Компания Positive Technologies опубликовала исследование, посвященное уязвимостям российских онлайн-банков. С ним ознакомился «Коммерсантъ».

Согласно отчету, защищенность 61 % банковских сайтов признали низкой или крайне низкой. Уязвимости нашли во всех изученных онлайн-банках, причем 54 % из них может привести к хищению денег.

Так, во всех организациях обнаружили проблемы, связанные с доступом к данным клиента. Злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их, пояснил руководитель группы исследований Positive Technologies Ярослав Бабин. Например, если пользователь настроил автоплатеж, недоброжелатель может подменить номер телефона.

В 2018 году специалисты не выявили онлайн-банков, которые позволяли войти без двухфакторной аутентификации, при этом операции повышенной важности, в том числе переводы по банковским реквизитам, совершались без второго фактора в 77 % банков.

Еще одной опасной уязвимостью назвали нарушение логики работы приложений. Ее нашли в 31 % онлайн-банков. По словам Бабина, она позволяет злоумышленнику обойти правила приложения, когда из-за ошибки он может, к примеру, сразу перейти к переводу денег на другой счет в обход подтверждения транзакции одноразовым паролем.

Распространенными проблемами также назвали межсайтовое выполнение сценариев, раскрытие информации в сообщениях об ошибках или о версии используемого ПО и недостаточную авторизацию.


Источник: «Коммерсантъ»

Подписывайтесь на нас!