Календарь мероприятий


Фейк платежом красен: Максим Буйлов о реальных и мнимых банковских уязвимостях

   В конце прошлой недели знакомые безопасники обсуждали появившееся на одном из хакерских форумов объявление о продаже за $20 тыс. возможности удаленного выполнения кода (Remote Code Execution, RCE) в сети банков ряда стран. Наряду с кредитными организациями Австрии, Италии и Парагвая было предложение и по российскому банку. В InSafety ее оценивают как максимальную угрозу "класса А1 по классификации OWASP", отмечая, что "это гарантированный способ взлома сайтов и веб-приложений". Возможность "удаленного внедрения кода в серверный скрипт в 100% случаев приводит к взлому ресурса", одновременно злоумышленник "получает доступ к серверу атакуемого сайта".
   Как пояснил один из экспертов, такие уязвимости обычно используются для целенаправленных атак на банк. Как правило, они нацелены на процессинг, и тогда происходят хищения через специально подготовленные карты - мошенники увеличивают балансы по ним вручную, затем дропперы снимают деньги через банкоматы. Либо атака идет на систему SWIFT, и осуществляется перевод на специально подготовленную компанию. Может быть атаковано автоматизированное рабочее место клиента Банка России, и тогда деньги списываются с корсчета атакуемого банка в ЦБ.
   Серьезность угрозы подтверждают и в "Лаборатории Касперского". По словам ее ведущего эксперта Сергея Голованова, "RCE - это точка входа, которая обеспечивает злоумышленнику доступ к инфраструктуре организации". Однако, отмечает он, "чтобы добраться до денег или персональных данных, атакующими должна быть проделана еще очень большая работа".
   Вместе с тем при всей опасности вскрытой уязвимости, несколько экспертов в области информационной безопасности оценили это объявление как фейк. Они обращают внимание на ее продавца и то, как он описывает свой "товар". "Человек либо английского не знает, либо терминологию. RCE обычно употребляется, когда говорят об уязвимостях в продуктах, а не в сети банка. Про сеть или инфраструктуру говорят "доступ" или Backdoor",- говорит один из экспертов. По словам другого эксперта, для обнаружения такой уязвимости достаточно знать, как работает соответствующий сканер. IP-адреса многих банков легко вычисляются из общедоступных записей. "Запускаем сканер по адресам, сканер находит уязвимость (мнимую или реальную), которую гражданин пытается продать. Но в целом это никому не интересно и говорит о низкой квалификации",- говорит он.
   Кроме того, по мнению эксперта, продать найденную уязвимость именно этому мошеннику будет непросто, поскольку он зарегистрировался на форуме только в конце августа, а значит, репутации у него нет. В такой ситуации платить $20 тыс. за кота в мешке отважатся лишь самые рисковые жулики.

Источник: Коммерсант https://www.kommersant.ru/doc/4467907

17.09.2020

Обсудить новости на нашей странице на VKontakte


Новости ББТ
10.07.2025
ЦБ дал рекомендации финансовым организациям по работе с ИИ
30.06.2025
Обновление раздела ББТ "Организация банковской деятельности" от 30.06.2025
30.06.2025
Обновление раздела ББТ "Внутренний контроль в банке" от 30.06.2025
30.06.2025
Обновление раздела ББТ "Информационная безопасность банка" от 30.06.2025
30.06.2025
Обновление раздела ББТ "Операции банка с ценными бумагами" от 30.06.2025 Все новости
Наши мероприятия
14.05.2025
Ян Кэмпбэлл (Чехия), встреча-онлайн - Современные проблемы финансов в России и за рубежом
06.05.2025
Бархота А.В., лекция-онлайн - "Проблематика ESG и устойчивое развитие: забвение или ренессанс"
30.04.2025
Шарушинская О.В., лекция-онлайн - "Антифрод (система противодействия мошенничеству) в банках и МФО"
18.04.2025
Итоги 25-го Интернет-Чемпионата по банковскому делу и финансам
18.04.2025
29.04.2025 - Семинар-онлайн "Всё об инвестициях в золото" Все новости
Новости для банков
15.07.2025
В июне рынок ЦФА превысил объем размещений за весь 2024 год
15.07.2025
ЦБ определил перспективы регулирования рынка первичных размещений акций
15.07.2025
Россиян предупредили о необходимости перевыпустить ряд банковских карт
14.07.2025
Законодатели хотят повысить штрафы для банков за нарушения прав клиентов
14.07.2025
Комитет ГД рекомендовал увеличить лимит возмещения по безотзывным вкладам Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости