Команда международной компании Positive Technologies, специализирующейся на разработке программного обеспечения, провела исследование уязвимостей веб-приложений для дистанционного банковского обслуживания. В результате выяснилось, что большинство онлайн-банков содержит критические уязвимости.
Проблемы онлайн-банкинга
В ходе исследования, несмотря на обнаружение ряда проблем, специалисты Positive Technologies выявили позитивную тенденцию: сокращение доли уязвимости высокой степени риска. С 2016 года данный показатель сократился на 58%. В исследовании были задействованы онлайн-банки РФ и восточной Европы.
Также специалисты отмечают, что на рынке была полностью решена проблема несанкционированного доступа к приложениям, связанная с отсутствием подтверждения личности. При этом по-прежнему встречаются приложения, в которых отсутствует возможность проведения двухфакторной аутентификации. Проблема занимает первое место среди распространенных уязвимостей.
Напомним, самым популярным финансовым приложением России, по данным рейтинга аналитического агентства App Annie, стал Сбербанк онлайн, ранее вошедший в пятерку самых скачиваемых финтех-приложений в мире.
Данные исследования Sensor Tower.
Защита личной информации клиентов каждого из исследованных приложений представляется ненадежной. При этом 54% онлайн-банков не в состоянии защитить средства своих пользователей от мошеннических операций (в том числе, от кражи).
Переходим к статистике
В ходе исследования специалисты Positive Technologies выяснили, что в системе каждого онлайн-банка есть хотя бы одна уязвимость, при помощи которой злоумышленники могут получить доступ к данным пользователя, регламентированным как банковская тайна. Статистика других параметров, в сравнении с результатами 2017 года, приведена ниже.
Данные исследования Positive Technologies.
Корпоративная структура большинства финансовых организаций также оказалась под угрозой. Специалисты компании выяснили, что критический уровень уязвимости в данном направлении наблюдается у 61% онлайн-банков. В большинстве случаев, атаки на внутренний интерфейс организаций могут осуществляться злоумышленниками при помощи добровольной передачи банками адреса своей внутренней сети.
Данные исследования Positive Technologies.
Другой проблемой специалисты назвали попытку банков создать баланс удобства работы со своим банковским приложением и достаточного уровня безопасности. Свою позицию они объяснили следующим образом: постоянный ввод одноразовых паролей мог бы повысить уровень защиты, однако при этом человеку стало бы неудобно пользоваться приложением.
В связи с этим, по мнению Positive Technologies, ряд финансовых организаций отказался от безопасности в пользу комфорта. Общая статистика самых распространенных уязвимостей онлайн-банков выглядит следующим образом (среднее число уязвимостей выросло приблизительно в 2 раза):
Данные исследования Positive Technologies.
Как защититься
Исследователи считают, что при помощи ряда решений пользователи могут усилить уровень безопасности работы с приложением банка. Одной из рекомендаций является необходимость убедиться в том, что данные cookie передаются по защищенному протоколу HTTPS. Также уровень безопасности может повысить работа со свежими версиями браузеров.
Команда Positive Technologies призывает обращать внимание на «природу» технических решений, при помощи которых работает приложение. Статистика показывает, что в случае выбора банком разработок вендоров, уровень безопасности повышается.
Данные исследования Positive Technologies.
Напомним, ранее эксперты назвали самые удобные банковские приложения. Узнать больше о лидерах вы сможете из нашего материала.
Источник
