Как пропадают деньги в интернет-банке

Привлекательный внешне и удобный в использовании онлайн-банк совсем не означает, что проводить в нем операции безопасно. Эксперты компании Positive Technologies выявили много уязвимостей в отечественных банковских системах. Каковы основные опасности, и как клиент может снизить риск – в нашем материале.

Недостатки процесса авторизации в мобильных и интернет-банках позволяют проводить мошеннические транзакции, а то и вовсе получить преступнику полный контроль над системой. Такие вывод озвучили эксперты компании Positive Technologies, изучив уязвимости 28 систем дистанционного банковского обслуживания (ДБО) физических и юридических лиц.

Предсказуемость идентификатора учетной записи – самый распространенный недостаток (выявлен в 64% систем). Зная несколько существующих в системе идентификаторов, мошенник может легко подобрать нужный пароль.

Клиентское ПО для Android более уязвимо по сравнению с приложениями для iOS. В частности, критически опасные уязвимости содержатся в 70% приложений для Android и в 50% приложений для iOS (по данным Positive Technologies).

Атаки на сессии пользователей – также весьма распространенная опасность. К такого рода уязвимостям относят некорректное завершение сессий, неправильную настройку cookie-параметров, отсутствие привязки сессии к IP-адресу клиента и прочее. При успешной атаке злоумышленник может перехватить доступ к личному кабинету пользователя со всеми его правами.

«Межсайтовое выполнение сценариев» выявлено более чем в половине систем ДБО (54%). Оно опасно тем, что если клиент банка перейдет по вредоносной ссылке, мошенник может получить доступ к ДБО со всеми привилегиями клиента.

Уязвимость внедрения внешних сущностей XML обнаружено в 46% систем. Аферист может получить доступ к файлам, хранящимся на незащищенном сервере и вызвать сбой в работе всего интернет-банка.

Что интересно, эксперты обнаружили и ряд недостатков на уровне логики. Например, возможность атак при неправильном округлении чисел. «Скажем, злоумышленник переводит 0,29 рубля в доллары США. При стоимости одного доллара в 60 рублей, сумма в 0,29 рубля соответствует 0,00483333333333333333333333333333 доллара. Данная сумма будет округлена до двух знаков после запятой, то есть до 0,01 доллара (один цент). Затем злоумышленник переводит 0,01 доллара обратно в рубли и получает 0,60 рубля. Таким образом злоумышленник «выигрывает» 0,31 рубля. В результате автоматизации данной процедуры, учитывая отсутствие ограничений по количеству транзакций в сутки и минимальному размеру транзакции, в ряде случаев злоумышленник может получать неограниченные суммы денежных средств», – говорится в исследовании.

Специалисты банков советуют клиентам соблюдать определенную технику безопасности при работе по дистанционным каналам обслуживания.

1. Установить и обновлять антивирус на компьютере. Это обезопасит от вредоносных программ, перехватывающих данные, которые вводит клиент.

2. Никому не сообщать конфиденциальные данные:

• логин и пароль для входа в «Интернет-банк» и «Мобильный банк»;

• номер банковской карты, срок окончания действия карты, ПИН-код, а также код CVV (3 цифры на обратной стороне карты).

3. Выбирайте пароли со сложными буквенно-цифровыми комбинациями и сменой регистра. При этом пароли от разных ресурсов должны различаться.

4. Проверять адрес «Интернет-банка». Не заходить по ссылкам, которые получены по почте или SMS.

5. Не использовать для входа в интернет-банк общественные компьютеры и беспроводные сети.