По словам ведущего специалиста по тестированию на проникновение Bi.Zone Аркадия Литвиненко, одной из проблем банковских приложений является использование рассылки одноразовых паролей для входа в личный кабинет через SMS. Так, по поддельной доверенности и скану паспорта жертвы злоумышленник может получить дубликат SIM-карты. Кроме того, на рынке существует оборудование для перехвата SMS-сообщений.
Это не единственная проблема одноразовых паролей. Сейчас большинство банков использует для подтверждения операций коды из четырех цифр, и если пользователь трижды неверно вводит код, то операция блокируется. "Но можно перебирать трансакцию под пароль (например, 5555), то есть создать множество операций по списанию средств со счета клиента, при подборе 16 тыс. трансакций вероятность угадать пароль – 99%", – пояснил Литвиненко, отметив, что такую активность вокруг своего кабинета клиент банка, скорее всего, заметит.
Помимо этого, в Bi.Zone нашли в банковских приложениях ряд уязвимостей, которые были сделаны для комфорта клиентов. Так, основной пароль от банковского аккаунта достаточно длинный, и вводить его каждый раз при входе в мобильный банк неудобно. В связи с этим банки порой не ограничивают сессию клиента при входе в мобильный банк или делают ее очень долгой, что открывает хакерам возможности для получения доступа к аккаунту. Такое возможно, если жертва использует незащищенную сеть Wi-Fi.
Другая уязвимость заключается в том, что приложение мобильного банка может запоминать код на вход в приложение и вставлять его автоматически. В этом случае злоумышленники могут получить доступ к счетам путем взлома или кражи телефона. Даже если этот код не вставляется автоматически, то при наличии доступа к смартфону жертвы его можно подобрать.
По данным компании Positive Technologies, информация для взлома мобильных банков активно продается в даркнете. При этом средняя стоимость "входа" в мобильный банк составляет всего 22 доллара США.
В то же время эксперты отмечают, что доля систем дистанционного банковского обслуживания, в которых обнаруживаются опасные уязвимости, постоянно снижается. Если в 2015 году уязвимости высокого уровня риска содержались в 90% проанализированных систем, а в 2016 году – в 71%, а в прошлом году этот показатель снизился на 56%. Однако клиентам все равно стоит иметь представление о возможных рисках и принимать меры для защиты от них.
Напомним, на прошлой неделе в Positive Technologies сообщили, что большинство современных банкоматов уязвимо к хищению средств, а к утечке данных банковских карт клиентов уязвимы все банкоматы.