В 2016 году на 8% выросло количество критически опасных уязвимостей и на 18% – уязвимостей среднего уровня опасности банковских систем (мобильных банков, онлайн-приложений и систем автоматизированного банкинга). Самыми распространенными являются уязвимости, связанные с недостатками процедур идентификации, аутентификации и авторизации, сообщают такие данные исследования.
Самыми уязвимыми оказались автоматизированные банковские системы. Хотя они обычно считаются недоступными для внешних злоумышленников, две трети уязвимостей, выявленных в АБС, оказались критически опасными, включая такие, которые позволяют получить доступ к серверу, отмечается в исследовании.
Такие финансовые приложения, как мобильный банк и онлайн-банк, показали более низкий уровень уязвимости. Так, в 36% онлайн-банков исследование выявило слабые места, которые могли создать условия для хищения денег. Главная проблема – отсутствие или существенные недостатки двухфакторной аутентификации (генерация одноразового пароля на стороне клиента, ограничение попыток ввода пароля или ограничение времени жизни пароля).
В случае с мобильными банками критически опасные уязвимости были выявлены в 32% систем. Основные проблемы в них связаны с хранением и передачей информации, что несет риск перехвата или подбора мошенниками данных для доступа. При этом больше рисков на стороне банков: серверные части мобильных банков защищены хуже клиентских, уязвимости высокой степени были найдены в каждой серверной системе.
По прогнозам экспертов, в 2017 году нас ждет на 30% больше инцидентов с нарушениями информационной безопасности в финансовой сфере.
Эксперты признают, что исследование в целом отражает ситуацию с уязвимостью банковских систем, хотя и не является бесспорным.
Нет оснований не доверять, но необходимо понимать: поиск уязвимостей – это вечная тема, одни выявляются, но создаются новые. Не все уязвимости критичны и опасны, часть их находится в столь неудобных для хакеров местах, что мошенникам просто неинтересно их использовать.
Банки в связи с этим призывают не паниковать. Тот факт, что выявлены уязвимости, не говорит о том, что ими легко воспользоваться – в противном случае хакеры давно уже вывели бы средства клиентов из уязвимых банков. Если клиент банка соблюдает элементарные правила безопасности – не ходит по сомнительным сайтам, не устанавливает неясные программы на телефон и имеет хорошую антивирусную программу – он достаточно защищен. Уязвимости в мобильном банке или же онлайн-банке далеко не всегда ведут к хищению средств конкретного клиента.