Календарь мероприятий


Фейк платежом красен: Максим Буйлов о реальных и мнимых банковских уязвимостях

   В конце прошлой недели знакомые безопасники обсуждали появившееся на одном из хакерских форумов объявление о продаже за $20 тыс. возможности удаленного выполнения кода (Remote Code Execution, RCE) в сети банков ряда стран. Наряду с кредитными организациями Австрии, Италии и Парагвая было предложение и по российскому банку. В InSafety ее оценивают как максимальную угрозу "класса А1 по классификации OWASP", отмечая, что "это гарантированный способ взлома сайтов и веб-приложений". Возможность "удаленного внедрения кода в серверный скрипт в 100% случаев приводит к взлому ресурса", одновременно злоумышленник "получает доступ к серверу атакуемого сайта".
   Как пояснил один из экспертов, такие уязвимости обычно используются для целенаправленных атак на банк. Как правило, они нацелены на процессинг, и тогда происходят хищения через специально подготовленные карты - мошенники увеличивают балансы по ним вручную, затем дропперы снимают деньги через банкоматы. Либо атака идет на систему SWIFT, и осуществляется перевод на специально подготовленную компанию. Может быть атаковано автоматизированное рабочее место клиента Банка России, и тогда деньги списываются с корсчета атакуемого банка в ЦБ.
   Серьезность угрозы подтверждают и в "Лаборатории Касперского". По словам ее ведущего эксперта Сергея Голованова, "RCE - это точка входа, которая обеспечивает злоумышленнику доступ к инфраструктуре организации". Однако, отмечает он, "чтобы добраться до денег или персональных данных, атакующими должна быть проделана еще очень большая работа".
   Вместе с тем при всей опасности вскрытой уязвимости, несколько экспертов в области информационной безопасности оценили это объявление как фейк. Они обращают внимание на ее продавца и то, как он описывает свой "товар". "Человек либо английского не знает, либо терминологию. RCE обычно употребляется, когда говорят об уязвимостях в продуктах, а не в сети банка. Про сеть или инфраструктуру говорят "доступ" или Backdoor",- говорит один из экспертов. По словам другого эксперта, для обнаружения такой уязвимости достаточно знать, как работает соответствующий сканер. IP-адреса многих банков легко вычисляются из общедоступных записей. "Запускаем сканер по адресам, сканер находит уязвимость (мнимую или реальную), которую гражданин пытается продать. Но в целом это никому не интересно и говорит о низкой квалификации",- говорит он.
   Кроме того, по мнению эксперта, продать найденную уязвимость именно этому мошеннику будет непросто, поскольку он зарегистрировался на форуме только в конце августа, а значит, репутации у него нет. В такой ситуации платить $20 тыс. за кота в мешке отважатся лишь самые рисковые жулики.

Источник: Коммерсант https://www.kommersant.ru/doc/4467907

17.09.2020

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
31.10.2024
Обновление раздела ББТ "Информационная безопасность банка" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие легализации" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Внутренний контроль в банке" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие НИИИ/МР" от 31.10.2024 Все новости
Наши мероприятия
05.11.2024
05.11.2024 - "Розничные инвесторы и торговля на бирже"
22.10.2024
22.10.2024 - "Основы потребительского кредитования. Обзорная лекция"
18.10.2024
18.10.2024 - "Осень ипотеки: бабье лето или первые заморозки"
17.10.2024
17.10.2024 - "Организация работы профессиональных студенческих объединений"
15.10.2024
15.10.2024 - "Обзор изменений банковского законодательства за III кв 2024 г." Все новости
Новости для банков
09.07.2024
ВНИМАНИЮ КЛИЕНТСКИХ И ЮРИДИЧЕСКИХ СЛУЖБ БАНКОВ
12.11.2024
В РФ могут появиться арктические и дальневосточные цифровые облигации
12.11.2024
ЦБ предложил исключать из расчета МПЛ кредиты, выдаваемые при реструктуризации долга заемщика
12.11.2024
Совет участников и пользователей платежного рынка провел первое заседание
12.11.2024
Власти обеспокоились притоком денег бизнеса на депозиты Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости