Богатство - вещь, без которой можно жить счастливо. Но благосостояние - вещь, необходимая для счастья
Николай Чернышевский






InfoBank.by – Все банки Беларуси  >  Все статьи по финансам и банкам  >  Преступники могут получить доступ к информации клиентов в любом онлайн - банке

Преступники могут получить доступ к информации клиентов в любом онлайн - банке

Размер шрифта:    Уменьшить шрифт  Восстановить исходный рзмер  Увеличить шрифт 
1587

Эксперты компании Positive Technologies изучили уровень защищенности онлайн - банков в 2018 году и пришли к неутешительному выводу, что 54% систем позволяют похитить средства клиентов, а несанкционированный доступ к личным данным и банковской тайне можно получить во всех онлайн - банках...

В большинстве изученных экспертами онлайн - банков есть критически опасные уязвимости,   которые могут привести к серьезным последствиям:
  • угроза несанкционированного доступа к информации клиентов и банковской тайне (относительно выписок по счету и платежных поручений других пользователей) есть, к примеру, в каждом исследованном онлайн - банке
  • в некоторых случаях уязвимости позволяли развивать атаку на ресурсы корпоративной сети всего банка
В Даркнете охотно торгуют информацией о клиентах многих банков. На долю учетных данных и сведений о банковских картах приходится более 80% в общем объеме продающейся информации.
 
Средняя стоимость данных одного пользователя онлайн-банка составляет 22 доллара
 
В 77% обследованных онлайн - банках были обнаружены недостатки реализации механизмов двухфакторной аутентификации.

Кроме того, в некоторых онлайн - банках одноразовые пароли для критически важных действий (в том числе — аутентификации) не применяются или имеют слишком большой срок действия. Видимо,  банки стараются найти баланс между безопасностью и удобством использования.

Но отказ даже от части мер безопасности ради удобства повышает риск совершения мошеннических операций. К примеру:
  • если нет необходимости подтверждать операцию с помощью одноразового пароля, злоумышленнику больше не нужен доступ к мобильному телефону жертвы
  • слишком большой срок действия пароля повышает шанс его успешного подбора, потому что при отсутствии ограничений на подбор одноразовый пароль из четырех символов можно подобрать за считанные минуты
Между тем, сравнительный анализ компании Positive Technologies показал, что изученные готовые решения, предлагаемые вендорами, содержат в 3 раза меньше уязвимостей, чем системы, разработанные банками самостоятельно.

Между тем, количество уязвимостей в продуктивных и тестовых системах сравнялось: согласно статистике, в 2018 году оба эти типа систем в большинстве случаев содержали, как минимум, одну критически опасную уязвимость.

Выводы:
  • Большинство онлайн - банков содержат критически опасные уязвимости. Как следствие, низкий или крайне низкий уровень защищенности имеют 61% исследованных онлайн - банков
  • Все онлайн - банки под угрозой. В каждом исследованном онлайн - банке обнаружены уязвимости, которые могут привести к серьезным последствиям. Например, в 54% приложений возможны проведение мошеннических операций и кража денежных средств
  • Механизмы двухфакторной аутентификации недостаточно надежны. Недостатки реализации таких механизмов обнаружены у 77% онлайн - банков
  • Покупные решения менее уязвимы. В среднем решения, предлагаемые вендорами, содержат в 3 раза меньше уязвимостей, чем системы, разработанные банками самостоятельно
  • Продуктивные системы так же уязвимы, как и тестовые. Оба типа систем в большинстве случаев содержат как минимум одну критически опасную уязвимость
Скрин с сайта ptsecurity.com
 
Самые распространенные уязвимости онлайн - банков (доля систем)
 
Выявленные тенденции:

Сокращение доли уязвимостей высокого уровня риска. В 2016 году для онлайн - банков этот показатель достигал 36%, в 2017 он снизился до 32%. В 2018 году доля критически опасных уязвимостей составляет лишь 15%.

Снижение опасности от уязвимости «Недостаточная аутентификация». Доля онлайн - банков, в которых можно совершать важные действия без ввода учетных данных, уменьшалась с каждым годом, и в 2018 году, наконец, не было зафиксировано ни одного приложения, где оставалась бы данная проблема. Однако по-прежнему во многих системах операции повышенной важности совершаются без дополнительного (второго) фактора аутентификации.

Личная информация клиентов и банковская тайна под угрозой в каждом исследованном онлайн - банке. Из года в год наблюдается рост доли систем, в которых есть риск несанкционированного доступа к личным данным клиентов и банковской тайне. В 2018 году этот показатель достиг предельного значения: все исследованные онлайн - банки оказались подвержены этой угрозе.
 


Источник: www.infobank.by

Понравилось? Отправь друзьям!


Оставить комментарий
  
Комментариев нет
Другие новости