Финансовая сфера

Банковское обозрение


  • Мошенники продолжают использовать уязвимости банковских приложений
21.01.2022

Мошенники продолжают использовать уязвимости банковских приложений

В 2021 году кредитно-финансовым организациям не удалось полностью избавиться от логических уязвимостей в мобильных банковских приложениях


В 2021 году, отмечают эксперты компании Positive Technologies, когда количество стандартных (XSS, SQLi, RCE) веб-уязвимостей сократилось, именно логические уязвимости использовались в самых популярных атаках на онлайн-банкинг. Тому есть простое объяснение. Кредитно-финансовые организации, которые развивают свои экосистемы, а также встраивают в системы мобильного банкинга голосовых помощников и чат-ботов, постоянно усложняют логику своих приложений. Из-за этого она не всегда корректно справляется с обработкой ошибок.

Согласно новому прогнозу, негативный тренд будет действовать и в наступившем году. Злоумышленники продолжат эксплуатировать логические уязвимости. Таким образом они смогут добиваться увеличения нагрузки на системы ДБО, чтобы вызвать отказ в обслуживании, или проводить атаки, влекущие за собой трудности использования личного кабинета определенными клиентами.

Похожая ситуация наблюдается и в мобильных приложениях для частных инвесторов, получивших большое распространение в 2021 году. По опыту компании Positive Technologies, такие приложения, подобно банковским, обладают защитой от стандартных атакующих векторов, но имеют недостатки безопасности в логических действиях системы. «Атаки на них могут привести к незаконному обогащению злоумышленников не только за счет пользователей, но и за счет банков: ошибки реализации маржинальной торговли могут привести к выводу маржинальных средств», — констатирует Александр Морозов, руководитель отдела тестирования на проникновение Positive Technologies.

Источник: «Банковское обозрение»