Треть банковских приложений уязвимы для мошенников
Для многих банков удобство использования приложения важнее безопасностиОколо трети (31%) банковских веб-приложений в России уязвимы для мошенников, сообщают в компании Positive Technologies, специализирующейся на решениях в сфере информационной безопасности. Злоумышленники могут узнавать суммы на счетах пользователей, смотреть выписки, видеть шаблоны операций и др.
Добытая информация чаще всего используется в мошеннических действиях с использованием социальной инженерии. «Если злоумышленник представится сотрудником банка и назовет ваш баланс или предыдущие операции, у вас ослабнет ощущение, что вас пытаются обмануть», – объясняет руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин. С ним соглашается Михаил Попов, основатель финтех-платформы Talkbank. «Мошенники используют эти данные, чтобы получить доверие клиента», – отмечает он.
По словам экспертов, ошибки в приложениях, ставящие под угрозу сохранность конфиденциальной информации, встречаются постоянно. В частности, это проблемы, связанные с недостаточной авторизацией. «Найти и определить подобные уязвимости намного сложнее, чем обнаружить типовые недостатки веб-приложений», – подчеркивает Бабин.
В то же время Попов обращает внимание, что чем сложнее путь авторизации для клиента, тем маловероятнее, что клиент будет пользоваться этим сервисом, а то и запишет все данные на листочке и его еще легче будет ограбить. Эффективное решение этой дилеммы, на его взгляд, заключается в использовании для авторизации биометрии.
Сегодня в любой финансовой организации постоянно происходит спор между сотрудниками службы безопасности, рекомендующими требовать авторизацию для каждого действия, и экспертами клиентского сервиса, которые работают над повышением удобства для пользователей, отмечает ведущий эксперт «Лаборатории Касперского» Сергей Голованов.
«Чтобы позиции обеих сторон были учтены, в современных крупных банках внедряются комплексные антифрод-системы, – рассказывает он. – Они помогают выявить подозрительную активность по множеству параметров, например информации об устройстве пользователя, поведении, IP. Подобные решения помогают существенно снизить риски и обеспечить комфорт для клиента».
Впрочем, с риском похищения конфиденциальной информации связано использование любых сервисов, подчеркивает Бабин, «если компания недостаточно беспокоится об информационной безопасности своих систем, работающих с пользовательскими данными». Попов указывает, что время от времени даже крупные компании проявляют халатность и хранят данные в незашифрованном виде, что приводит к утечкам.
«Большинство утечек происходят изнутри, когда сотрудники «сливают» персональные данные пользователей сервиса», – добавляет Виктор Гулевич, директор департамента систем безопасности компании BSS. Эта проблема остается нерешенной, хотя, как отмечает Попов, в последнее время компании быстрее реагируют на такие утечки и блокируют их. «Сейчас таких случаев действительно становится меньше, а стоимость подобных «услуг» на специализированных форумах выросла», – подтверждает Голованов.