Эксперты выявили дыры в системах безопасности приложений казахстанских банков

Компания "Делойт" проанализировала сайты и мобильные приложения 24 казахстанских банков на предмет их кибербезопасности.

Компания исследовала десять направлений: доступность сайтов, репутация домена, заголовки HTTP, защита трафика, утечка адресов электронной почты, открытые порты, киберсквоттинг, выполнение требований по защите персональных данных, безопасность почтового сервера, безопасность мобильного банкинга.

Если защита сайтов была одобрена (не по всем пунктам) "Делойтом", то большинство банков не прошло проверку мобильных устройств.

"Результаты нашего поверхностного исследования мобильных приложений казахстанских банков указывают на то, что вопросам защиты и безопасности уделяется недостаточно внимания, – говорится в исследовании. – Такое положение дел может впоследствии открыть прямой путь к организации целенаправленных кибератак как на отдельных клиентов, так и на банки в целом".

Анализ продемонстрировал, что больше четверти (26%) казахстанских банков не применяют SSL pinning. Клиенты, пользуясь мобильными приложениями, соединяются с веб-приложением банка посредством интернета. SSL Pinning защищает подобное соединение. SSL-соединение по протоколу HTTPS позволяет клиенту банка проверить сертификат сервера и избежать установки небезопасного сертификата. 

Примечательно, что 84% банков Казахстана не защищены от Snapshot – моментальных снимков экрана. Вредоносные программы способны собрать скриншоты фоновых приложений и передать их злоумышленнику.

Для защиты от взлома мобильного устройства через приложение используется множество методов. "Делойт" проанализировал мобильные приложения по следующим пунктам:

1) реализация механизма обнаружения запуска мобильного устройства с привилегированным доступом (root detection);
2) проверка вероятности запуска программы на виртуальном устройстве (проверка запуска только на базе архитектуры ARM).

В итоге выяснилось, что 63% приложений не использует защитные механизмы.

"Эксперты рекомендуют разработчикам банковских мобильных приложений, помимо реализации базовых и расширенных механизмов защиты, уделить особое внимание вопросам безопасности бэкенд-серверов и защиты передаваемых данных между приложением и сервером", – значится в исследовании.

Исследование сайтов тоже не продемонстрировало радужных результатов: 58% сайтов не защищены от фишинга (использование основного домена банка для загрузки вируса), 65% банков не соответствуют GDPR (постановление ЕС о защите данных и конфиденциальности), большинство банков закрывают глаза на заголовки HTTP, что делает уязвимым кибербезопасность.

Детальная информация с результатами исследования была предоставлена Агентству Республики Казахстан по регулированию и развитию финансового рынка. К моменту публикации отчета агентство провело разъяснительную работу с банками о необходимости устранения выявленных недостатков.

---

Читайте также:

• США выделяют 2,3 млн долларов на внедрения сервисной полиции и борьбу с киберпреступностью в Казахстане
• На портал электронного правительства совершили кибератаку
• Акции сервиса такси DiDi упали на 5,3% в ответ на расследование рисков кибербезопасности

---