В феврале первый замглавы департамента информбезопасности ЦБ РФ Артем Сычев сообщал в интервью РИА Новости, что регулятор в прошлом году зафиксировал случаи, когда злоумышленники нащупывали слабые места в программном обеспечении, "которое находится между банком и клиентом".
По словам ведущего эксперта "Лаборатории Касперского" Сергея Голованова, речь идет о приложениях или личных кабинетах на сайтах для использования интернет-банкинга, а также сервисах для перевода средств с карты на карту. Уязвимости могут быть самые разнообразные, но наиболее опасные – связанные с недостаточной авторизацией или аутентификацией, указал эксперт.
Руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин согласился с коллегой. Данная уязвимость приводит к тому, что злоумышленники легко могут узнать некоторую информацию из личных кабинетов в онлайн-банкинге: сумму вкладов, траты, паспортные данные, отметил он.
"Вторая по популярности проблема — это возможность проведения атак на клиентов (36%), что может позволить получить доступ в ваш личный кабинет, а при совокупности разных уязвимостей — даже вывести деньги", - заявил эксперт.
Причины появления таких уязвимостей – это спешка, отсутствие принципов безопасной разработки, и отсутствие профессионального и качественного аудита приложений и протоколов общения до ввода его в эксплуатацию, говорит замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.
Вместе с тем Голованов из "Лаборатории Касперского" добавил, что реальных инцидентов, когда злоумышленники пользовались такими "слабостями" в ПО, немного. "Зачастую злоумышленникам проще выманить необходимую для перевода информацию с помощью социальной инженерии", - заключил эксперт.