Мобильный банкинг/Bankinfosecurity.com
Мобильный банкинг/Bankinfosecurity.com

В ходе конференции OFFZONE 2018 ведущий специалист «дочки» Сбербанка Bi.Zone Аркадий Литвиненко назвал получение разового кода подтверждения по смс наиболее уязвимым звеном в системе аутентификации клиента мобильного банкинга, пишет «Коммерсантъ». Мошенники могут завладеть фиктивной доверенностью и сканированным изображением паспорта реального владельца карты, а могут оформить и ее дубликат. Вдобавок, к услугам хакеров – недорогая аппаратура для перехвата текстовых сообщений, которую можно приобрести за $700.

В большинстве банков для подтверждения транзакций используют двухфакторную авторизацию, при которой клиент банка получает по смс одноразовый пароль из четырех цифр для подтверждения операции.

«Можно перебирать транзакцию под пароль (например, 5555), то есть создать множество операций по списанию средств со счета клиента, при подборе 16 тысяч транзакций вероятность угадать пароль — 99%», — отметил Литвиненко. Разумеется, клиент банка может не заметить 16 000 смс от банка с одноразовым паролем только ночью или в отпуске, когда не пользуется телефоном постоянно, но и такое не исключено, а компьютерные системы подбора пароля с этим довольно быстро справляются.

Доля систем дистанционного банковского обслуживания с критически опасными уязвимостями снижается с каждым годом. В 2015 году критические бреши находили в 90% проанализированных систем, в 2016 году — в 71%, а по итогам 2017 г. они обнаруживались только в 56%, указывают в Positive Technologies. Однако и хакеры на месте не сидят и развивают свои средства проникновения в бурно развивающийся рынок онлайнового банкинга.