1. iOS vs Android
2. В чому причина?
3. Чи безпечний онлайн-банк?
4. Як змінити ситуацію на краще?

Мобільний банківський додаток це зручно: не треба відвідувати відділення кредитної організації або відкривати її сайт для оплати послуг ЖКГ, поповнення мобільного телефону, переказу грошей одному і інших операцій. Мобільними банками на своїх смартфонах користуються вже близько одного мільйона білорусів.

Але як йдуть справи з реальною безпекою подібного софта? Про захищеності банківських мобільних додатків розповідає старший експерт відділу досліджень безпеки банківських систем компанії Positive Technologies Ярослав Бабин.

У 2017 році ми досліджували захищеність мобільних фінансових додатків різних кредитних організацій. О пів на (52%) мобільних банків були виявлені вразливості, що дозволяють розшифрувати, перехопити, підібрати облікові дані для доступу в мобільний додаток або зовсім обійти процес аутентифікації користувача.

У таких додатках зловмисник може здійснювати операції в мобільному банку від імені його користувача. Або атакувати весь банк: в 13% мобільних додатків нам зустрілася вразливість, експлуатація якої дозволяє потрапити в саме серце організації і отримати повний контроль над сервером, що відповідає за дистанційне банківське обслуговування. Подібні дії можуть привести до істотних фінансових і репутаційних втрат банку.

iOS vs Android

iOS-додатки (що встановлюються на Apple iPhone або iPad) знову опинилися захищені краще, ніж їх аналоги для Android. Практично для всіх розглянутих мобільних банків наші експерти досліджували ідентичні додатки, розроблені для різних операційних систем, і в деяких випадках мобільний додаток для iOS не містило вразливостей, які були виявлені в Android-додатку. Частка вразливостей високого рівня ризику в iOS-додатках склала всього 25%, в той час як в Android-додатках вона становить 56%. Кожна така вразливість може надати зловмисникові конфіденційну інформацію, за допомогою якої він надалі зможе провести атаку на користувача і вкрасти гроші.

Читача подібні цифри можуть неприємно здивувати, але ми займаємося аналізом захищеності не перший рік і повинні відзначити позитивний тренд. За рік знизилися частки вразливостей високого (29% замість 32% в 2016 році) і середнього рівня ризику (56% замість 60%). Розробники фінансових додатків прагнуть в першу чергу вживати заходів для усунення критично небезпечних вразливостей. Але попереду у них ще багато роботи: в половині систем (48%) була виявлена ​​хоча б одна критично небезпечна уразливість.

В чому причина?

Одна з причин, чому помилок настільки багато, полягає в інтенсивному нарощуванні банками нового функціоналу в додатках. Регулярні оновлення розробниками готуються в стислі терміни: головне, що все «їстівне» з точки зору працездатності, на безпеку дивляться в другу чергу. Крім того, як говорив експерт з інформаційної безпеки і технічний директор Cinta Infinita Густаво Сорондо на форумі з кібербезпеки PHDays 8, в плані захищеності мобільні додатки відстають від сайтів на 10 років, - і тут не посперечаєшся. На ринку мобільних додатків не вистачає грамотних рішень для безпечної розробки, автоматизації тестування на проникнення і аналізу захищеності.

Чи безпечний онлайн-банк?

Класичні системи онлайн-банкінгу, які ми відкриваємо в браузерах, теж небезгрішні. Критично небезпечні недоліки були відсутні тільки в третини онлайн-банків, досліджених нами.

Але це великий прогрес: роком раніше по-справжньому небезпечні уразливості були у всіх досліджених нами фінансових веб-додатках, крім одного. Більше половини онлайн-банків (63%) містили вразливість високого рівня ризику, яка дозволяє зловмисникові отримати несанкціонований доступ до функцій веб-додатки. Крім того, уразливості в 94% онлайн-банків могли бути використані зловмисниками для доступу до відомостей, що становлять банківську таємницю клієнтів, і особистої інформації.

В цілому банки виводять на ринок все менше відверто небезпечних систем. Сумарна частка систем дистанційного банківського обслуговування з критично небезпечними уразливими знижується з кожним роком. Якщо в 2015 році уразливості високого рівня ризику містилися в 90% проаналізованих систем, то в 2016 році - в 71%, а в 2017-му вже тільки в 56%. Але це теж немало.

Як змінити ситуацію на краще?

У приватних користувачів, на жаль, мало можливостей вплинути на захищеність мобільних і онлайн-банків. З цієї причини варто дотримуватися типового набору «напоминалок». По-перше, своєчасно оновлювати ПО як комп'ютері, так і на всіх мобільних пристроях. По-друге, встановлювати мобільні додатки тільки по посиланнях з офіційних банківських сайтів.

Також підключити SMS-оповіщення про транзакції. Це дозволить контролювати списання коштів з рахунку. Варто критично ставиться до звернень з банку, надісланим електронною поштою і SMS - вони теж легко можуть бути підроблені - і навіть дзвінків по телефону, так як вони можуть бути здійснені зловмисниками. Пам'ятайте, що представники банків не можуть звертатися PIN-код карти користувача.

Звертаючись до банків, раджу крім аналізу захищеності мобільних і веб-додатків не забувати про аналіз вихідного коду додатків. Аналізувати код необхідно і в системах, побудованих на базі готових вендорськіх рішень: уразливості можуть виникати в процесі впровадження та налаштування. До випуску виправлень рекомендую використовувати систему превентивного контролю (web application firewall). А після усунення важливо перевіряти ефективність вжитих заходів.

Довідково

Користувачів банків часто атакують за допомогою прийомів соціальної інженерії - саме цей метод атаки зловмисник може тиражувати, а значить зробити більш прибутковим. Основною метою соціальної інженерії є отримання доступу до конфіденційної інформації, паролів, банківських даних або у внутрішню інфраструктуру компанії.

За нашими даними, 27% співробітників, досліджених нами компаній, перейшли за фішинговою посиланням на підроблений ресурс. У реальному житті цей крок міг призвести до зараження комп'ютера шкідливим програмним забезпеченням. При цьому сам співробітник навіть не помітить, що зловмисник вже влаштувався в його комп'ютері.