Больше половины российских банковских приложений имеют критические уязвимости, выяснили эксперты ГК «Солар». Это означает, что хакеры в случае успешной атаки на сервис могут нанести существенный ущерб информационным активам компании, рассказали специалисты «РИА Новости».
По данным «Солара», у 20% проанализированных приложений зафиксирован низкий уровень защищенности, у 39% — средний. «Это означает, что больше половины приложений имеют уязвимости высокой или средней степени критичности. <…> Важно отметить, что в более 50% исследованных приложений была обнаружена хотя бы одна критическая уязвимость», — отметили исследователи.
Самая частая уязвимость — это проблемы с контролем доступа, из-за которой нелегитимный доступ к информации может получить и сотрудник, и злоумышленник. Например, отметили в компании, банковский сотрудник может воспользоваться данными о движениях счетов клиентов в преступных целях. Помимо этого, распространенной является XSS-уязвимость, позволяющая добавить вредоносный код в страницу сайта — например, посредством кражи cookies или перенаправления на фальшивый сайт.
Слабое шифрование и небезопасная обработка или хранение конфиденциальной информации — это третья по «популярности» уязвимость, рассказали аналитики. Речь идет о номерах кредитных карт, паролях или персональных данных клиентов. Взломщики могут использовать устаревшие протоколы или ненадежные алгоритмы для быстрого получения доступа к данным.
По данным центра противодействия кибератакам Solar JSOC, в третьем квартале минувшего года с компрометацией учетных записей сотрудников были связаны рекордные более 70% высококритичных случаев онлайн-мошенничества. Специалисты назвали одной из причин этого резкий рост атак через подбор логина к словарному паролю. Как отметил руководитель развития бизнеса ПО Solar app Screener Владимир Высоцкий, финансовые организации стали «рекордсменами» по числу утечек, опередив даже госсектор.
На фоне бурного роста киберпреступлений (МВД оценило ущерб россиян от действий кибермошенников в 2024 году в 200 млрд рублей) и объемов утекших в сеть данных россиян Центробанк будет ужесточать требования к банкам, считает доцент кафедры государственного и муниципального управления ГУУ Михаил Поляков. «Это может выражаться в более строгих нормах по информационной безопасности, обязательном тестировании на проникновение, регулярном аудите безопасности приложений, а также в финансовых санкциях за несоблюдение установленных стандартов, особенно в части контроля доступа и защиты от атак, направленных на взлом учетных записей сотрудников», — отметил он.
В самом ЦБ в декабре отчитались о рекордных суммах, украденных мошенниками. По данным регулятора, с июля по сентябрь 2024 года граждане России и бизнес из-за действий аферистов лишились 9,3 млрд рублей. Показатель «значительно превысил» средние значения за прошлый год, отметили в ЦБ. «При этом чуть больше 40% от этой суммы пришлось на онлайн-банкинг и переводы, хотя ранее самыми значительными были потери по операциям с использованием карт», — сообщили в регуляторе.
