Более половины приложений банков уязвимы к хищению средств клиентов
В 61% процентом приложений уровень защищенности определен как низкий или крайне низкий. Интересным отмечается тот пункт, что в 100% онлайн банк клиентах обнаружены нарушения, которые могут привести к краже данных клиента или банковской тайны.
Механизмы двухфакторной аутентификации недостаточно надежны. Недостатки реализации — обнаружены в 77% онлайн-банков.
Покупные решения более надежны. Решения, предлагаемые сторонними вендорами, содержат в 3 раза меньше уязвимостей, чем системы, разработанные банками самостоятельно.
Также на российском сегменте онлайн банков наблюдаются позитивные тенденции. Если в 2016 году 36% приложений имели критические уязвимости, то в 2018 — 15%. Однако, общий уровень информационной безопасности онлайн банков остается низким.
Мошеннические операции и кража денежных средств чаще всего возможны из-за ошибок в логике работы онлайн-банка. Например, многократное повторение так называемых атак на округление суммы денежных средств при конвертации валюты может привести к ощутимым для банка финансовым потерям. Уязвимость широко известна и существует из-за погрешности в округлении при конвертации из одной валюты в другую и обратно.
Проблема нарушения логики онлайн банков — одна из центральных. Частотность данной проблемы увеличилась в 5 раз по сравнению с предыдущим отчетным годом.
Число же среднеопасных уязвимостей в среднем на один банк удвоилось по сравнению с 2017 годом.
В соответствии с отчетом ФинЦЕРТ ЦБ, уязвимости дистанционного банковского обслуживания активно использовались злоумышленниками в 2018 году. Так, у корпоративных клиентов банков украли 1,47 млрд руб., было совершено 6,1 тыс. попыток хищений, при этом в 46% случаев хищение было совершено путем получения злоумышленниками доступа к системе ДБО. И в этом году тренд сохранится, считают в ЦБ.