Эксперты нашли серьезные уязвимости в мобильных банкингах

В ситуации разбирались специалисты компании Positive Technologies. Они отмечают, что ни одно из исследованных мобильных банковских приложений не обладает приемлемым уровнем защиты. А под угрозой взлома оказались как клиентская часть, так и серверная. Для клиентской части приложений основную проблему представляет возможный доступ к данным пользователей: 43% приложений хранят важные данные на мобильном устройстве в открытом виде. При этом 76% уязвимостей можно использовать без физического доступа к устройству, а более трети не требуют для доступа прав администратора.

Еще одна интересная статистика: уязвимости на операционной системе iOS были не выше среднего уровня риска, в то время как 29% приложений для Android содержали уязвимости высокого уровня риска. Эксперты связывают это с тем, что разработчики Android-приложений имеют больше возможностей для реализации функционала. 

Анализ показал, что более половины всех уязвимостей содержатся в серверных частях мобильного банка. Как правило, в каждом мобильном банкинге эксперты нашли в среднем по 23 уязвимости. При этом три из семи серверных частей приложений содержат ошибки бизнес-логики. Этими ошибками могут воспользоваться злоумышленники, например, для совершения мошеннических операций или получения личных данных пользователя. 

– Несанкционированный доступ к приложению, как правило, вызван недостатками аутентификации или авторизации. Наше исследование показало, что учетные записи пользователей мобильных банков доступны злоумышленникам в пяти из семи серверных частей. Среди информации, доступной нарушителю: имена и фамилии пользователей, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона, – рассказали аналитики. 

В конце исследования банкам даются рекомендации уделять больше внимания вопросам безопасности как на этапе проектирования мобильных приложений, так и на стадии разработки. 

Также некоторые пункты относятся и к пользователям мобильных банкингов. Так, не стоит повышать привилегии в ОС до административных, следует устанавливать приложения только из официальных магазинов, не нужно посещать подозрительные сайты и переходить по ссылкам из мессенджеров или SMS, а также не забывать об обновлениях.

О чем еще стоит знать интернет-пользователям? 

Злоумышленники эксплуатируют названия сервисов для онлайн-конференций. Такой информацией поделилась “Лаборатория Касперского”. Эксперты нашли более тысячи файлов с нежелательными приложениями и даже вредоносным кодом, в которых использовались названия популярных сервисов для организации интернет-конференций. Злоумышленники эксплуатировали названия Zoom, Webex, Slack и другие.

– Платформы для онлайн-конференций сейчас приобрели большую популярность в мире, ими пользуются в больших и маленьких компаниях для организации видеоконференций, к ним обращаются рядовые пользователи, чтобы пообщаться с друзьями и родными, поэтому не можем исключать, что количество вредоносных файлов, которые эксплуатируют названия таких сервисов, в ближайшем будущем будет расти. Пользователям и сотрудникам организаций стоит быть предельно внимательными, чтобы в погоне за удобным инструментом не столкнуться с киберзлоумышленниками, — прокомментировали специалисты по безопасности.

В результате скачивания вредоносного файла личные данные человека оказывались на серверах третьих лиц. Причем объем данных, которые собирают такие программы, действительно разнообразен: предпочтения пользователей, история поиска, геолокация и многое другое. 

Коронавирус – повод проявить бдительность

Пандемия коронавируса заставила злоумышленников переориентироваться. Уже в марте пользователи сети столкнулись с “очень секретной и важной информацией” о коронавирусе, которую якобы рассылала Всемирная организация здравоохранения. Как только пользователь переходил на страницу и совершал там нужные действия, его личные и платежные данные оказывались в руках хакеров. 

Чуть позже под прицелом хакеров оказались сотрудники, которые перешли на удаленный формат работы. В случае успешной атаки злоумышленники получали доступ к компьютеру: могли удалить и устанавливать программы, создавать новые учетные записи, читать и редактировать конфиденциальную информацию. 

Эксперты рекомендуют не переходить по сомнительным ссылкам, а тем более, не вводить свои платежные данные на сайтах, которые вызывают у вас сомнения. 

Дмитрий КУЛЬБАЦКИЙ 

Фото из открытых интернет-источников