В каждом третьем онлайн-банке есть уязвимости, которые могут быть использованы для хищения средств, а в каждом третьем мобильном банке можно перехватить данные доступа. Нет надежды и на автоматизированные банковские системы (АБС) — две трети уязвимостей, выявленных в АБС, критически опасны. В банках призывают не паниковать — не каждая уязвимость оборачивается хищением. Впрочем, статистика ЦБ, отражающая рост хищений средств клиентов банков, показывает, что мошенники эффективно используют любые лазейки.
Фото: Александр Коряков, Коммерсантъ / купить фото
Рост уязвимости банковских систем (мобильных банков, онлайн-приложений и АБС) фиксирует в обнародованном вчера исследовании компания Positive Technologies (специализируется на противодействии киберугрозам). Согласно ему, в 2016 году на 8% выросло количество критически опасных уязвимостей финансовых приложений, и на 18% — уязвимостей среднего уровня опасности. Наиболее распространенными являются уязвимости, связанные с недостаточностью механизмов идентификации, аутентификации и авторизации. Согласно прогнозам экспертов Positive Technologies, в 2017 году нас ждет на 30% больше инцидентов с нарушениями информационной безопасности в финансовой сфере.
Самыми уязвимыми оказались, как ни странно, автоматизированные банковские системы. Хотя они обычно считаются недоступными для внешних злоумышленников, две трети уязвимостей, выявленных в АБС, оказались критически опасными, включая такие, которые позволяют получить доступ к серверу, отмечается в исследовании.
Такие финансовые приложения, как мобильный банк и онлайн-банк, имеют сопоставимый уровень уязвимости. Так, в 36% онлайн-банков исследование выявило слабые места, которые могли создать условия для хищения денег.
Главная проблема связана с авторизацией и аутентификацией — отсутствие или существенные недостатки двухфакторной аутентификации (генерация одноразового пароля на стороне клиента, ограничения на количество попыток ввода пароля или ограничение времени жизни пароля). «В отдельных банках СМС-подтверждение есть лишь при входе в онлайн-банк, трансакции же идут без подтверждения,— отмечает аналитик Positive Technologies Ольга Зиненко.— В ряде случаев в качестве логина для входа в онлайн-банк использовался номер телефона клиента банка, а где-то дату рождения указывали паролем по умолчанию, чем также могли бы воспользоваться злоумышленники». В случае с мобильными банками критически опасные уязвимости были выявлены в 32% систем. Основные проблемы в них связаны с хранением и передачей информации, что несет риск перехвата или подбора мошенниками данных для доступа. При этом больше рисков на стороне банков: серверные части мобильных банков защищены хуже клиентских, уязвимости высокой степени были найдены в каждой серверной системе.
Эльвира Набиуллина, председатель Банка России, 28 марта
Мы заинтересованы в том, чтобы возможный взрывной рост технологий не обернулся нарастанием киберугроз и кибермошенничества
Эксперты отмечают, что исследование отражает в целом ситуацию с уязвимостью банковских систем, хотя и не является бесспорным. «Нет оснований не доверять Positive Technologies, но необходимо понимать: поиск уязвимостей — это вечная тема, одни выявляются, но создаются новые,— отмечает заместитель руководителя Zecurion (специализируется на информационной безопасности) Александр Ковалев.— Не все уязвимости критичны и опасны, часть их находится в столь неудобных для хакеров местах, что мошенникам просто неинтересно их использовать».
В кредитных организациях призывают не паниковать. «Тот факт, что Positive Technologies выявила уязвимости, не говорит о том, что ими легко воспользоваться — в противном случае хакеры давно уже вывели бы средства клиентов из уязвимых банков,— отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Если клиент банка соблюдает элементарные правила безопасности — не ходит по сомнительным сайтам, не устанавливает неясные программы на телефон и имеет хорошую антивирусную программу, он достаточно защищен». Уязвимости в мобильном банке или же онлайн-банке далеко не всегда ведут к хищению средств конкретного клиента, добавляет Александр Ковалев.
Пока эксперты предлагают клиентам рассчитывать на везение и на то, что лично их хакеры не тронут, ЦБ фиксирует рост хищений со счетов клиентов. Так, по данным регулятора, всего в 2016 году было совершено почти 240 тыс. хищений средств через системы онлайн-банка и мобильного банка на сумму более 700 млн руб. При этом особенно показателен конец года. Так в четвертом квартале 2016 года зафиксировано 73 тыс. хищений на 206,9 млн руб. против 43 тыс. инцидентов на 139,9 млн руб. за аналогичный период прошлого года.