Привлекательный внешне и удобный в использовании онлайн-банк совсем не означает, что проводить в нем операции безопасно. Эксперты компании Positive Technologies выявили много уязвимостей в отечественных банковских системах. Каковы основные опасности, и как клиент может снизить риск – в нашем материале.
Недостатки процесса авторизации в мобильных и интернет-банках позволяют проводить мошеннические транзакции, а то и вовсе получить преступнику полный контроль над системой. Такие вывод озвучили эксперты компании Positive Technologies, изучив уязвимости 28 систем дистанционного банковского обслуживания (ДБО) физических и юридических лиц.
Предсказуемость идентификатора учетной записи – самый распространенный недостаток (выявлен в 64% систем). Зная несколько существующих в системе идентификаторов, мошенник может легко подобрать нужный пароль.
Клиентское ПО для Android более уязвимо по сравнению с приложениями для iOS. В частности, критически опасные уязвимости содержатся в 70% приложений для Android и в 50% приложений для iOS (по данным Positive Technologies).
Атаки на сессии пользователей – также весьма распространенная опасность. К такого рода уязвимостям относят некорректное завершение сессий, неправильную настройку cookie-параметров, отсутствие привязки сессии к IP-адресу клиента и прочее. При успешной атаке злоумышленник может перехватить доступ к личному кабинету пользователя со всеми его правами.
«Межсайтовое выполнение сценариев» выявлено более чем в половине систем ДБО (54%). Оно опасно тем, что если клиент банка перейдет по вредоносной ссылке, мошенник может получить доступ к ДБО со всеми привилегиями клиента.
Уязвимость внедрения внешних сущностей XML обнаружено в 46% систем. Аферист может получить доступ к файлам, хранящимся на незащищенном сервере и вызвать сбой в работе всего интернет-банка.
Что интересно, эксперты обнаружили и ряд недостатков на уровне логики. Например, возможность атак при неправильном округлении чисел. «Скажем, злоумышленник переводит 0,29 рублей в доллары США. При стоимости одного доллара в 60 рублей, сумма в 0,29 рубля соответствует 0,00483333333333333333333333333333 долларов. Данная сумма будет округлена до двух знаков после запятой, то есть до 0,01 доллара (один цент). Затем злоумышленник переводит 0,01 доллара обратно в рубли и получает 0,60 рубля. Таким образом злоумышленник «выигрывает» 0,31 рубля. В результате автоматизации данной процедуры, учитывая отсутствие ограничений по количеству транзакций в сутки и минимальному размеру транзакции, в ряде случаев злоумышленник может получать неограниченные суммы денежных средств», – говорится в исследовании.
Как снизить риски мошенничества?
Специалисты банков советуют клиентам соблюдать определенную технику безопасности при работе по дистанционным каналам обслуживания.
1. Установить и обновлять антивирус на компьютере. Это обезопасит от вредоносных программ, перехватывающих данные, которые вводит клиент.
2. Никому не сообщать конфиденциальные данные:
логин и пароль для входа в «Интернет-банк» и «Мобильный банк»;
номер банковской карты, срок окончания действия карты, ПИН-код, а также код CVV (3 цифры на обратной стороне карты).
3. Выбирайте пароли со сложными буквенно-цифровыми комбинациями и сменой регистра. При этом пароли от разных ресурсов должны различаться.
4. Проверять адрес «Интернет-банка». Не заходить по ссылкам, которые получены по почте или SMS.
5. Не использовать для входа в интернет-банк общественные компьютеры и беспроводные сети.