Как показало исследование Positive Technologies, две трети систем дистанционного банковского обслуживания можно взломать. Выяснилось, что злоумышленники могут получить доступ к ключевым компонентам каждой третьей системы ДБО, причем в ряде случаев возможен захват полного контроля над системой, что позволяет проводить в ней любые денежные операции и осуществлять атаки на смежные комплексы. Кроме того, 37% систем ДБО позволяют получить доступ к личным кабинетам отдельных клиентов и выполнять несанкционированные операции с их счетами.
Уязвимости высокой степени риска были выявлены в каждой второй системе ДБО. Но даже отсутствие критических недостатков вовсе не означает, что финансовые средства банка и его клиентов надежно защищены. Для несанкционированного проведения транзакций на уровне пользователя системы ДБО нарушителю достаточно использовать несколько отдельных уязвимостей средней степени риска (а такие недостатки защиты были обнаружены во всех рассмотренных системах).
Общая проблема рассмотренных систем заключается в непроработанном механизме аутентификации, в том числе в слабой парольной политике и недостаточной защите от подбора учетных данных. Подобным уязвимостям оказались подвержены 82% систем. Оценивая уязвимости систем ДБО различных производителей, эксперты Positive Technologies обнаружили, что наибольшее число критических ошибок содержится в продуктах известных вендоров. Системы, поставляемые профессиональными разработчиками, в среднем содержат почти в четыре раза больше уязвимостей на уровне кода приложения, чем продукты собственной разработки. Более того, критические уязвимости такого рода были обнаружены лишь в тиражируемых системах. Сложная архитектура, кроссплатформенность и большое количество функций не всегда позволяют вендору обеспечить должный уровень защищенности.
Аналитики отмечают две тенденции. Во-первых, банки ясно осознают реальность хакерских атак на системы ДБО и принимают соответствующие меры. Обычной практикой стало проведение оценки защищенности таких систем, по меньшей мере перед вводом их в эксплуатацию. При этом для систем, самостоятельно разрабатываемых банками, все более востребованным становится анализ исходных кодов.
Во-вторых, изменился характер уязвимостей, которыми могут воспользоваться злоумышленники. Разработчики более или менее научились не допускать уязвимостей, позволяющих получать непосредственный контроль над серверами систем ДБО, но по-прежнему допускают ошибки в реализации отдельных механизмов защиты. На сегодняшний день наиболее вероятный сценарий успешной атаки на серверную часть системы ДБО — получение доступа к учетным записям отдельных клиентов с использованием недостатков в механизмах идентификации и аутентификации, управления сессиями, словарных паролей и т.п. Создается впечатление, что разработчики опасаются чересчур усложнить пользовательский интерфейс, но в результате облегчают жизнь не только клиентам, но и преступникам.