Цивилизация
Мошенники все чаще используют уязвимости банковских приложений, чтобы похищать средства их пользователей, предупреждают «Известия». Несмотря на то, что такие сервисы должны иметь высокий уровень защищенности, их системе безопасности часто встречаются бреши и недочеты, которыми злоупотребляют киберпреступники.
Эксперты, опрошенные изданием, отнесли к таким уязвимостям отсутствие проверки на получение прав привилегированного пользователя, а также слабое шифрование данных при их передаче между сервером и устройством.
Кроме того, злоумышленники часто получают доступ к аутентификационным данным, которые хранятся в коде приложения в незашифрованном виде.
К недостаткам мобильного банкинга, хотя и косвенным, также относится незащищенность операционной системы — в некоторых версиях Android есть возможность вносить изменения в мобильное приложение, либо перехватить его соединение с банком при помощи вируса. Это приводит к тому, что мошенники получают контроль над зараженным приложением, а затем самостоятельно осуществляют платежи без ведома владельца счета.
Мобильное банковское приложение – это в широком смысле посредник между пользователем и автоматизированной банковской системой, рассказывает Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар».
«Когда человек совершает операции в мобильном приложении, они транслируются серверам банка, обрабатываются платежными системами банка и выполняются. После этого банк отправляет пользователю нотификацию, уведомляя, что операция совершена. В веб-версии дистанционного банка схема проведения операций ничем не отличается. Чтобы украсть деньги, злоумышленнику нужно найти способ вмешаться в этот процесс», — пояснил эксперт.
Возможность компрометации приложения зависит от того, насколько серьезно банк относится к безопасной разработке своих программ, потому что готовое мобильное приложение – это последний рубеж защиты.
Все попытки эксплуатации уязвимостей банковских приложений состоят из двух этапов. Первый этап – найти уязвимость и сформировать платежную инструкцию. Второй этап – сделать так, чтобы пользователь вовремя не заметил, что его финансовыми средствами распоряжается кто-то другой.
«Чтобы защитить от хакеров свой мобильный банк, пользователи должны следить за тем, чтобы трояны или любые другие вредоносные программы не попали на устройство. Если на счету пользователя лежит крупная сумма денег, за сохранность которой он переживает, можно написать заявление в отделении банка о запрете совершения операций свыше определенной суммы без физического присутствия клиента. Некоторые банковские клиенты покупают страхование, но в случае с кибератаками очень сложно доказать, по чьей вине произошла кража денег, является ли инцидент страховым случаем и т.д. Необходимо внимательно читать договор страхования, чтобы понять, покрывает ли случай страховка, и если банк обязан вернуть деньги, то в каком размере», — рекомендует Чернов.
Если говорить о приложениях наиболее популярных банков, то они достаточно защищены, отмечает Екатерина Рудая, эксперт лаборатории практического анализа защищенности Центра информационной безопасности компании «Инфосистемы Джет». По ее словам, указанные в материале «Известий» уязвимости, связанные с отсутствием проверки на получение прав привилегированного пользователя, не применимы для приложений от серьезных разработчиков.
«Банки, дорожащие своими клиентами и репутацией, на этапе разработки приложения думают о безопасности конечного продукта: закладывают механизмы блокировки работы приложения на устройстве с привилегированными правами и защиты трафика между клиентом и банком, а также криптостойкие алгоритмы шифрования. Также стоит понимать, что безопасность средств зависит и от действий пользователя.
Если клиент банка пользуется телефоном с устаревшей операционной системой или по какой-то причине решает устанавливать приложения не из официальных магазинов, а, например, форумов — то он сам подвергает свои сбережения опасности.
Большинство потерь клиентов банка происходит по невнимательности конечного потребителя, а не из-за недоработок разработчиков приложения. Но это не значит, что стоит успокоиться и безоговорочно верить в безопасность приложений. Обязательно используйте двухфакторную аутентификацию, где это возможно, обновляйте ОС телефона и устанавливайте только официальные приложения», — советует эксперт.
Уязвимости в мобильных банковских приложениях могут быть самые разнообразные, но наиболее опасные – связанные с недостаточной авторизацией или аутентификацией, подтвердил «Газете.Ru» ведущий эксперт «Лаборатории Касперского» Сергей Голованов. При этом он добавил, что уязвимости могут встречаться абсолютно в любом ПО, так как оно создается людьми, а они могут совершать ошибки.
При этом, по словам эксперта, реальных инцидентов, где злоумышленники смогли вывести средства только с помощью уязвимости в приложениях, немного. Гораздо проще выманить необходимую для перевода информацию с помощью социальной инженерии, считает Голованов.
В последнее время банки активно внедряют новые технологии, например распознавание лиц или идентификацию пользователя по голосу. С одной стороны, удаленная идентификация пользователей очень удобна, а с другой — в связи с этим появляется большое число рисков, поэтому банки должны крайне серьезно относиться к хранению личных данных пользователей, рассказывает Сергей Забула, руководитель группы системных инженеров по работе с партнерами Check Point Software Technologies в России.
Сейчас хакеры активно работают над способами обхода биометрии, но риски взлома будут постепенно снижаться по мере того, как технологии биометрической идентификации будут становиться более развитыми, а распознавание данных станет максимально точным.
Для злоумышленника всегда проще атаковать человека, чем искать уязвимости в банковском приложении, поэтому человеческий фактор всегда остается главной проблемой безопасности, считает Забула.
Стоит ли прекратить использовать мобильный банкинг, чтобы защитить свои средства? Как утверждают эксперты, если использовать базовые меры предосторожности, то такие приложения не представляют существенной опасности. Применение двухфакторной аутентификации с использованием одноразового пароля обеспечивает одну из самых надежных систем аутентификации, считает директор практики информационной безопасности компании AT Consulting (входит в Лигу Цифровой Экономики) Тимурбулат Султангалиев.
«Пользователям стоит придерживаться следующих правил. Не повышать свои привилегии в операционной системе: jailbreak в iOS или root для Android. Не устанавливать приложения по ссылкам в СМС, мессенджерах и соцсетях. На мобильном устройстве использовать пин-код для разблокировки экрана и антивирусное ПО. Загрузку приложений осуществлять только из официальных магазинов Google Play и App Store. Своевременно устанавливать обновления операционной системы и мобильных приложений. На самом деле эти советы в той или иной мере универсальны для всех пользователей мобильных технологий», — заключил эксперт.
