Онлайн-банки не прошли проверку на безопасность

09 апреля 2019 г., вторник

Эксперты нашли уязвимости в 100% протестированных приложений, в половине случаев бреши позволяли красть деньги со счета.

Эксперты Positive Technologies обнаружили серьезные проблемы безопасности во всех существующих онлайн-банках, из которых более 60% содержат критические уязвимости. Существующие бреши грозят потерей денежных средств и раскрытием конфиденциальных данных.

По словам специалистов, проблемы связаны со стремлением разработчиков помимо безопасности предоставить пользователям максимальное удобство. Так, некоторые организации отказываются от одноразовых паролей или продлевают срок их жизни, чтобы клиентам не пришлось вводить уникальный код для каждой операции. С точки зрения защиты, это повышает риск мошеннических операций и грозит компрометацией доступа к личному кабинету.

Более чем в половине (54%) финансовых веб-приложений исследователи увидели серьезные дыры, открывающие возможность кражи денежных средств. Более того, за 2018 год среднее количество брешей в каждом онлайн-банке выросло почти вдвое. При этом авторы отмечают значительное сокращение уязвимостей с высоким уровнем риска — за последние три года их доля сократилась с 36% до 15%.

Так, разработчики смогли полностью устранить проблемы с недостаточной аутентификацией, позволяющие проводить банковские операции без ввода учетных данных. Исследователи отмечают, что компаниям понадобилось несколько лет, чтобы полностью защитить клиентов от этих угроз. Несмотря на успех, многие приложения все еще не используют многофакторную проверку, а среди существующих систем двухфакторной аутентификации 77% содержат уязвимости.

В некоторых случаях через онлайн-банк эксперты смогли добраться до корпоративной инфраструктуры организации. Это связано с недостаточной изоляцией внутренней сети и грозит компании направленными атаками. Другая серьезная опасность — скачок угроз, влияющих на бизнес-логику IT-систем. Доля таких атак выросла с 6% в 2017 году до 31% в 2018-м. Исследователи связывают эту тенденцию с тем, что веб-приложения все чаще пишут внутренние сотрудники, которые не справляются с отловом брешей на ранних этапах.

По оценкам экспертов, решения собственной разработки оказываются в три раза более уязвимыми, чем сторонние продукты, где большинство угроз (75%) связано с проблемами защитных механизмов. Причем внешние вендоры чаще допускают ошибки на этапе проектирования, а приложения, разработанные самими банками, страдают от багов в коде.

«Процессы безопасности необходимо выстраивать на каждом этапе жизненного цикла онлайн-банка, — заключают исследователи. — Методика разработки безопасного ПО позволяет избежать множества ошибок, но не исключает необходимости систематически проводить анализ защищенности веб-приложений. В качестве превентивной меры рекомендуется использовать брандмауэр уровня приложений, чтобы пресекать эксплуатацию уязвимостей, возникающих при внесении изменений в код».

В 2018 году российские власти приняли закон, направленный на борьбу с мошенничеством в онлайн-пространстве. Новые правила позволяют банкам блокировать подозрительные транзакции до подтверждения со стороны хозяина счета.

Threatpost