В исследовании отмечается, что популярность электронных финансовых инструментов в России за последний год заметно выросла благодаря развитию бесконтактных систем оплаты: к уже привычным PayPass и payWave присоединились технологии NFC-платежей с помощью смартфонов — Apple Pay и Google Wallet. Однако безопасность общедоступных веб- и мобильных приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений. При этом в случае банковских приложений реализация угроз приводит к серьезным последствиям — включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса.
В 2016 году доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска — на 18%. При этом в продуктивных системах выявлено почти вдвое больше уязвимостей, чем в системах, находящихся в разработке. А финансовые приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем те, которые разработаны банками самостоятельно.
71% систем онлайн-банкинга имеют недостатки в реализации двухфакторной аутентификации. При этом 33% приложений содержат уязвимости, позволяющие украсть деньги, а в 27% приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну.
Что касается мобильных банков, то в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. Банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе.
В этом году в отчет Positive Technologies также вошла статистика по защищенности автоматизированных банковских систем, которые обычно считаются недоступными для внешнего злоумышленника. Однако на практике две трети уязвимостей, выявленных в АБС, оказались критически опасными — включая такие, которые позволяют получить административный доступ к серверу. Подобный доступ дает возможность злоумышленнику, оставаясь незамеченным, проводить любые мошеннические операции, связанные с деньгами: например, заводить новые счета и указывать на них любое количество денег, или же подменять платежные поручения, отправляемые в Центробанк.