Российские сервисы мобильных и онлайн-банков крайне уязвимы для хакеров, уверены эксперты по кибербезопасности. Преступники могут сделать дубликат сим-карты и перехватить SMS-сообщения клиента, использовать сессию в публичной сети или совершить списание денег путем подбора транзакции под пароль. В зоне риска остаются более половины российских банков.


Широко используемая российскими банками рассылка одноразовых паролей в SMS-сообщениях для подтверждения входа в личный кабинет в онлайн-банке или мобильном банке — это «порочный путь», который может привести к хищению. Об этом на конференции OFFZONE 2018 ведущий специалист по тестированию на проникновение Bi.Zone (дочерняя структура «Сбербанка» специализирующаяся на кибербезопасности) Аркадий Литвиненко.

По его словам, злоумышленники могут получить дубликат сим-карты по поддельной доверенности и скану паспорта. Кроме того, есть и недорогие устройства для перехвата SMS-сообщений.

Большинство банков используют одноразовые пароли из четырех цифр для подтверждения транзакций, при трижды неверно введенном пароле перевод блокируется. В этом случае есть возможность подобрать «транзакцию под пароль», то есть, создать множество операций по списанию средств со счета клиента, и при подборе 16 тысяч операций вероятность угадать пароль приближается к 99%. Возможность того, что клиент банка может не заметить такое количество SMS-сообщений, мала, но не исключена, уверен Литвиненко.

Кроме того, кибермошенники могут получить доступ к личному кабинету пользователя, если он прошел по ссылке в фишинговом письме или случайно загрузил вредоносное программное обеспечение.

Существуют и уязвимости, допущенные в банковских приложениях для комфорта клиентов. Например, пароль от банковского аккаунта достаточно длинный, и вводить его каждый раз при входе в мобильный банк неудобно. Так преступники получают доступ в онлайн-банк, рассказал Литвиненко:

«Порой банки не ограничивают сессию клиента при входе в мобильный банк или делают ее очень долгой. Получив доступ к сессии, злоумышленник получает доступ к мобильному банку».

Как отметил руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов, злоумышленники могут также перехватить сессию клиента, он пользуется общественным Wi-Fi.

Другая уязвимость появляется, когда приложение мобильного банка запоминает код на вход и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту», — подчеркнул Аркадий Литвиненко. Даже если приложение не запоминает код, а он хранится на сервере, то все равно может быть выявлен методом подбора. Лишь одновременное использование пин-кода и устройства клиента может снизить риски.

По данным компании Positive Technologies, уязвимости в 52% российских мобильных банков позволяли расшифровать, перехватить и подобрать учетные данные для доступа в мобильное приложение или обойти процесс аутентификации. Данные для взлома мобильных банков активно продаются в даркнете, средняя стоимость «входа» в мобильный банк составляет $22.

Вместе с тем, доля онлайн-банков с критическими уязвимостями снижается: если в 2015 году уязвимости их было 90%, то в 2017 — уже только в 56%.

Отметим, 16 ноября компания Group-IB заявила, что десятки российских банков подверглись кибератаке с помощью зараженного вирусом электронного письма, которое имитировало официальную рассылку Центрального банка.

Также, недавно власти Пакистана признали, что хакерам удалось взломать почти все банки страны в ходе масштабного взлома.

Подписывайтесь на BitNovosti в Telegram!

Делитесь вашим мнением об этой новости в комментариях ниже.

Источник

Related posts:

Биржу BTCC купил инвестиционный фонд из Гонконга
Гонконгский блокчейн-инвестфонд выкупил биткойн-биржу BTCC. Детали сделки пока не разглашаются, но с...
Венесуэла опубликовала white paper Petro и объявила ICO
Президент Венесуэлы Николас Мадуро объявил о сроках предварительной продажи национальной криптовалют...
Coincheck возвратила $430 млн своим клиентам
Японская биржа Coincheck сообщила сегодня, что все 260 000 клиентов, пострадавших от атаки в конце я...
Посмеявшись, плачем: Виталик Бутерин пошутил про ограничение эмиссии, но по правде снизит на 80% вознаграждение майнеров
Виталик Бутерин признался что BIP 960 об ограничении эмиссии Ethereum при первом хардфорке Casper о...
Компания Huawei готова предоставить китайским пользователям легкий доступ к Биткойну
С сегодняшнего дня пользователи мобильных телефонов Huawei в Китае впервые могут загружать биткойн-к...
Минск соберёт лучших блокчейн-экспертов на Guru Blockchain Forum
Home › Новости › Минск соберёт лучших блокчейн-экспертов на Guru Blockchain Forum By @den_rodionov o...
Прогноз: цена биткойна через 10 лет достигнет $144 000, Monero — $39 000, Bitcoin Cash — $180, а Ripple — $0,004
Satis Group подготовила исследование и озвучила смелые рыночные прогнозы, согласно которым курс битк...
Мнение: Великий китайский файрвол замедляет сеть биткойна
Бен Кайзер из Принстонского университета, а также Мирейя Хурадо и Алекс Леджер из Международного уни...
Северная Корея организовала ряд скам-ICO для обхода санкций
Северная Корея использует криптовалюты, а также криптовалютные мошеннические схемы, с целью обхода м...
Правительства разных стран уже конфисковали у пользователей 450 тысяч биткойнов
Государственные органы США конфисковали у граждан 200 тысяч биткойнов, вместе с другими странами дан...