ЦБ предупредил об уязвимости банковских приложений

полная версия на сайте

Банк России разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО).

Как уточняет «Коммерсантъ», по данным издания, мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки и изучил порядок и структуру вызовов API (программного интерфейса приложения) ДБО.

«Уязвимости, связанные с авторизацией в банковских приложениях, из-за которых возможны хищения средств клиентов, встречаются нередко, и не только в системах онлайн-банкинга», — цитирует РИА Новости комментарий руководителя отдела анализа защищенности веб-приложений Positive Technologies Ярослава Бабина.

Степень же риска пострадать от этой уязвимости, по его словам, зависит от конкретного места, где при разработке допущена ошибка. Например, если она в функциях смены PIN-кода, то атакующий сможет изменить PIN-код любой карты любого клиента банка. А если в функциях переводов, то перевести деньги можно будет с любого счета.

«Эта уязвимость специфична не только для систем онлайн-банкинга, она может встретиться в любом веб-приложении: социальной сети, мессенджерах, блогах и других сервисах. Однако критичнее всего, когда она встречается в системе дистанционного банковского обслуживания». — резюмировал эксперт.
Постоянный адрес новости: eadaily.com/ru/news/2021/02/15/cb-predupredil-ob-uyazvimosti-bankovskih-prilozheniy
Опубликовано 15 февраля 2021 в 12:50