Приложения для смартфонов и онлайн-представительства российских банков не обладают надлежащей степенью защиты от вмешательства киберпреступников, свидетельствуют результаты исследования, проведенного компанией «Bi.Zone» - «дочкой» «Сбербанка», которая занимается обеспечением безопасности транзакций в электронном пространстве.
Как сообщил в ходе конференции OFFZONE 2018 ведущий специалист по тестированию на проникновение компании Аркадий Литвиненко, наиболее уязвимым звеном в системе аутентификации клиента онлайн-приложения является получение разового кода подтверждения через СМС. Мошенники, завладев фиктивной доверенностью и сканированным изображением паспорта реального владельца карты, могут оформить ее дубликат. Кроме того, к услугам хакеров – аппаратура для перехвата текстовых сообщений, приобрести которую можно за $700.
Кроме того, пояснил Литвиненко, существует возможность подобрать пароль под трансакцию, поскольку он состоит всего из 4 цифр, и если создать в автоматическом режиме тысячи переводов средств, к одному из них постоянно вводимый пароль подойдет.
Глава лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафронов в беседе с «КоммерсантЪ» добавил, открыть доступ хакерам к своему счету граждане могут, перейдя по ссылке в письме, пришедшем от мошенников по электронной почте, либо запустив вложенную в письмо вредоносную программу.
В компании Positive Technologies отмечают, в прошлом году грубейшие прорехи в безопасности имелись в каждом втором мобильном банке, а в 63% имелись удобные для мошенников недоработки на этапе авторизации. В Bi.Zone добавляют, многие кредитные организации, дабы пользователь приложения не вводил порой длинный и сложный пароль постоянно, практикуют продление сессий. Сафронов поясняет, вторгнуться в такую сессию аферисты могут через незащищенный wi-fi.
Литвиненко к опасным особенностям приложений относит также запоминание пароля. Если у человека украдут смартфон, либо получат несанкционированный доступ к нему, автоматически у преступников появится доступ к банковскому счету жертвы.
