Перейти к основному контенту
Финансы ,  
0 
Эксклюзив

Эксперты оценили уязвимость мобильных приложений банков для мошенников

Приложения банков содержат уязвимости, которые позволяют красть деньги и данные клиентов, сообщили эксперты Positive Technologies. Пока мошенники в основном используют социальную инженерию, но могут переключиться на приложения
Фото: Михаил Гребенщиков / РБК
Фото: Михаил Гребенщиков / РБК

В банковских мобильных приложениях есть уязвимые места, что может привести к утечкам данных клиентов, несанкционированному доступу к приложению и проведению мошеннических операций, а также к краже денежных средств. К такому выводу пришли специалисты Positive Technologies, которые проанализировали эти уязвимости и угрозы мобильным банкам. С исследованием компании ознакомился РБК.

Специалисты выявили недостатки как в клиентских частях мобильного банка (установленное на устройство пользователя приложение), так и в серверных частях (веб-приложение, которое находится на стороне банка и взаимодействует с приложением клиента через интернет).

Что изучали

Для исследования было выбрано 14 полнофункциональных банковских мобильных приложений для Android и iOS, которые принадлежат семи банкам из топ-50 крупнейших кредитных организаций по величине активов. Каждое из анализируемых приложений было скачано из официальных магазинов Google Play и AppStore не менее 500 тыс. раз. Общее число скачиваний всех этих приложений превышает 10 млн.

Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера. Каждое приложение содержит в своем коде как минимум три уязвимости, с помощью которых мошенники могут получить доступ к внутренней инфраструктуре банка.

  • Только один мобильный банк из исследованных не содержал уязвимостей, позволяющих злоумышленнику получить доступ к данным пользователя: например к выписке по карте, ПИН-кодам для быстрого доступа в приложение, учетным данным (логин/пароль) и т.п. При этом 43% приложений хранят эти данные в открытом виде, что упрощает доступ злоумышленников.
  • 76% уязвимостей злоумышленники могут использовать без физического доступа к устройству: для этого достаточно установить на телефон жертвы вредоносное приложение, например в ходе рассылки фишинговых писем. В результате мошенники смогут перехватить СМС от банка, а также получить номер банковской карты.
  • Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: так, недостатки в первых были не выше среднего уровня риска, в то время как 29% вторых содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями: именно она выступает точкой входа в приложение для хакеров.
  • Большинство веб-приложений банков (шесть из семи) содержит уязвимости, связанные с недостаточными мерами по аутентификации пользователя. Это может привести к несанкционированному доступу злоумышленника к личному кабинету путем подбора пароля. Если ему удастся обойти защиту с помощью одноразового пароля, который высылается в СМС, хакер сможет выполнять разные действия в мобильном банке от имени клиента.
  • В пяти из семи серверных частей злоумышленникам доступны учетные записи пользователей мобильных банков: имена и фамилии, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.

Как банки защищают свои приложения

Банки уделяют повышенное внимание безопасности приложений и регулярно проводят аудит и проверку их защищенности, рассказали РБК в ВТБ, МКБ, Промсвязьбанке, Райффайзенбанке, Тинькофф Банке и «Открытии». При этом основные сценарии мошенничества в России строятся на методах социальной инженерии (психологические методы выманивания у граждан необходимых сведений), поэтому мошенникам даже не требуется искать и эксплуатировать ИT-уязвимости приложений — всю необходимую информацию они получают обманным путем у клиентов банков, подчеркнули в ВТБ.

Group-IB регулярно находит уязвимости в банковских приложениях, однако на практике эти «дыры» используются довольно редко, поскольку злоумышленникам проще и дешевле использовать социальную инженерию, говорит руководитель направления «Аудит и консалтинг» Group-IB Андрей Брызгин. Однако он обращает внимание на то, что банки начали активно просвещать пользователей на тему мошеннических схем с использованием фишинга, звонков с тюремных call-центров и прочего. Поэтому со временем социнженерия может перестать приносить преступникам финансовую выгоду и они обратятся к уязвимости приложений.

По данным ЦБ, в 2019 году 69% всех хищений средств с банковских счетов граждан проводилось с использованием социальной инженерии. Всего за прошлый год мошенникам удалось украсть 6,42 млрд руб.

СберПро Медиа Интересное

Меры государственной поддержки бизнеса: подборка за I квартал 2024 года

СберПро Медиа Финансы

Как новое поколение недропользователей меняет золотодобычу: кейс «Золото Дельмачик»

СберПро Медиа Интересное

Кто такой CSM? И зачем бизнесу менеджер по успеху

СберПро Медиа Туризм

Отдохнуть и полечиться. Какие туристические проекты запускались
в 2023 году в России

СберПро Медиа Интересное

На диджитал-рельсы: как правильно организовать цифровизацию в компании

СберПро Медиа Недвижимость

Барометр отрасли: рынок строительного подряда

СберПро Медиа ТМТ

В каждом смартфоне. 9 трендов в разработке мобильных приложений

СберПро Медиа Лесопромышленный комплекс

Барометр отрасли: лесопромышленный комплекс

СберПро Медиа Интересное

Как российские компании переходят на отечественные АБС-пластики

СберПро Медиа Интересное

Нейросетевой мозг
для кобота. Ключевые тренды российской робототехники

Авторы
Теги
Магазин исследований Аналитика по теме "Мобильные приложения"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

  

Лента новостей
Курс евро на 17 апреля
EUR ЦБ: 99,93 (+0,14)
Инвестиции, 16 апр, 16:41
Курс доллара на 17 апреля
USD ЦБ: 94,07 (+0,49)
Инвестиции, 16 апр, 16:41
Шойгу показали боевых роботов Политика, 08:44
Орбан обвинил руководство ЕС в политическом шантаже и призвал к отставке Политика, 08:40
Царукян оценил правдивость слов футболистов о скромных тратах на жизнь Спорт, 08:38
Как нанять лучшего руководителя отдела продаж, не обещая ₽300 тыс. Pro, 08:22
Овечкин вывел «Вашингтон» в плей-офф НХЛ с худшей разницей века Спорт, 08:14
В Тюменской области начали эвакуацию 14 населенных пунктов из-за паводка Общество, 08:06
Военная операция на Украине. Онлайн Политика, 08:03
Здоровый сон: как легче засыпать и просыпаться
Интенсив РБК Pro поможет улучшить качество сна и восстановить режим
Подробнее
Турция впервые вошла в тройку покупателей российских пиломатериалов Бизнес, 08:00
Часть крупных банков Китая перестали принимать платежи из России Бизнес, 07:55
В Крыму перекрыли движение на участке дороги Джанкой — Феодосия Политика, 07:48
Число эвакуированных из-за паводков в Казахстане превысило 116 тыс. Общество, 07:43
Боец UFC Царукян назвал свой гонорар за бой против Оливейры Спорт, 07:33
Боец UFC Царукян: «Вдруг какой-то идиот достает палец и сует в глаз» Спорт, 07:33
Российские десантники взяли в плен четверых солдат ВСУ в Донбассе Политика, 07:18