к ДБО в качестве данного клиента. Также и уязвимости сессий клиента были обнаружены в 54% случаев. Отсутствие привязки сессии к IP-адресу клиента, грубая настройка cookie, некорректное завершение сессии и т.д. дают возможность хакеру овладеть сессией, отключившегося клиента, и продолжать работу, выдавая себя за него.
Рекомендации клиентам банков
Клиентам банков необходимо придерживаться некоторых простых правил, позволяющих снизить риск:
— не следует переходить в интернет-банк по ссылкам, полученным в СМС или по почте, а лучше вручную набрать адрес сайта банка;
— необходимо обязательно через соответствующий интерфейс выходить из интернет-банка после окончания работы в нем;
— не следует через общественную беспроводную сеть заходить в интернет банки;
— необходимо использовать антивирусные продукты.