Реклама
Статистика
Последние новости
- Конференция в РАНХиГСе
- 250 ящиков, включая 13 больших контейнеров...
- Microsoft обновила перечень процессоров, поддерживаемых Windows 11. Список пополнился 42 новыми CPU
- Microsoft разобралась: внезапно переименованные принтеры в Windows 10 и Windows 11 теперь можно переименовать обратно
- Microsoft исправила давний сбой «Проводника» .....
- Неужели Windows-ПК с Arm действительно будут на уровне MacBook? SoC Snapdragon X Elite на 21% быстрее Apple M3
- Таких видеокарт мы не видели более десятка лет. MSI представила GeForce RTX 4060 Cyclone 8G OC с кулером из прошлого
- В Москве запустили серийное производство материнских плат. Они изначально созданы под отечественные процессоры
- Чтобы не поймали с поличным: в геймерском браузере Opera появилась «паническая кнопка»
- Первый ИИ-ноутбук Lenovo будет очень тихим, но не всегда. Подробности о Xiaoxin Pro AI Ultrabook 2024
Последние видеообзоры
- Обзор ноутбука для школьника Lenovo ideapad S145-15IWL (81MV00HKRK)
- Обзор ноутбука Lenovo L340-15IWL (81LG00MSRK)
- Обзор роутера Mikrotik Hap Mini
- Обзор точки доступа Mikrotik cAP ac
- Отличия серверных жестких дисков от десктопных моделей
- Точка доступа WiFi на базе материнской платы Mikrotik RB911G-2HPnD
- Обзор розетки Smart Socket EU Mini, управляемой по Wifi
- Тестирование петличных микрофонов Audio-Technika ATR-3350 и BOYA BY-WM4
- Определение петель коммутации и борьба с ними
- Бюджетная защита различных технических устройств от перепадов напряжения в сети
Последные советы
- Услуга - настройка Mikrotik
- Услуга IP - телефония
- Облачное видеонаблюдения за 100 рублей
- Виртуальная АТС во Владимире
- Использование IP-телефонии для дома
- Почему важно вовремя чистить компьютер?
- Установка Windows
- Облачное видеонаблюдение. Для кого и зачем?!
- Об энергопотреблении современного персонального компьютера
- Ремонт типичных неисправностей в ноутбуке
Последние новости
- Конференция в РАНХиГСе
- 250 ящиков, включая 13 больших контейнеров...
- Microsoft обновила перечень процессоров, поддерживаемых Windows 11. Список пополнился 42 новыми CPU
- Microsoft разобралась: внезапно переименованные принтеры в Windows 10 и Windows 11 теперь можно переименовать обратно
- Microsoft исправила давний сбой «Проводника» .....
Хакеры начали издалека. Эксперты назвали главные уязвимости онлайн-банков
Более чем в половине российских онлайн-банков выявлены уязвимости, которые могут привести к хищению средств клиентов, говорится в исследовании Positive Technologies, посвященном веб-приложениям дистанционного банковского обслуживания (ДБО). Уровень защищенности 61% из них признан «низким или крайне низким». По данным отчета ФинЦЕРТ ЦБ, эти уязвимости уже активно используются злоумышленниками. Эксперты отмечают, что ситуация требует от банков изменения подхода к безопасности в целом.
Как следует из отчета Positive Technologies «Уязвимости онлайн-банков», во всех обследованных десятках банков были выявлены уязвимости веб-приложений ДБО, причем 54% из них может привести к хищению средств у клиентов банка. В 61% случаев был выявлен низкий или крайне низкий уровень защищенности онлайн-банков.
Так, уязвимости в виде доступа к информации клиента и к банковской тайне были выявлены в 100% обследованных кредитных организаций. «То есть злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их, — поясняет руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин.— Например, если у клиента настроен автоплатеж за мобильный телефон, то, используя такую уязвимость, злоумышленник может подменить номер мобильного».
В 2018 году не выявлено онлайн-банков, позволяющих войти без двухфакторной аутентификации, но операции повышенной важности совершаются без второго фактора в 77% банков. «Например, при вводе логина и пароля запрашивается одноразовый пароль из SMS, — пояснил Ярослав Бабин.— Однако для некоторых операций подтверждение не требуется — для перевода по банковским реквизитам, отправки данных виртуальной карты или даже для отключения подтверждения с помощью одноразового пароля».
Еще один опасный тренд — нарушение логики работы приложений. Количество онлайн-банков, где была выявлена уязвимость, увеличилось в 5 раз — с 6% до 31%. «Она позволяет злоумышленнику обойти правила приложения, — поясняет господин Бабин.— Например, когда из-за ошибки он может, скажем, сразу перейти к переводу денег на другой счет, обойдя процесс подтверждения трансакции с помощью одноразового пароля, или, например, получить возможность перевести деньги с рублевого счета на долларовый по курсу 1 к 1».
При этом уязвимостей в продаваемых на рынке готовых онлайн-банках втрое меньше, чем в самописных продуктах.
«Разница в количестве уязвимостей связана с низким уровнем квалификации в части безопасной разработки у разработчиков самописных решений, которые не “вылизывают” продукт, который будет использован многими заказчиками», — поясняет консультант по интернет-безопасности компании Cisco Алексей Лукацкий.
Согласно отчету ФинЦЕРТ ЦБ, уязвимости ДБО активно использовались злоумышленниками в 2018 году. По данным ФинЦЕРТ, у корпоративных клиентов банков в 2018 году украли 1,47 млрд руб., было совершено 6,1 тыс. попыток хищений, при этом в 46% случаев хищение было совершено путем получения злоумышленниками доступа к системе ДБО с использованием вредоносов. И в этом году тренд сохранится, считают в ЦБ.
Эксперты в сфере информбезопасности отмечают, что необходимы радикальные меры для исправления ситуации. «Приложения стали последним рубежом защиты от проникновения злоумышленников в инфраструктуру компании, — отмечает руководитель направления Solar appScreener “Ростелеком-Solar” Даниил Чернов.— Единственным правильным решением в такой ситуации видится внедрение процесса безопасной разработки (SSDLC), остальные меры будут неполными».
По словам директора по безопасности Почта-банка Станислава Павлунина, в нынешней ситуации для повышения уровня защиты банкам необходимо внедрять Аpplication Security (набор процедур, направленных на анализ программного кода с целью обнаружения уязвимостей и предотвращения их возникновения), однако Аpplication Security есть лишь у единичных российских банков. «К сожалению, вероятность атаки на ДБО близка к 100%, — отмечает начальник отдела по противодействию мошенничеству ЦПСБ “Инфосистемы Джет” Алексей Сизов.— И важнейшим показателем здесь является доля предотвращенных потерь, поскольку вероятность хищений зависит не только от технических уязвимостей, но и от бизнес-процессов, социальной инженерии и т. д.».
Вероника Горячева.
Популярные видеобзоры
Обзор зарядки Aukey PA-T1 54 Вт
Приходилось ли вам замечать, что со временем ваш телефон держит зарядку хуже чем прежде? Думаю каждый владелец смартфона со временем с этим сталкивается, покупает новые аккумуляторы, потом новый смартфон, но со временем даже новый гаджет держит зарядку хуже. Многие полагают что это обычный порядок вещей, однако это совсем не так. Что бы смартфон служил долго, нужно выбрать правильную зарядку!
Подробнее...Браслет для выживания
Сейчас с обилием всевозможных Survival-игр (игр на выживание) по неволе задумаешься, как бы самому не попасть в такую ситуацию. И каждый игравший в такого рода игры человек знает, что на втором месте после топора стоит веревка, а может даже и на первом!
Но врятли кто-то из нас умеет вязать веревки из травы или листьев, да и ситуации жизненные не такие критичные как в игре, привязать что-то отвалившееся, поставить палатку, или еще что по мелочи. Опять же где взять вервевку?
Подробнее...