Более половины онлайн-версий российских банков имеют уязвимость безопасности, а защита 61 % из них оценивается как низкая или крайне низкая. Это означает, что многие клиенты банков фактически не защищены от мошеннических действий. Об этом сегодня со ссылкой на экспертное исследование пишет «Коммерсант». О том, действительно ли все так плохо, как описывает пресса, и как клиентам защититься от мошенников, «ФедералПресс» рассказал руководитель отдела аналитики компании «СерчИнформ» Алексей Парфентьев:
«Цифры выглядят правдоподобно. Но я бы не стал нагнетать ситуацию, она не критическая, потому что если посмотреть на самые распространенные угрозы, описанные в исследовании, они относятся к тем, которые трудно реализовать. Например, перехват трафика. Этот риск действительно не закрыт, но реализовать такую атаку технически сложно – нужно физическое подключение, и если такая атака и будет произведена, то точечно, не массово. Уязвимости, которые можно использовать для массовых атак, экспертами тоже выявлены, но, как видим, они выявляются реже. Это недостатки авторизации и межсайтовое выполнение сценариев. По некоторым уязвимостям ситуация в 2019 году ухудшилась, это вызывает справедливую тревогу у экспертов.
В то же время нужно понимать, что это плата за реализацию потребностей рынка: клиенты хотят больше удобства и больше возможностей для совершения онлайн-операций. Так что банки идут на повышение рисков сознательно, взвешивая вероятность атаки и потенциальную выгоду от того, что они быстрее реализуют новую возможность в своем финансовом продукте. Понятно, что если они выпустят приложение на 3 месяца раньше и не закроют какую-то сложно реализуемую уязвимость, то заработают за этот срок больше денег и нивелируют ущерб от возможных мошеннических действий.
Мошенников интересует всего два вида информации: платежные данные (номер карты, CV-код, ФИО – все, что нужно для совершения платежа онлайн) и авторизационные данные.
Веб-приложения защищены менее качественно, чем мобильные. Но насколько просто эти данные похитить, будет очень сильно зависеть от ситуации. Если пользователь проявляет бдительность, похитить данные довольно сложно: не «ведется» на социнженерию, проверяет, загружает ли официальное приложение банка, просматривает логи входов в банкинг (с каких устройств производились входы, какие производились операции и пр.) – этого бывает достаточно, чтобы минимизировать риск. Если пользователь пренебрегает нормами безопасности, это многократно повышает риск.
Главная рекомендация – использовать все предлагаемые банком меры защиты, не отключать их. Перед установкой важно удостовериться, что приложение – оригинал, то есть действительно разработано банком, а сайт – не фишинговый. При любом сомнении обращайтесь за консультацией в банк по телефону, указанному на карте.
Один из вопросов безопасности касается интеграции с другими приложениями. Во многих сервисах реализована возможность сквозной оплаты по PayPass через смартфон или «умные» часы. Но это значит, что пользователь автоматически открывает доступ к платежным данным сторонним разработчикам. Так что стоит обращать внимание, что за сервис воспользуется этой возможностью.
При работе в «личном кабинете» на сайте банка самым уязвимым местом становится подключение, этот канал должен быть зашифрован. Если вы заходите на сайт банка, а браузер сообщает, что соединение небезопасно, – это однозначный сигнал об опасности. Само устройство, которое используется для доступа в онлайн-банкинг, должно быть защищено актуальными антивирусными программами, блокировками. Если гаджет заражен или кто-то получает к нему несанкционированный доступ, платежные данные оказываются под угрозой.
Ну, и нельзя забывать, что аппаратные инструменты оказываются бесполезными, когда человек сам делится своей платежной информацией. Самая распространенная мошенническая схема в сфере финансов – фишинг: злоумышленникам проще обманом выманить нужные данные у человека (через почту или по телефону), чем разрабатывать и внедрять вредоносное ПО.Вообще внутренние риски необоснованно исключены из исследования, ведь на практике мы видим, что самые громкие случаи – это не хакерские действия извне, а инсайдерская активность внутри банков».
Фото: ФедералПресс / Евгений Поторочин