Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker

Dark-forum

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Dark-forum » Новости » «Дыры» в электронном банкинге: как у вас украдут деньги


«Дыры» в электронном банкинге: как у вас украдут деньги

Сообщений 1 страница 20 из 498

1

Эксперты Positive Technologies подвели итоги анализа защищенности систем дистанционного банковского обслуживания многих российских банков, проведенного за два последних года. Всего они исследовали 28 систем дистанционного банковского обслуживания для физических и юридических лиц.

По данным Positive Technologies, высокий уровень риска присвоен 44% обнаруженных уязвимостей. Эти уязвимости позволяют «сливать» конфиденциальные данные с 89% исследованных систем ДБО и красть денежные средства на 46% систем.
Уязвимости идентификаторов учетных записей были обнаружены в 64% систем. Предсказуемость формата идентификатора учетной записи (имени пользователя) позволяет достаточно легко подобрать нужный ему идентификатор. Хуже того, 32% исследованных систем в ответ на специальным образом сформированные запросы выдают сведения о существующих учетных записях. Само по себе знание идентификаторов ничего не дает злоумышленнику, но это отправная точка для подбора пароля.
Межсайтовое выполнение сценариев опасно для 54% систем ДБО. Перейдя на сайт своего интернет-банка по подсунутой ему ссылке, пользователь попадет куда надо и сможет вполне безопасно проводить финансовые операции. Но при этом в его браузере будет работать код, загруженный с вредоносного сайта. В результате злоумышленник получает доступ к ДБО под видом данного клиента.
Уязвимости сессий клиента также были выявлены в 54% случаев. Некорректное завершение сессии, некорректная настройка cookie, отсутствие привязки сессии к IP-адресу клиента и т. д. позволяют хакеру «подхватить» сессию уже отключившегося клиента и продолжить работу, выдав себя за него.
Уязвимость внедрения внешних сущностей XML найдена на 46% систем. С их помощью злоумышленник может получить содержимое файлов, хранящихся на сервере ДБО, и вызвать состояние отказа в обслуживании – фактически «поломать» на какое-то время интернет-банк.
Недостаточно строгая реализация аутентификации обнаружена в 58% систем. К этому виду уязвимости отнесены слабая парольная политика, недостаточная защита от подбора учетных данных, возможность обхода механизма CAPTCHA или отсутствие обязательной двухфакторной аутентификации при входе в личный кабинет. Все это облегчает работу киберпреступников.
Различные недостатки авторизации и защиты трансакции выявлены в 79% исследованных систем ДБО. При этом в 42% случаев они дают возможность получения несанкционированного доступа к данным пользователей, а в 13% систем злоумышленник имел возможность осуществлять банковские операции от лица легитимных пользователей. И лишь в 21% систем таких уязвимостей выявлено не было.

73595_11.jpg
========
Специалисты описали одну интересную уязвимость на уровне логики, обнаруженную в ряде систем. Уязвимость заключается в некорректном применении алгоритмов округления чисел: скажем, злоумышленник переводит 0,29 рубля в доллары США. При стоимости одного доллара в 60 рублей сумма в 0,29 рубля соответствует 0,00483333333333333333333333333333 доллара. Данная сумма будет округлена до двух знаков после запятой, то есть до 0,01 доллара (один цент). Затем злоумышленник переводит 0,01 доллара обратно в рубли и получает 0,60 рублей. Таким образом, злоумышленник «выигрывает» 0,31 рубля. Сумма, казалось бы, незначительная, но ведь эти действия легко автоматизируются, что позволяет «заработать» весьма существенные деньги.
========

2

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

3

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

4

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

5

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

6

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

7

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

8

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

9

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

10

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

11

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

12

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

13

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

14

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

15

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

16

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

17

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

18

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

19

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

20

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.


Вы здесь » Dark-forum » Новости » «Дыры» в электронном банкинге: как у вас украдут деньги


Рейтинг форумов | Создать форум бесплатно