Календарь мероприятий


Фейк платежом красен: Максим Буйлов о реальных и мнимых банковских уязвимостях

   В конце прошлой недели знакомые безопасники обсуждали появившееся на одном из хакерских форумов объявление о продаже за $20 тыс. возможности удаленного выполнения кода (Remote Code Execution, RCE) в сети банков ряда стран. Наряду с кредитными организациями Австрии, Италии и Парагвая было предложение и по российскому банку. В InSafety ее оценивают как максимальную угрозу "класса А1 по классификации OWASP", отмечая, что "это гарантированный способ взлома сайтов и веб-приложений". Возможность "удаленного внедрения кода в серверный скрипт в 100% случаев приводит к взлому ресурса", одновременно злоумышленник "получает доступ к серверу атакуемого сайта".
   Как пояснил один из экспертов, такие уязвимости обычно используются для целенаправленных атак на банк. Как правило, они нацелены на процессинг, и тогда происходят хищения через специально подготовленные карты - мошенники увеличивают балансы по ним вручную, затем дропперы снимают деньги через банкоматы. Либо атака идет на систему SWIFT, и осуществляется перевод на специально подготовленную компанию. Может быть атаковано автоматизированное рабочее место клиента Банка России, и тогда деньги списываются с корсчета атакуемого банка в ЦБ.
   Серьезность угрозы подтверждают и в "Лаборатории Касперского". По словам ее ведущего эксперта Сергея Голованова, "RCE - это точка входа, которая обеспечивает злоумышленнику доступ к инфраструктуре организации". Однако, отмечает он, "чтобы добраться до денег или персональных данных, атакующими должна быть проделана еще очень большая работа".
   Вместе с тем при всей опасности вскрытой уязвимости, несколько экспертов в области информационной безопасности оценили это объявление как фейк. Они обращают внимание на ее продавца и то, как он описывает свой "товар". "Человек либо английского не знает, либо терминологию. RCE обычно употребляется, когда говорят об уязвимостях в продуктах, а не в сети банка. Про сеть или инфраструктуру говорят "доступ" или Backdoor",- говорит один из экспертов. По словам другого эксперта, для обнаружения такой уязвимости достаточно знать, как работает соответствующий сканер. IP-адреса многих банков легко вычисляются из общедоступных записей. "Запускаем сканер по адресам, сканер находит уязвимость (мнимую или реальную), которую гражданин пытается продать. Но в целом это никому не интересно и говорит о низкой квалификации",- говорит он.
   Кроме того, по мнению эксперта, продать найденную уязвимость именно этому мошеннику будет непросто, поскольку он зарегистрировался на форуме только в конце августа, а значит, репутации у него нет. В такой ситуации платить $20 тыс. за кота в мешке отважатся лишь самые рисковые жулики.

Источник: Коммерсант https://www.kommersant.ru/doc/4467907

17.09.2020

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости для банков
28.09.2020
ЦБ обнаружил рекордную "дыру" в платежном балансе России
28.09.2020
Новая Зеландия обяжет финансовые учреждения вести отчетность о климатических рисках
25.09.2020
Биржи торгуются за клиентов: Конкуренция разворачивается с новой силой
25.09.2020
ЦБ в рамках мер по снижению волатильности на рынке продал валюту на 2,5 млрд руб.
25.09.2020
Российские банки вновь понизили среднюю максимальную ставку по вкладам Все новости
Новости ББТ
27.08.2020
Обновление раздела ББТ "Противодействие легализации" от 28.08.2020
27.08.2020
Обновление раздела ББТ "Банковские риски" -от 28.08.2020
27.08.2020
Обновление раздела ББТ "Кредитные операции в банке" - от 28.08.2020
27.08.2020
Обновление раздела ББТ "Операции банка с ценными бумагами" от 27.08.2020
27.08.2020
Обновление раздела ББТ "Организация банковской деятельности" от 27.08.2020 Все новости
Новости библиотеки
23.04.2019
Обновление Электронной Библиотеки Банка от 23.04.2019
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019 Все новости