Компания Digital Security провела исследование: российские банки совершенно напрасно подтверждают личность клиента по номеру телефона. Этим зачастую и пользуются мошенники, перевыпуская SIM-карты. Кроме того, в компании отметили, что приложения банков далеко не идеальны с точки зрения безопасности.
Новая схема банковского мошенничества через перевыпуск SIM-карты
Компания Digital Security, специализирующаяся на кибербезопасности, опубликовала результаты исследования. Оно было основано на взаимодействии операторов сотовой связи с 16 крупнейшими банками страны. Операторами выступили компании «большой четверки» — Вымпелком (торговая марка Билайн), МТС, МегаФон и Tele2. Исследование провели ведущие аналитики Егор Салтыков и Виктор Вуколов.
Более половины российских банков, 62%, для первичной идентификации личности полагаются исключительно на номер телефона, с которого клиент звонит в колл-центр. Получается, что, зная номер телефона жертвы, мошенники могут получить у банка конфиденциальные данные клиента или заблокировать его карты и счета. Симулировать звонок с мобильного номера несложно. Достаточно с помощью SIP-оператора подделать номер телефона (Caller ID), который и будет отображаться при звонке в колл-центр банка.
Значительно упрощает задачу злоумышленников то, что 68% банков не отслеживают, был ли перевыпуск SIM-карты клиента. Хакер может инициировать перевыпуск карты жертвы, номер телефона которой он знает. И с помощью этой карты реализовать преступную схему по выводу денежных средств жертвы. Потому что после перевыпуска снятие средств по-прежнему возможно.
В 18% банков России, используя лишь номер телефона, у злоумышленника есть возможность узнать баланс счета и сведения о последних операциях. А эта информация как нельзя кстати пригодится мошенникам для вывода средств со счета жертвы.
Безопасность банковских мобильных приложений
Также в исследовании Digital Security рассмотрели вопросы защищенности мобильных банковских приложений для iOS и Android. Приложения для исследования отбирали не только на «Топ 100 российских банков» от издания banki.ru. Но и на «народном» рейтинге самых популярных банковских приложений в магазинах App Store и Google Play.
Результаты, мягко говоря, не радуют. 18% из рассмотренных приложений от 16 ведущих банков не имеет второго фактора защиты для входа на платформах iOS и Android. Двухфакторная аутентификация отсутствует в трех из 16 случаев для обеих платформ. Это в то время, когда двухфакторная аутентификация уже не один год входит в перечень ключевых норм безопасности банковских приложений.
Вторым фактором аутентификации является SMS-код. И хотя его оптимальной длиной на сегодняшний день считается шесть символов, два банковских приложения используют пять символов, еще четыре — четыре символа.
Кроме того, семь из 16 приложений для платформы iOS раскрывают геопозицию пользователя. Причем в точности до координат — широту и долготу. На Android это делают четыре приложения.
Недостатки iOS приложений
Проблема в том, что большинство iOS приложений хранит конфиденциальные данные пользователей в хранилищах, откуда они могут быть извлечены хакерами. В двух приложениях для iOS сессию нельзя полностью завершить, шесть оставляют данные клиента в Keychain, специальном хранилище iOS для критичной информации. Семь — в памяти, 10 — в файлах, и 11 — в cookie.
Один API для iOS вообще использует небезопасное HTTP-соединение. 11 приложений для iOS поддерживают запуск на устройстве, пережившем Jailbreak, то есть принудительное повышение привилегий пользователя. Также есть остаточные явления периода разработки — 13 приложений содержат информацию о тестовом окружении.
13 из 16 приложений для iOS некорректно работают с Snapshot. При завершении сеанса они создают снимок экрана и хранят его до следующего. 10 из 16 приложений используют массив NSUserDefaults, который может содержать данные об учетной записи или банковской карте.
Недостатки Android приложений
У Android-приложений недостатков не меньше. Одно из 16 сохраняет пароль в файлах после завершения сессии. Пять приложений Android сохраняют все учетные данные клиента в памяти после завершения сессии. Шесть сохраняют в файлах пароль пользователя. Кроме того, четыре из исследуемых приложений допускают возможность утечки данных через Backup. 12 приложений не предупреждают о работе со скомпрометированным устройством, где реализован корневой доступ. Одно не использует проверку SSL Pinning, такое приложение не защищено от атаки типа «человек посередине».
Фото: Firestock