deni_didro (deni_didro) wrote,
deni_didro
deni_didro

Categories:
  • Mood:
  • Music:

Хакеры вскрыли корпоративные мобильные приложения банков.

Угрозам подчиняются только трусы.
И сдаются трусы. Такие, как вы…
(Ответ Сальвадора Альенде на ультиматум генерала Пиночета.)

Если постоянно делать добро из зла, то зла может не хватить…
(Мунован Муноди, консультант в светлом будущем по темному прошлому.)

«Слушая ораторов толпа забывает правду. Ее же можно лишь увидеть собственным глазами. Чем больше лжи уходит в толпу, тем быстрее она становится для нее правдой. Так следует превращать народ в стадо»
(Из наставления…)

Если добро не может победить, надо сделать так, чтоб победа досталась злу как можно дороже».
(Автор неизвестен.)

«Часто манипуляция остается единственно возможным средством для тех, кто не может чего-то добиться от кого-то, ни даже воспротивиться власти, которую имеет над ним другой человек».
(Р.В. Жуль и Ж.Л. Бовуа. Небольшой трактат о манипуляции для порядочных людей).



Мошенники начали применять приемы, отработанные на физлицах, к компаниям. ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение и рекомендовал проверить системы дистанционного банковского обслуживания. Если уязвимости обнаружатся в стандартном программном обеспечении, которое поставляется как «коробочное решение», под угрозой могут оказаться клиенты многих российских банков, подчеркивают эксперты.


Источник: Фотоархив ИД «Коммерсантъ».

Как стало известно «Ъ», в конце прошлой недели ЦБ разослал банкам предупреждение о схеме, с помощью которой мошенники похищали средства со счетов юрлиц, используя систему дистанционного банковского обслуживания (ДБО). Делал это авторизованный клиент банка путем подмены номера счета отправителя. В ЦБ отмечают высокий уровень подготовки атак: осведомленность атакующих в технологии ДБО на уровне разработчиков, а также в особенностях обработки платежей банком и в правилах и настройках антифрод-систем.

В документе подробно описывается схема инцидента, из которой следует, что атака была направлена на счета юрлиц, но никто не пострадал.


Мошенник зашел в мобильное приложение банка под легальным логином и паролем, перевел его в режим отладки, изучил порядок и структуру вызовов API (программный интерфейс приложения) ДБО. «Зная все необходимые параметры API-запросов, атакующий формирует распоряжение на перевод денежных средств, указывая в поле “Номер счета отправителя” счет жертвы», — поясняется в документе. Номера счетов жертв мошенники узнавали из открытых источников.

В Банке России отмечают участившиеся атаки на системы ДБО банков и в первую очередь на мобильные приложения. «Ввиду высокой вероятности повторения попыток реализации злоумышленниками таких сценариев атак мы ожидаем, что получатели бюллетеня проведут дополнительный контроль и соответствующие проверки применяемых систем ДБО», — говорится в документе.

Регулятор рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости.
В случае их выявления до момента устранения производителем следует обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учетной записи клиента, советует ЦБ.


Летом прошлого года регулятор описывал схожее мошенничество с подменой данных отправителя, но речь шла об атаке на счета физлиц, и вывод средств осуществлялся через СБП — систему быстрых платежей. В нынешнем случае потери могут быть гораздо серьезнее, поскольку лимиты на перевод средств юрлиц существенно выше, чем на переводы в СБП, да и суммы, находящиеся на счетах юрлиц, как правило, намного больше.

Глава службы информационной безопасности ГК «Элекснет» Иван Шубин подтверждает, что описанная в бюллетене схема до сих пор использовалась преимущественно при хищении средств физлиц, а не корпоративных клиентов, и в этом ее новизна. «Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой трансакции проводилась сверка расчетного счета клиента с его учетной записью», — поясняет эксперт.

По словам гендиректора SafeTech Дениса Калемберга, атака стала возможна в результате «грубейших нарушений принципов проектирования логики приложения», что сделало бесполезными все остальные средства защиты.
«Если эта система, в которой обнаружена уязвимость, является “коробочной”, то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков», — уверен он.

Консультант по интернет-безопасности компании Cisco Алексей Лукацкий добавляет, что безопасность API, с помощью которых взаимодействуют между собой приложения, особенно в условиях взрывного развития финтеха в России — одна из насущных задач, «которой, к сожалению, пока мало уделяют внимание в банковском сообществе». А вот злоумышленники, подчеркивает эксперт, явно «поняли всю перспективность атак на API и будут только наращивать свои возможности».




Взято из: https://news.mail.ru/incident/45223963/?frommail=1

deni_didro

Tags: Альтернатива., Афёры., Бизнес на крови., Кризис, Криминал., Курьёзы., Любопытно., Мифы и мифотворчество., Мифы истории. Новая история, Новейшая история. Бизнес на крови., Оккупация., Правда и мифы, Разруха., Тайны истории. Новая история, Угроза., история России.
Subscribe

promo deni_didro november 15, 2015 10:14 46
Buy for 100 tokens
По мере появления новых мыслей и афоризмов буду добавлять их в данную статью. Моей Родине, которой я хочу совершенно другую судьбу. У истории короткая память, но длинные руки. Те, кто делают историю, не задумываются, что её ещё предстоит написать. (Т. Абдрахманов.) От жажды умираю над…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 12 comments