По данным Positive Technologies, более чем в половине (54%) приложений российских банков выявлены уязвимости, которые рискуют привести к хищению средств у клиентов. Причем уязвимости с доступом к информации пользователя или банковской тайне были обнаружены в веб-версиях каждой кредитной организации, сообщил «Коммерсантъ».
«То есть злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их,— пояснил руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.— Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного».
Также специалисты по кибербезопасности отметили, что в сравнении с прошлым годом в пять раз выросло число банков с нарушением логики работы приложений. Данная уязвимость позволяет мошеннику обойти правила приложения.
«Например, когда из-за ошибки он может, скажем, сразу перейти к переводу денег на другой счет, обойдя процесс подтверждения трансакции с помощью одноразового пароля», – добавил Бабин.
По данным ФинЦЕРТ, благодаря уязвимостям в онлайн-банках у корпоративных клиентов в 2018 году украли 1,47 млрд рублей.
Читайте также: Сбербанк разрешил менять ПИН-код в приложении. Почему это небезопасно для ваших денег?
По мнению руководителя направления Solar appScreener «Ростелеком-Solar» Даниила Чернова, единственным верным решением по сокращению вероятности хищений в онлайн-банках видится внедрение процесса безопасной разработки (SSDLC).
Ранее оператор фискальных данных «Первый ОФД» выявил утечку персональных данных покупателей в российских магазинах. По его данным, кассовая техника была перенастроена на передачу данных третьим лицам. Однако эксперты оценили риски несущественными.
Отзыв о сайте