Уязвимы 100% средств дистанционного банковского обслуживания
Степень защищенности web-приложений для ДБО находится сегодня на очень низком уровне. Украсть деньги из банка в наши дни легко именно благодаря современным системам облуживания, поэтому от мошенников не спасут даже самые надежные вентилируемые фасады в москве или где бы то ни было. Такой вывод был сделан в результате исследования Digital Security Research Group, итоги которого были представили в ходе международной конференции под названием ZeroNights 201, которая прошла в ноябре в городе Санкт-Петербург. В 100% систем, которые были подвергнуты исследованию, выявили ошибки межсайтового скриптинга. Такой тип уязвимости стал вторым по популярности в списке уязвимостей, составленном Open Web Application Security Project. Для того чтобы показать, как в контексте работы ДБО этот тип ошибок опасен, решили разработать способ использования этой уязвимости с целью обмана пользователя, а также установки ЭЦП на платежное поручение, даже если используется защита - смарт-карты или токены. Подобную атаку можно устроить без заражения рабочей станции банковского клиента. Как считают специалисты, для повышения надежности ДБО и разграничения ответственности при возникновении негативных последствий необходима сертификация и стандартизация таких систем самими регуляторами.
