ЕМА: уязвимости онлайн-банкинга в Украине

ТОП-5 крупнейших уязвимостей финансовых онлайн-сервисов в Украине

Украинский бизнес активно осваивает новые финансовые технологии, все больше перемещаясь из offline-среды в online.

По прогнозам экспертов, благодаря динамично развивающейся экономической среде и технологиям к 2025 году в Европе закроется каждый десятый традиционный банк, пишет UBR. Клиенты все чаще предпочитают посещению офиса онлайн-банкинг и финансовые приложения, позволяющие решать большинство вопросов, не выходя из дома.

Но помимо удобства, скорости и простоты использования финансовых онлайн-сервисов, пользователи сталкиваются с проблемой недостаточной защиты своих данных.

Создатели финансовых приложений регулярно сталкиваются с уязвимостями, стараясь вовремя их исправлять. Предлагаем ознакомиться с основными опасностями, с которыми могут столкнуться пользователи онлайн-банкинга в Украине. В частности, зная лишь номер телефона/ФИО/номер карты клиента банка, хакеры могут узнать достаточно много информации о владельце карты. Эти данные могут быть использованы для проведения мошеннических операций. На конференции XIX Payments & XII Security EMA Conference специалисты поделились самыми известными уязвимостями в онлайн-банкинге.

Артем Бобок, тестировщик платежных сервисов, поделился сведениями об уязвимостях финансовых сервисов, с которыми он сталкивался за последние 2 года. Некоторые из них были исправлены после обнародования проблем, но потенциальная угроза все еще остается в других банках.

Получение ФИО клиента банка по номеру телефона

Казалось бы, что могут узнать мошенники, имея на руках лишь номер вашего телефона? Оказывается, очень много. О том, что по номеру телефона можно было узнать ваш аккаунт в соцсетях, пока эта функция не была закрыта, знали, пожалуй, многие. Но о том, что вы можете стать жертвой банковского мошенника – мало кто догадывается.

Одна из обнаруженных ранее уязвимостей – возможность узнать ФИО клиента банка, используя отправку средств по номеру телефона. Для этого достаточно было в личном кабинете банка создать тестовый платеж, указав номер телефона владельца, затем отменить отправку. После чего в последних в последних операциях в web-версии со смартфона отображалось полное ФИО получателя.

1. Получение ФИО клиента банка по номеру телефона

Получение информации об операциях по карте

С помощью специальных сервисов, которыми пользуются разработчики, тестировщики имеют возможность посмотреть параметры страницы или приложении онлайн-банкинга.  При выполнении определенных POST-запросов, Артем получил такую информацию, как финансовый номер телефона клиента, количество привязанных к номеру карт, дата регистрации в онлайн-банкинге, какой платформой пользуется клиент (iOs или Android), последние совершенные по карте операции (дата, сумма, название торговой точки, баланс по карте после совершения операции).

2. Получение информации об операциях по карте

Имея на руках такие данные, мошенники звонят клиентам банков и с помощью приемов социальной инженерии выведывают CVV2-код и другие данные для совершения несанкционированных операций. Как правило, злоумышленники представляются сотрудниками службы безопасности, которые звонят с целью предотвращения мошеннической операции. Спустя некоторое время после сообщения в банк о данных уязвимостях они были исправлены.

Вишинг - один из самых распространенных способов мошенничества

Активация невыданной банковской карты 

Данной уязвимости был подвержен сайт  одного из крупных украинских банков банка, который предлагал оформить предоплаченную карту без предоставления документов. Клиенты могли самостоятельно выбрать, к какому номеру телефона привязать карту.

Артем обнаружил занятную уязвимость – методом перебора номеров карт можно было наткнуться на «свободную карту» и активировать ее совершенно легально через меню колл-центра в автоматическом режиме. Таким образом, мошенники могли бесплатно получать карту, ни разу не появившись в отделении,  а банк в этом случае мог терять деньги на стоимости выпуска таких карт.

Доступ к операциям клиентов в платёжных терминалах

Одна из уязвимостей заключалась в том, что при определенных действиях на платежных терминалах банка открывался рабочий стол, где на диске С: находились логи операций в данном терминале. То есть, любой желающий мог получить доступ к операциям, которые проводились на данном терминале, на какую сумму и пр.

Информация о балансе на карте с чужого номера

Данная функция была доступна в ряде банков Украины, в которых имелась возможность узнать баланс по счету, позвонив с нефинансового номера телефона (когда карта привязана к другому номеру телефона). Для того, чтобы узнать баланс и данные о последней проведенной операции, достаточно было знать неполный номер карты и дату рождения владельца. А дальше мошенники имели возможность звонить владельцам карт и выведать конфиденциальные данные, чтобы переводить деньги с их счетов. После обнаружения уязвимости и оповещения, банки усложнили процедуру аутентификации, запретив получение информации о балансе карты с нефинансового номера телефона.