Как отмечают эксперты компании в сфере кибербезопасности Positive Technologies, уровень безопасности онлайн-банкинга и мобильных банков постепенно растет. С 2015 по 2017 годы доля сервисов, содержащих критически опасные уязвимости, снизилась с 90% до 56%. Именно критически опасная уязвимость чаще всего приводит к хищению средств клиентов банка, передает «Коммерсант».
Согласно исследованию Positive Technologies, количество случаев критических уязвимостей в приложениях банков для Android снизилось с 75% до 56%. Мобильные приложения для iOS считаются более безопасными: лишь в каждой четвертом мобильном банке была обнаружена уязвимость.
«В этом году финансовые приложения, построенные на готовых вендорских решениях, содержали меньше критически опасных уязвимостей, чем те, что банки разработали самостоятельно. Это говорит о том, что банкам по-прежнему не хватает в штате опытных разработчиков и грамотно выстроенного процесса безопасной разработки»,— считает старший эксперт отдела безопасности банковских систем Positive Technologies Ярослав Бабин.
Впрочем, по мнению специалистов компании, главной проблемой для онлайн-банков остается незащищенность авторизации, во время которого злоумышленники могут получить доступ к персональным данным клиента.
«Главной угрозой остается доступ к сведениям, составляющим банковскую тайну клиентов, и личной информации,— отмечает Ярослав Бабин.— В данном случае мы говорим о наличии так называемых проблем авторизации, которые встретились более чем у половины исследованных в этом году онлайн-банков». Возможно, злоумышленник не сможет получить полный доступ к конкретной учетной записи в онлайн-банке, продолжает Бабин, но он сможет получить доступ к какой-то частной функции. Например, посмотреть остаток на счете. Это будет компрометация личной информации пользователя, которая может быть использована для последующих атак, резюмировал он.
По мнению банковских специалистов, «проблема авторизации» решаема, но требует больших затрат. Подобные уязвимости возникают из-за ошибки кода, поэтому необходимы регулярные pen-тесты (тесты на возможность проникновения), анализ кода и поиск возможных угроз.
Отзыв о сайте