Хакеры держат дистанцию. Удаленное банковское обслуживание уязвимо для хищений

Ставшие привычными для граждан технологии мобильных и онлайн-банков крайне уязвимы для хакеров, выяснили специалисты по кибербезопасности Bi.Zone. Злоумышленники могут воспользоваться, например, слишком продолжительной сессией клиента в мобильном банке или подобрать трансакцию под пароль, а не наоборот. Риски высоки более чем в половине работающих в РФ мобильных банков, и клиентам остается только проявлять предусмотрительность.

О самых распространенных уязвимостях мобильных и онлайн-банков рассказал на конференции OFFZONE 2018 ведущий специалист по тестированию на проникновение Bi.Zone (дочерняя структура Сбербанка, специализирующаяся на кибербезопасности) Аркадий Литвиненко. По его словам, используемая сейчас рассылка одноразовых паролей в СМС-сообщениях для подтверждения входа в личный кабинет в онлайн-банке или мобильном банке — это «порочный путь», который может привести к хищению. Проблема в безопасности передачи самого пароля: по поддельной доверенности и скану паспорта жертвы можно получить дубликат сим-карты. Есть и сравнительно недорогие устройства (от $700) для перехвата СМС-сообщений. И, по словам Аркадия Литвиненко, это далеко не единственная уязвимость.

Так, в большинстве банков для подтверждения трансакций используются одноразовые пароли из СМС из четырех цифр, при трижды неверно введенном пароле трансакция блокируется. «Но можно перебирать трансакцию под пароль (например, 5555), то есть создать множество операций по списанию средств со счета клиента, при подборе 16 тыс. трансакций вероятность угадать пароль — 99%»,— отмечает эксперт.

Конечно, клиент банка может не заметить 16 тыс. СМС от банка с одноразовым паролем разве что ночью или в отпуске, когда не пользуется телефоном постоянно, но это не исключено, отмечают эксперты.

Получить доступ к личному кабинету в онлайн-банке злоумышленники могут, если клиент, к примеру, прошел по ссылке в фишинговом письме или случайно загрузил вредоносное программное обеспечение, отмечает руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов.

По данным Positive Technologies, по итогам 2017 года компания выявила критически опасные уязвимости более чем в половине онлайн-банков. При этом недостатки авторизации выявляли в 63% случаев. Использование банками одноразового пароля также на вход плюс ограничение по количеству одноразовых паролей может снизить эти риски, отмечает Аркадий Литвиненко.

Что касается мобильного банкинга, то Bi.Zone выявил в приложениях кредитных организаций уязвимости, которые были сделаны для комфорта клиентов. Например, пароль от банковского аккаунта достаточно длинный, и вводить его каждый раз при входе в мобильный банк неудобно. «И порой банки не ограничивают сессию клиента при входе в мобильный банк или делают ее очень долгой,— отмечает Аркадий Литвиненко.— Получив доступ к сессии, злоумышленник получает доступ к мобильному банку». По словам Луки Сафронова, перехватить сессию злоумышленники могут, например, если клиент банка пользуется общественным wi-fi в торговом центре или в общественном транспорте.

Еще один опасный момент — когда приложение мобильного банка запоминает код на вход в приложение и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту»,— отмечает Аркадий Литвиненко. Впрочем, даже если приложение и не запоминает код, а он хранится на сервере, то и в этой ситуации есть уязвимость — код может быть выявлен тем же методом подбора, отмечает эксперт. И лишь связка пин-код + устройство клиента может снизить риски.

По данным Positive Technologies, уязвимости в 52% мобильных банков позволяли расшифровать, перехватить и подобрать учетные данные для доступа в мобильное приложение или обойти процесс аутентификации. Данные для взлома мобильных банков активно продаются в даркнете, отмечают в Positive Technologies. При этом средняя стоимость «входа» в мобильный банк составляет $22.

Впрочем, доля систем дистанционного банковского обслуживания, в которых обнаруживаются критически опасные уязвимости, снижается с каждым годом. Если в 2015 году уязвимости высокого уровня риска содержались в 90% проанализированных систем, а в 2016 году — в 71%, то по итогам 2017-го уже только в 56%, указывают в Positive Technologies. Тем не менее клиентам необходимо знать о возможных рисках и проявлять предусмотрительность (см. справку).

Вероника Горячева

Тематики: Финансы, Безопасность

Ключевые слова: информационная безопасность, ДБО, хакеры