Киберпреступники находят все новые уязвимости в банковских приложениях для гаджетов, а также совершенствуют применение технологий социальной инженерии в целях получения доступа к карточным счетам россиян, сообщают «Известия».
Опрошенные изданием специалисты указывают, среди наиболее распространенных брешей в приложениях кредитных организаций для смартфонов и планшетов – невыполнение проверки пользовательских прав непосредственно на гаджете. На руку мошенникам и слишком простые шифры, которые используются при обмене данными между банковским сервером и гаджетом клиента. Глава направления информационной безопасности «ITGLOBAL.COM» Александр Зубриков констатирует, аферисты поднаторели в MitM-атаках, вмешиваясь в коммуникацию клиент-банк, причем последний такое вмешательство заметить не в силах.
Директор практики информационной безопасности компании «AT Consulting» Тимурбулат Султангалиев говорит, на помощь взломщикам приходит и недостаточно надежная защита сведений, которые применяются для аутентификации пользователя, в коде самого приложения. Киберпреступники пользуются внедренной в такие приложения утилитой «Deep-links», предоставляющей выбор формы открытия ссылки – ее можно просматривать как через само приложение, так и через интернет-браузер. Эту технологию мошенники применяют для взлома защиты приложений, отмечает эксперт.
Также финучреждения недостаточно серьезно подходят к валидации запросов по каналу «приложение – сервер». Соответственно, мошенникам достаточно запустить на гаджете жертвы поддельный сертификат, изменяющий счет адресата транзакции, и тем самым завладеть средствами. Руководитель службы информационной безопасности «Servicepipе» Никита Прохоренко отмечает, в таком случае банк, не практикующий строгую валидацию, не посчитает перевод подозрительным и осуществит его. Чтобы данный мошеннический алгоритм не срабатывал, приложение должно применять «политику полного недоверия», требуя серию авторизаций и подтверждений при каждой операции, уверен специалист.
Еще один баг банковских приложений – отсутствие защиты операционной утилиты на фоне однофакторной аутентификации. Как правило, приложения не предусматривают специального ПИН-кода для их использования. Глава департамента информационной безопасности компании «Oberon» Евгений Суханов поясняет, в гаджетах на ОС «Android» злоумышленники могут менять содержимое самого приложения, а также перехватывать передаваемые клиентом в банк данные при помощи шпионских скриптов. Внедрив вирус в приложение, мошенники получают доступ к проведению через него транзакций в свою пользу, в том числе могут перехватывать и отправлять верификационные СМС-коды, подтверждает Суханов.
Владелец IT-legal компании «Катков и партнеры» Павел Катков добавляет, в большинстве случае мошенники получают доступ к приложению на этапе получения владельцем подтверждающих СМС – чаще всего сим-карта с привязанным к приложению номером установлена на том же гаджете, что и приложение. Чтобы обойти эту угрозу, следует разместить элементы двухфакторной авторизации на отдельных устройствах.
Основатель краудлендинговой платформы «Джетленд» Роман Хорошев предупреждает, помимо технических уязвимостей, аферисты по-прежнему активно прибегают к методам социальной инженерии. От имени банковских сотрудников они звонят жертвам и выведывают номера карт, CVV-коды и другую секретную информацию. Среди новинок в арсенале аферистов – от лица банкиров они рекомендуют доверчивым клиентам запустить на гаджете некую «полезную» программу, которая в действительности открывает взломщикам доступ ко всем операциям пользователя. Как правило, речь идет о скриптах на основе «TeamViewer» и «AnyDesk», поясняет специалист.
Исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит» Дмитрий Стуров подтверждает, добившись установки такой утилиты, киберпреступники от лица клиента начинают беспрепятственно осуществлять транзакции. Директор по информационной безопасности «QBF» Юрий Орлов добавляет, в минувшем году 64% случаев хищения денег с карт россиян были осуществлены с применением социальной инженерий. С одной жертвы аферисты получали в среднем 8,6 тыс. рублей, что на 1 тыс. больше, чем годом ранее.
Директор департамента информационной безопасности МКБ Вячеслав Касимов резюмирует, кредитные организации расширяют и совершенствуют алгоритмы защиты от хакеров, но они не в силах повлиять на работу программ и приложений, которые клиенты самостоятельно запускают на своих гаджетах.