Специалисты по кибербезопасности Bi.Zone заявили о высокой степени уязвимости для киберворов ставших привычными для граждан технологий мобильных и онлайн-банков. К примеру, злоумышленникам ничего не стоит использовать слишком продолжительную сессию клиента в мобильном банка, также им вполне по силам подбор трансакции под пароль, а не наоборот. Высокие риски грозят более чем 50% функционирующих в России мобильных банков, и клиентам нужно быть весьма предусмотрительными в работе с ними.
Самым распространенным уязвимостям мобильных и онлайн-банков было посвящено выступление на конференции OFFZONE 2018 ведущего специалиста по тестированию на проникновение Bi.Zone (является дочерней структурой Сбербанка, специализирующейся на кибербезопасности) Аркадия Литвиненко. В частности, он рассказал о "порочном" пути используемой сейчас рассылки одноразовых паролей в СМС-сообщениях, которыми нужно подтвердить вход в личный кабинет в онлайн/мобильном банке, что этот путь может в итоге и стать причиной хищения. Проблема в небезопасности способа передачи пароля: используя поддельную доверенность и скан паспорта жертвы, можно заполучить дубликат сим-карты. Существуют и относительно недорогостоящие устройства (от $700), с помощью которых можно перехватить СМС-сообщение. И, как сказал Аркадий Литвиненко, это только одна из уязвимостей.
К примеру, многие банки для подтверждения трансакций пользуются одноразовыми 4-значными паролями из СМС, причем, если комбинация была трижды введена неверно, трансакция будет заблокирована. Но можно подобрать трансакцию под пароль (допустим, 5555), то есть это вариант создания множества операций по списанию средств со счета клиента, при подборе 16 тыс. трансакций, преступник почти наверняка угадает пароль (99%).
Понятно, что банковский клиент не сможет не заметить 16 тыс. СМС от банка, содержащих одноразовый пароль, если только это не ночь или он не уехал в отпуск, где его телефон выключен.
По словам руководителя лаборатории практического анализа защищенности Центра информбезопасности «Инфосистемы Джет» Луки Сафонова, преступники могут получить доступ к личному кабинету в онлайн-банке, если клиент, например, получил фишинговое письмо и прошел по указанной в нем ссылке или случайно осуществил загрузку вредоносного программного обеспечения.
Из данных Positive Technologies следует, что по итогам прошлого года компанией было выявлено критически опасных уязвимостей более чем в 50% онлайн-банков. Причем недостатки при авторизации выявлены в 63% случаев. По словам Литвиненко, если банк использует одноразовый пароль на вход и ограничивает количество одноразовых паролей, это ведет к снижению рисков.
Говоря о мобильном банкинге, Bi.Zone выявил в банковских приложениях уязвимости, сделанные для повышения уровня комфортности клиентов. К примеру, клиент установил очень длинный пароль от банковского аккаунта, его ввод всякий раз при входе в мобильный банк сопряжен с понятным неудобством. Поэтому банки не всегда устанавливают ограничение сессии клиента при входе в мобильный банк или удлинняют ее. А преступник, заполучив доступ к сессии, может войти и в мобильный банк. Как сказал Лука Сафронов, перехват сессии злоумышленниками возможен, например, если клиент банка использует общественный wi-fi при посещении торгового центра или поездке в общественном транспорте.
Другой, не менее опасный момент — запоминание приложением мобильного банка кода на вход в приложение и его автоматическая вставка. По словам Литвиненко, взлом/кража телефона вкупе с автоматическим вводом пароля открывают злоумышленникам доступ к банковскому аккаунту. Но даже если у приложения и нет функции запоминания кода, и место его хранения - сервер, то и такая ситуация уязвима — код можно выявить тем же подбором. И только при связке "пин-код + устройство клиента" риски будут снижены.
Как выявила Positive Technologies, "при помощи" уязвимостей в 52% мобильных банков мошенникам были доступны расшифровка, перехват и подбор учетных данных для доступа в мобильное приложение или обход процесса аутентификации. Активная продажа данных для взлома мобильных банков налажена в даркнете. При этом в среднем «вход» в мобильный банк стоит всего $22.
Но нельзя не сказать о ежегодном снижении доли систем ДБО с критически опасными уязвимостями. Например, в 2015 году уязвимости высокой степени риска содержали 90% прошедших анализ систем, а в 2016-м — 71%, то по итогам прошлого года - только 56%. Но в любом случае клиенты должны быть осведомлены о возможных рисках и оставаться предусмотрительными.
