В больше чем половине российских онлайн-банков есть такие уязвимости, которыми могут воспользоваться мошенники для кражи денег клиентов. К такому выводу пришли специалисты Positive Technologies, занимающиеся анализом веб-приложений дистанционного банковского обслуживания, пишет «Коммерсантъ».

Эксперты назвали уровень защищенности 61% из банков в России «низким или крайне низким» и призвали руководство кредитных организаций пересмотреть подход к безопасности. В 54% из нашли лазейки для хищения денег клиентов.

Среди одной из наиболее серьезных уязвимостей значится доступ к информации клиента и к банковской тайне, которая есть у 100% обследованных банков. То есть злоумышленники могут узнать номера карт, просмотреть шаблоны или даже отредактировать их. Как пояснил руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин, если, например, россиянин настроил автоплатеж, то его легко можно подменить другим номером мобильного телефона.

Еще одна серьезная уязвимость — двухфакторная аутентификация, которая в 77% банков не требуется при операциях повышенной важности, среди них могут быть переводы по банковским реквизитам, отправка данных виртуальной карты и проч. Также опасным трендом является нарушение логики работы приложений, выявленное в 31% банков. «Она позволяет злоумышленнику обойти правила приложения», — отметил Бабин. То есть, к примеру, ошибка позволяет мошенникам переходить к переводу денег на другой счет без процесса подтверждения трансакции с помощью одноразового пароля. Иногда они могут переводить деньги с рублевого счета на долларовый по курсу 1 к 1.

Резюмируя, Positive Technologies подчеркивает, что уязвимостей в продаваемых на рынке готовых онлайн-банках в три раза меньше, чем в самописных продуктах.