Перейти к основному контенту
Финансы ,  
0 
Эксклюзив

Эксперты оценили уязвимость мобильных приложений банков для мошенников

Приложения банков содержат уязвимости, которые позволяют красть деньги и данные клиентов, сообщили эксперты Positive Technologies. Пока мошенники в основном используют социальную инженерию, но могут переключиться на приложения
Фото: Михаил Гребенщиков / РБК
Фото: Михаил Гребенщиков / РБК

В банковских мобильных приложениях есть уязвимые места, что может привести к утечкам данных клиентов, несанкционированному доступу к приложению и проведению мошеннических операций, а также к краже денежных средств. К такому выводу пришли специалисты Positive Technologies, которые проанализировали эти уязвимости и угрозы мобильным банкам. С исследованием компании ознакомился РБК.

Специалисты выявили недостатки как в клиентских частях мобильного банка (установленное на устройство пользователя приложение), так и в серверных частях (веб-приложение, которое находится на стороне банка и взаимодействует с приложением клиента через интернет).

Что изучали

Для исследования было выбрано 14 полнофункциональных банковских мобильных приложений для Android и iOS, которые принадлежат семи банкам из топ-50 крупнейших кредитных организаций по величине активов. Каждое из анализируемых приложений было скачано из официальных магазинов Google Play и AppStore не менее 500 тыс. раз. Общее число скачиваний всех этих приложений превышает 10 млн.

Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера. Каждое приложение содержит в своем коде как минимум три уязвимости, с помощью которых мошенники могут получить доступ к внутренней инфраструктуре банка.

  • Только один мобильный банк из исследованных не содержал уязвимостей, позволяющих злоумышленнику получить доступ к данным пользователя: например к выписке по карте, ПИН-кодам для быстрого доступа в приложение, учетным данным (логин/пароль) и т.п. При этом 43% приложений хранят эти данные в открытом виде, что упрощает доступ злоумышленников.
  • 76% уязвимостей злоумышленники могут использовать без физического доступа к устройству: для этого достаточно установить на телефон жертвы вредоносное приложение, например в ходе рассылки фишинговых писем. В результате мошенники смогут перехватить СМС от банка, а также получить номер банковской карты.
  • Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: так, недостатки в первых были не выше среднего уровня риска, в то время как 29% вторых содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями: именно она выступает точкой входа в приложение для хакеров.
  • Большинство веб-приложений банков (шесть из семи) содержит уязвимости, связанные с недостаточными мерами по аутентификации пользователя. Это может привести к несанкционированному доступу злоумышленника к личному кабинету путем подбора пароля. Если ему удастся обойти защиту с помощью одноразового пароля, который высылается в СМС, хакер сможет выполнять разные действия в мобильном банке от имени клиента.
  • В пяти из семи серверных частей злоумышленникам доступны учетные записи пользователей мобильных банков: имена и фамилии, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.

Как банки защищают свои приложения

Банки уделяют повышенное внимание безопасности приложений и регулярно проводят аудит и проверку их защищенности, рассказали РБК в ВТБ, МКБ, Промсвязьбанке, Райффайзенбанке, Тинькофф Банке и «Открытии». При этом основные сценарии мошенничества в России строятся на методах социальной инженерии (психологические методы выманивания у граждан необходимых сведений), поэтому мошенникам даже не требуется искать и эксплуатировать ИT-уязвимости приложений — всю необходимую информацию они получают обманным путем у клиентов банков, подчеркнули в ВТБ.

Group-IB регулярно находит уязвимости в банковских приложениях, однако на практике эти «дыры» используются довольно редко, поскольку злоумышленникам проще и дешевле использовать социальную инженерию, говорит руководитель направления «Аудит и консалтинг» Group-IB Андрей Брызгин. Однако он обращает внимание на то, что банки начали активно просвещать пользователей на тему мошеннических схем с использованием фишинга, звонков с тюремных call-центров и прочего. Поэтому со временем социнженерия может перестать приносить преступникам финансовую выгоду и они обратятся к уязвимости приложений.

По данным ЦБ, в 2019 году 69% всех хищений средств с банковских счетов граждан проводилось с использованием социальной инженерии. Всего за прошлый год мошенникам удалось украсть 6,42 млрд руб.

Готовые квартиры в новых кварталах

В разных районах Москвы и области

Квартиры в столице 

с выгодой до ₽4,5 млн

Выгодные предложения 

для семей с детьми

Видовые квартиры 

в высотных башнях

Варианты с мебелью 

и встроенной техникой

Авторы
Теги
Магазин исследований Аналитика по теме "Мобильные приложения"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.



 

Лента новостей
Курс евро на 14 декабря
EUR ЦБ: 109,01 (-1,47)
Инвестиции, 13 дек, 18:37
Курс доллара на 14 декабря
USD ЦБ: 103,43 (-0,52)
Инвестиции, 13 дек, 18:37
Экс-генсек ОДКБ рассказал, как могли предотвратить конфликт на УкраинеПолитика, 08:32
В Николаеве прогремел взрывПолитика, 08:25
Как развитие производства ускоряет масштабирование light industrialНедвижимость, 08:23
В Донецке задержали подорвавшего внедорожник местного жителяПолитика, 08:11
Почти половина россиян отказались от просмотра новогодних шоуОбщество, 08:01
Таланты в условиях «голода»: как сохранить ценных сотрудниковРБК и Битрикс24, 07:59
Экс-сотрудница администрации Курахово рассказала о ситуации с гумпомощьюПолитика, 07:54
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Минобороны сообщило о 15 сбитых за ночь беспилотниках над РоссиейПолитика, 07:17
SCMP узнал о трудностях Китая с налаживанием отношений с ТрампомПолитика, 07:08
Сирийские курды заметили расширение территории ИГИЛ из-за хаосаПолитика, 06:52
В Приморье задержали поджегшего отделение банка из-за мошенниковОбщество, 06:50
На чем будут ездить чиновники и госслужащиеРБК и Автоваз, 06:44
Defence Türk узнал о проблеме Франции и Турции из-за отчета про БПЛАПолитика, 06:12
В США предрекли повторение кризиса 2008 года из-за депортаций мигрантовЭкономика, 06:04