Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
00 часов : 00 минут : 00 секунд
00 дней
Партнерский форум

МТС Платформа 2023

Реклама, ПАО «МТС», 18+
Лента новостей
Курс евро на 28 марта
EUR ЦБ: 82,29 (-0,1)
Инвестиции, 16:40
Курс доллара на 28 марта
USD ЦБ: 76,57 (+0,12)
Инвестиции, 16:40
МИД назвал неадекватной реакцию Запада на размещение оружия в Белоруссии Политика, 22:36
Совбез ООН не принял резолюцию России о комиссии по «Северным потокам» Политика, 22:32
Всемирный банк допустил «потерянное десятилетие» в мировой экономике Экономика, 22:09
Охрана Зеленского запретила ему брать шоколад у британского журналиста Политика, 22:05
Умер снявшийся в фильме «Раба любви» актер Михаил Чигарёв Общество, 21:45
Действующий чемпион КХЛ в третий раз проиграл «Локомотиву» в плей-офф Спорт, 21:45
Times узнала о согласии принцессы Уэльской наградить россиян на Уимблдоне Спорт, 21:41
Спите по 8 часов, но не высыпаетесь?
На интенсиве РБК Pro вы узнаете, как улучшить качество сна и с легкостью вставать по утрам
Прокачать навык
Walt Disney начала первый этап увольнения 7 тыс. сотрудников Бизнес, 21:30
Военная операция на Украине. Онлайн Политика, 21:03
Арестович заявил о ключевой роли дальнобойных систем для контрнаступления Политика, 21:02
Весь транспорт остановился в Германии из-за забастовки. Видео Экономика, 21:01
Шольц подтвердил получение Украиной 18 танков Leopard из Германии Политика, 20:53
Кравцов назвал ключевую идею нового учебника по обществознанию Общество, 20:52
Власти скорректировали «налог на выход» для западных компаний Экономика, 20:40
Финансы ,  
0 

Эксперты оценили уязвимость мобильных приложений банков для мошенников

Приложения банков содержат уязвимости, которые позволяют красть деньги и данные клиентов, сообщили эксперты Positive Technologies. Пока мошенники в основном используют социальную инженерию, но могут переключиться на приложения
Фото: Михаил Гребенщиков / РБК
Фото: Михаил Гребенщиков / РБК

В банковских мобильных приложениях есть уязвимые места, что может привести к утечкам данных клиентов, несанкционированному доступу к приложению и проведению мошеннических операций, а также к краже денежных средств. К такому выводу пришли специалисты Positive Technologies, которые проанализировали эти уязвимости и угрозы мобильным банкам. С исследованием компании ознакомился РБК.

Специалисты выявили недостатки как в клиентских частях мобильного банка (установленное на устройство пользователя приложение), так и в серверных частях (веб-приложение, которое находится на стороне банка и взаимодействует с приложением клиента через интернет).

Что изучали

Для исследования было выбрано 14 полнофункциональных банковских мобильных приложений для Android и iOS, которые принадлежат семи банкам из топ-50 крупнейших кредитных организаций по величине активов. Каждое из анализируемых приложений было скачано из официальных магазинов Google Play и AppStore не менее 500 тыс. раз. Общее число скачиваний всех этих приложений превышает 10 млн.

Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера. Каждое приложение содержит в своем коде как минимум три уязвимости, с помощью которых мошенники могут получить доступ к внутренней инфраструктуре банка.

  • Только один мобильный банк из исследованных не содержал уязвимостей, позволяющих злоумышленнику получить доступ к данным пользователя: например к выписке по карте, ПИН-кодам для быстрого доступа в приложение, учетным данным (логин/пароль) и т.п. При этом 43% приложений хранят эти данные в открытом виде, что упрощает доступ злоумышленников.
  • 76% уязвимостей злоумышленники могут использовать без физического доступа к устройству: для этого достаточно установить на телефон жертвы вредоносное приложение, например в ходе рассылки фишинговых писем. В результате мошенники смогут перехватить СМС от банка, а также получить номер банковской карты.
  • Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: так, недостатки в первых были не выше среднего уровня риска, в то время как 29% вторых содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями: именно она выступает точкой входа в приложение для хакеров.
  • Большинство веб-приложений банков (шесть из семи) содержит уязвимости, связанные с недостаточными мерами по аутентификации пользователя. Это может привести к несанкционированному доступу злоумышленника к личному кабинету путем подбора пароля. Если ему удастся обойти защиту с помощью одноразового пароля, который высылается в СМС, хакер сможет выполнять разные действия в мобильном банке от имени клиента.
  • В пяти из семи серверных частей злоумышленникам доступны учетные записи пользователей мобильных банков: имена и фамилии, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.

Как банки защищают свои приложения

Банки уделяют повышенное внимание безопасности приложений и регулярно проводят аудит и проверку их защищенности, рассказали РБК в ВТБ, МКБ, Промсвязьбанке, Райффайзенбанке, Тинькофф Банке и «Открытии». При этом основные сценарии мошенничества в России строятся на методах социальной инженерии (психологические методы выманивания у граждан необходимых сведений), поэтому мошенникам даже не требуется искать и эксплуатировать ИT-уязвимости приложений — всю необходимую информацию они получают обманным путем у клиентов банков, подчеркнули в ВТБ.

Group-IB регулярно находит уязвимости в банковских приложениях, однако на практике эти «дыры» используются довольно редко, поскольку злоумышленникам проще и дешевле использовать социальную инженерию, говорит руководитель направления «Аудит и консалтинг» Group-IB Андрей Брызгин. Однако он обращает внимание на то, что банки начали активно просвещать пользователей на тему мошеннических схем с использованием фишинга, звонков с тюремных call-центров и прочего. Поэтому со временем социнженерия может перестать приносить преступникам финансовую выгоду и они обратятся к уязвимости приложений.

По данным ЦБ, в 2019 году 69% всех хищений средств с банковских счетов граждан проводилось с использованием социальной инженерии. Всего за прошлый год мошенникам удалось украсть 6,42 млрд руб.

Авторы
Теги
Магазин исследований Аналитика по теме "Мобильные приложения"