Ответить
  • RET_FRAN Senior MemberАвтор темы
    офлайн
    RET_FRAN Senior Member Автор темы

    23781

    14 лет на сайте
    пользователь #220835

    Профиль
    Написать сообщение

    23781
    # 30 ноября 2018 21:00 Редактировалось RET_FRAN, 21 раз(а).

    Каким образом можно обеспечить безопасность банковских операций и платежей через Интернет? Возможно ли это в принципе?

    4 самых распространенных вида воровства средств с банковских карт
    3. Вирусы и хакерские атаки
    Деньги с карты могут украсть и в результате хакерских атак в интернете и заражения компьютера или смартфона вредоносным ПО. Вариантов масса.

    новым инструментом мошенничества в будущем могут стать голосовые помощники. «Так, помощник Siri, способный отправить СМС, можно — при соответствующих настройках — использовать, не разблокируя телефон. Более того, исследователи из Чжэцзянского университета обнаружили, что Siri можно „сказать“ команду, используя ультразвук, — то есть звуковые волны, не слышимые для человеческого уха. Таким образом, существует вероятность совершить перевод денег, воспользовавшись СМС с помощью неслышного звукового сообщения. Это станет угрозой для клиентов банков, в которых можно осуществлять перевод только одной СМС (при использовании СМС-банкинга)», — говорит эксперт.

    1. Что такое «персональных данные»? Какая информация составляет персональные данные?
    2. Осуществляют ли банки сбор, обработку, хранение и использование персональных данных физических лиц? Если осуществляют, то каких именно «персональных данных» и для каких целей?
    4. Требуется ли согласие физического лица на сбор, обработку, хранение и использование его персональных данных? Если требуется, то в какой форме?
    5. Каким образом влияет сбор, обработка, хранение и использование персональных данных клиентов банками на безопасность банковских операций и платежей через Интернет, осуществляемых клиентами банков?
    6. Возможно ли осуществление банковских операций без сбора, обработки, хранения и использования персональных данных клиентов? Если возможно, то без каких именно «персональных данных»? Например, номер мобильного телефона.
    7. Возможно ли осуществление платежей через Интернет без сбора, обработки, хранения и использования персональных данных клиентов? Если возможно, то без каких именно «персональных данных»? Например, номер мобильного телефона.
    8. Существуют ли действенные меры, принятие которых uарантирует невозможность посторонним лицам завладеть логинами и паролями к интернет- или мобильному банкингу клиента?
    9. Существуют ли действенные меры, принятие которых гарантирует невозможность посторонним лицам, завладевших логинами и паролями к интернет- или мобильному банкингу клиента, осуществлять операции с денежными средствами, находящимися на текущих (расчетных) счетах, а также на карт-счетах?

    Утечка персональных данных: копии, реквизиты паспорта и др.
    Расследование инцидентов информационной безопасности в системах электронных платежей
    МВД указало на дыры у белорусского «интернет-банкинга»
    Специалист по безопасности банка о махинациях с карточками
    МСИ - межбанковская система идентификации
    Кому и зачем нужен статический IP адрес
    Все что вам надо знать о безопасности банковских операций и платежей через Интернет
    Банковские мошенники через Интернет-баникинг вошли в личный кабинет и украли деньги не с карты, а с банковского депозита
    Коды из SMS, виртуальные карты и 3-D Secure
    Заражение смартфонов/компьютеров клиентов банков вирусами
    Можно ли передавать кассиру карту? Почему магазины не любят 3D Secure? Ликбез
    Психолог: Почему большинство из нас — легкие жертвы мошенников
    Интернет-платежи: как не лишиться денег в сети
    Зачем необходимо отключить международный роуминг?

    Завладев логинами и паролями к интернет- или мобильному банкингу, злоумышленники получают доступ к указанным банкингам, что позволяет им осуществлять незаконные операции с текущими (расчетными) банковскими счетами и карт-счетами клиентов, включая перевод с таких счетов денежных средств на банковские счета злоумышленников.

    Как банки определяют мошенников и безопасно ли платить смартфоном? Говорим с экспертами

    3-D Secure: что не так с этой защитой

    Безопасность в смартфонах

    «Ваш мамонт не сольется», или Почему в Беларуси орудует так много интернет-мошенников
    СК рассказал, сколько белорусу завести карточек, чтобы деньги не увели мошенники
    Неочевидные примеры онлайн-мошенничества: когда юзеры делали все правильно, но стали жертвами злоумышленников

    все эти виды угроз объединяет одно — они заточены под мобильные устройства. Зачастую пользователи не ожидают столкнуться с мошенничеством, когда пользуются смартфоном. На это и рассчитывают злоумышленники.

    Давайте еще раз: самое ценное в вашем смартфоне, планшете, ноутбуке и любой другой технике — не дорогой в замене экран, материнская плата или камера, — а хранящиеся на устройстве личные и платежные данные. Именно их потеря грозит наибольшими как финансовыми, так и репутационными издержками в случае утраты или тем более кражи. Помните это!

    Не тормози – включай мозги
  • RET_FRAN Senior MemberАвтор темы
    офлайн
    RET_FRAN Senior Member Автор темы

    23781

    14 лет на сайте
    пользователь #220835

    Профиль
    Написать сообщение

    23781
    # 2 декабря 2019 21:18

    shuravi89,

    Ваша ссылка как раз говорит об обратном

    Хорошо бы разобраться, о каких именно вирусах шла речь в статье:

    Как работает вирус
    Раньше вирусы для Android умели только демонстрировать на зараженном устройстве поддельные окна для ввода данных карты и перехватывать СМС-сообщения с кодом подтверждения транзакции, говорится в докладе.
    Новый вид зловредных программ появился в 2019 году: теперь они могут автоматически переводить деньги со счета жертвы через банковское мобильное приложение, установленное на смартфоне, на счет злоумышленника.

    :D
    По ссылке выше:

    Национальный банк считает, что операционный риск представляет собой риск возникновения неблагоприятных событий, связанных:
    со сбоем в программно-технической инфраструктуре платежной системы
    с ошибками персонала или действиями злоумышленников
    с недостатками внутренних процессов
    с нарушениями в управлении системой из-за внешних событий

    и где тут "социальная инженерия"? :D
    Добавил сюда еще один пункт:

    3. Использовать различные устройства для а) получения SMS с кодом и б) ввода содержащегося в полученной SMS кода. Например, для получения SMS с кодом используется мобильный телефон, а для ввода содержащегося в полученной SMS кода - стационарный ПК/ноутбук.

    Не тормози – включай мозги
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 3 декабря 2019 08:40 Редактировалось shuravi89, 10 раз(а).
    RET_FRAN:

    shuravi89,

    Ваша ссылка как раз говорит об обратном

    Хорошо бы разобраться, о каких именно вирусах шла речь в статье:

    Как работает вирус
    Раньше вирусы для Android умели только демонстрировать на зараженном устройстве поддельные окна для ввода данных карты и перехватывать СМС-сообщения с кодом подтверждения транзакции, говорится в докладе.

    В статье мешанина из якобы фактов, причём не подкреплённых ссылками на реальные кейсы. Попробую разделить на части:

    1. Когда-то давно (до появления IM) SMS активно использовались для переписки,
    2. Возможно именно тогда и появилось платное шпионское ПО под мобильные ОС для перехвата форвардирования SMS скажем для слежения и контроля за благоверными, детьми, неблагонадёжными и др.,
    3. Маловероятно что именно тогда это самое ПО стали использовать для ловли 3D-Secure,
    5. Сейчас в эпоху рассвета IM-клиентов SMS массово никто не использует (ну разве что в роуминге, да и то там где нет бесплатного WiFi)
    6. Назвать подобное ПО вирусом лично у меня язык не поворачивается

    Добавлено спустя 7 минут 12 секунд

    RET_FRAN:

    и где тут "социальная инженерия"?

    Собственно вся приведенная статья именно об этом (ключевое слово - "вишинг" )

    ЗЫ Вот вам ещё одна вполне НЕдвусмысленная статья - 22.11.2019 - В Беларуси участились случаи телефонного мошенничества – вишинга

    RET_FRAN:

    Добавил сюда еще один пункт:

    3. Использовать различные устройства для а) получения SMS с кодом и б) ввода содержащегося в полученной SMS кода. Например, для получения SMS с кодом используется мобильный телефон, а для ввода содержащегося в полученной SMS кода - стационарный ПК/ноутбук.

    Лично я именно так и делаю - принципиально не использую мобильный банк на смартфоне (только ИБ на ноутбуке) ... вот только менять смартфон на кнопочник лично я не собираюсь ;)

  • RET_FRAN Senior MemberАвтор темы
    офлайн
    RET_FRAN Senior Member Автор темы

    23781

    14 лет на сайте
    пользователь #220835

    Профиль
    Написать сообщение

    23781
    # 4 декабря 2019 23:22

    Отсюда

    Зачем защищать телеком-инфраструктуру
    Специалисты в сфере информационной безопасности называют телеком-операторов одними из наиболее заинтересованных пользователей ханипотов. Эксперт в области безопасности телекоммуникационных систем Positive Technologies Дмитрий Касымов говорит, что опорные сети операторов в принципе нельзя назвать защищенными. «При проведении аудитов безопасности мы выявляем множество уязвимостей, которые позволяют злоумышленникам оставить абонентов без связи, прослушать их разговоры и перехватить SMS, пользоваться услугами связи за их счет и даже обойти системы тарификации оператора. Эти недостатки безопасности уже эксплуатируются хакерами, в том числе для кражи денег с банковских счетов абонентов», — объяснил он.

    Не тормози – включай мозги
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 5 декабря 2019 03:43 Редактировалось shuravi89, 2 раз(а).
    RET_FRAN:

    перехватить SMS

    Для банков отправителями SMS являются не опсосы, а SMS-аггрегаторы ... ну а про перехват SMS через недостаточный уровень безопасности сетей SS7 опсосов ещё NIST писал:

    NIST: SMS нельзя использовать в качестве средства аутентификации

  • ew3 Senior Member
    офлайн
    ew3 Senior Member

    16236

    10 лет на сайте
    пользователь #1239458

    Профиль
    Написать сообщение

    16236
    # 5 декабря 2019 05:59

    RET_FRAN, shuravi89, организация такой системы перехвата в частном порядке будет стоить доходов половины попиццотников и декретниц этой страны - овчинка выделки не стоит, поэтому спите спокойно. :D

    В мире есть бесконечные вещи...
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 5 декабря 2019 06:11 Редактировалось shuravi89, 1 раз.
    ew3:

    RET_FRAN, shuravi89, организация такой системы перехвата в частном порядке будет стоить доходов половины попиццотников и декретниц этой страны - овчинка выделки не стоит, поэтому спите спокойно. :D

    При этом атакующему не требуется сложное оборудование: достаточно компьютера под Linux с генератором пакетов SS7, какие можно найти в Интернете.

    ...

    Фактически, эту опцию раньше могли использовать только спецслужбы, ну а сейчас может использовать любой желающий, у которого есть компьютер под Linux.

  • ew3 Senior Member
    офлайн
    ew3 Senior Member

    16236

    10 лет на сайте
    пользователь #1239458

    Профиль
    Написать сообщение

    16236
    # 5 декабря 2019 08:25

    shuravi89, а я и не хочу читать бреда теоретегов с воспаленными мозгами, соглашусь что не существует идеальных систем защиты и безопасности, но реализация процесса по их взлому не всегда проста, легка и доступна, поэтому проще воровать представившись сотрудником банка, тем более в стране, где на счете среднестатистического жителя находится в лучшем случает 3-4 среднемесячных заработных плат, чем городить такие сложные схемы чтобы украсть 3500 белорусских рублей. :) Чего ж вы еще не на собственном острове в Тихом океане? Ведь всего то нужен комп по линуксом и генератор пакетов, скаченный из интернета. Все так просто, а мужики то просто не в курсе. :D
    п.с. вы мне сейчас меня в конце 90-х напоминаете, когда я в кругу несведущих людей показывал декодированные сообщения пейджинговых операторов всего то при наличии радиоприемного средства на нужные частоты, что в общем то не составляло никакой проблемы и обычного компьютера с программой. Зато эффект был ошеломляющий особенно для тех кто эти пейджеры имел. :D

    В мире есть бесконечные вещи...
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 5 декабря 2019 08:49 Редактировалось shuravi89, 3 раз(а).

    ew3, вы невнимательно читали мои предыдущие посты, а писал я собственно про то что SMS как средство регулярной коммуникации между людьми практически умер как класс, уступив место IM-клиентам (мессенджерам). Поэтому странно было бы таргетировать под эту технологию столько усилий (и средств) со стороны хакерских групп ... ну а тот факт что вы не знаете возможности Линукса и соответсвующего специфического ПО под него - это ваши личные проблемы. Так что, кто кого кому напоминает и кто в каких ...XX-х застрял не вам судить ...

    ЗЫ Отвечал RET_FRAN в контексте что искать чёрную кошку в SMS-инфраструктуре опсосов - это по сути НЕ там копать, а тут и вы встряли ...

    ЗЫ2 Из дельного по приведенной статье - это создание ханипотов - у инфобезопасников это нынче в тренде ...

  • ew3 Senior Member
    офлайн
    ew3 Senior Member

    16236

    10 лет на сайте
    пользователь #1239458

    Профиль
    Написать сообщение

    16236
    # 5 декабря 2019 09:08
    shuravi89:

    ну а тот факт что вы не знаете возможности Линукса и соответсвующего специфического ПО под него - это ваши личные проблемы.

    Чего же вы такой умный, да такой нищий. :D Специфическое ПО прям на каждом углу первому встречному доступно с набором пошаговых инструкций как очень быстро и сказочно разбогатеть. :)

    В мире есть бесконечные вещи...
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 5 декабря 2019 09:11 Редактировалось shuravi89, 1 раз.
    ew3:

    Чего же вы такой умный, да такой нищий

    Это намёк на нехорошести всякие ??? Я, как и О. Бендер, чту Уголовный Кодекс ))

    Добавлено спустя 1 минута 21 секунда

    ew3:

    Специфическое ПО прям на каждом углу первому встречному доступно с набором пошаговых инструкций как очень быстро и сказочно разбогатеть. :)

    На примере взлома вайфая (и не только), увы, всё именно так и есть ...

  • ew3 Senior Member
    офлайн
    ew3 Senior Member

    16236

    10 лет на сайте
    пользователь #1239458

    Профиль
    Написать сообщение

    16236
    # 5 декабря 2019 09:20
    shuravi89:

    Я, как и О. Бендер, чту Уголовный Кодекс ))

    Ну при любом раскладе О. Бендер в современное время уже давно и долго сидел бы. :D

    shuravi89:

    На примере взлома вайфая (и не только), увы, всё именно так и есть ...

    Не сравнивайте горячее с мокрым. Протоколу 200 лет в обед и он в момент появления уже имел массу дыр.

    В мире есть бесконечные вещи...
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 5 декабря 2019 09:32
    ew3:

    Не сравнивайте горячее с мокрым

    Вы хотите сказать, что SS7-шлюз - нечто заоблачное и невозможнодоставаемое?

    ЗЫ Предлагаю дискуссию про SS7-уязвимости на этом закончить

  • ew3 Senior Member
    офлайн
    ew3 Senior Member

    16236

    10 лет на сайте
    пользователь #1239458

    Профиль
    Написать сообщение

    16236
    # 5 декабря 2019 11:53
    shuravi89:

    Вы хотите сказать, что SS7-шлюз - нечто заоблачное и невозможнодоставаемое?

    Не хочу. Но вы выставляете эту проблему так, что любой пионер с компом на линуксе и мифическим ПО прям возьмет и все поломает. :)

    В мире есть бесконечные вещи...
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 5 декабря 2019 12:04 Редактировалось shuravi89, 2 раз(а).
    ew3:

    shuravi89:

    Вы хотите сказать, что SS7-шлюз - нечто заоблачное и невозможнодоставаемое?

    Не хочу. Но вы выставляете эту проблему так, что любой пионер с компом на линуксе и мифическим ПО прям возьмет и все поломает. :)

    Ну во-первых сначала вы сами перегнули, сказав что это "будет стоить доходов половины попиццотников и декретниц этой страны" ... а я собственно в ответ привёл цитаты из статьи (так сказать никакой отсебятины) и добавил аппаратную часть про шлюз ...

    ЗЫ Повторно - Предлагаю дискуссию про SS7-уязвимости на этом закончить

  • RET_FRAN Senior MemberАвтор темы
    офлайн
    RET_FRAN Senior Member Автор темы

    23781

    14 лет на сайте
    пользователь #220835

    Профиль
    Написать сообщение

    23781
    # 8 декабря 2019 20:54 Редактировалось RET_FRAN, 1 раз.

    Психолог Анжелика Политаева: «Молчи, так надо!» Почему большинство из нас — легкие жертвы мошенников

    Давайте проведем блиц-опрос. Я буду задавать вопросы и сразу пытаться угадать ответ, который пришел вам в голову. Кто виноват в том, что мошенничество удалось? Думаю, вы ответите, что жертва. Почему стало возможно совершить мошенничество? Предполагаю, причиной вы посчитаете глупость или наивность человека, которого обманули. И последний вопрос: могут ли мошенники обвести вокруг пальца вас? Я практически уверена, что будет категорическое «нет». А теперь мои ответы на поставленные вопросы: виноват только мошенник, вы элементарно можете стать его следующей жертвой, а о причинах того, почему успех мошенников предрешен, спросите у своих родителей.
    История с разводами, их причинами, последствиями и странной реакцией окружающих людей сегодня как никогда актуальна. В последнее время мы все чаще слышим о случаях, когда белорусы стали жертвами мошенников, которые завладели личными данными банковских карт. И самая частая реакция на подобные ситуации — высмеивание пострадавших. Откуда такой неадекватный, бесчеловечный рефлекс?

    Не тормози – включай мозги
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 8 декабря 2019 21:19 Редактировалось shuravi89, 1 раз.

    RET_FRAN, психологией можно оправдать любую человеческую оплошность, вы ещё про цыганок-мошенниц здесь напишите или про женщин, обманутых брачными аферистами ...

  • RET_FRAN Senior MemberАвтор темы
    офлайн
    RET_FRAN Senior Member Автор темы

    23781

    14 лет на сайте
    пользователь #220835

    Профиль
    Написать сообщение

    23781
    Не тормози – включай мозги
  • RET_FRAN Senior MemberАвтор темы
    офлайн
    RET_FRAN Senior Member Автор темы

    23781

    14 лет на сайте
    пользователь #220835

    Профиль
    Написать сообщение

    23781
    # 24 декабря 2019 14:25

    Можно ли передавать кассиру карту? Почему магазины не любят 3D Secure? Ликбез

    Почему магазины не любят 3D Secure
    — В случае с интернет-платежами есть 3D Secure. Это ведь повышает безопасность?
    Вячеслав: Да, но все риски не исключает. Технология сама по себе неудобная. Она сильно уменьшает количество успешных операций, и продавцы ее не любят. Допустим, из-за настроек браузера у вас не открылась страница 3D Secure или вовремя не пришло SMS с кодом — покупатель не может совершить операцию, и продавец остается без денег. Поэтому многие торговые точки договариваются с провайдерами и банками-эквайерами, чтобы отключать 3D Secure. Но предварительно анализируются риски: если вероятность мошенничества высока, 3D Secure оставят.
    Если речь о белорусском магазине и оплате белорусскими картами, то 3D Secure не обязателен: юрлицо здесь, владелец карты здесь, управление «К» тоже здесь — всех очень быстро найдут. А если транзакция с иностранной карты, то 3D Secure можно оставить.

    Что еще умеют мошенники
    — Двухфакторное подтверждение с кодом из SMS можно считать стопроцентной защитой. Если пароль динамический, то есть каждый раз новый, то как его может получить злоумышленник?
    Артур: Допустим, на вашем компьютере вирус: вводите код у себя, и его же получает злоумышленник. Или делаете перевод, думая, что на карту получателя, а на самом деле — на карту злоумышленника. Подтверждаете транзакцию своим одноразовым кодом и теряете деньги. Стопроцентной защиты никогда не будет.

    :D :weep: :ass:

    Не тормози – включай мозги
  • shuravi89 Senior Member
    офлайн
    shuravi89 Senior Member

    8811

    6 лет на сайте
    пользователь #2385169

    Профиль
    Написать сообщение

    8811
    # 25 декабря 2019 06:33 Редактировалось shuravi89, 5 раз(а).
    RET_FRAN:

    Если речь о белорусском магазине и оплате белорусскими картами, то 3D Secure не обязателен: юрлицо здесь, владелец карты здесь, управление «К» тоже здесь — всех очень быстро найдут. А если транзакция с иностранной карты, то 3D Secure можно оставить.

    Интересная цитата )) Звучит "архипрофессионально". Ну и белорусская карта - это, по-видимому, БЕЛКАРТ ... а иностранные - это, по-видимому, Visa и Masterсard ...

    ЗЫ Ну и надо полагать БЕЛКАРТа в этой ветке нет НИ у кого ))

    RET_FRAN:

    Что еще умеют мошенники
    — Двухфакторное подтверждение с кодом из SMS можно считать стопроцентной защитой. Если пароль динамический, то есть каждый раз новый, то как его может получить злоумышленник?
    Артур: Допустим, на вашем компьютере вирус: вводите код у себя, и его же получает злоумышленник

    Вирус по определению заточен под размножение ... Здесь скорее всего речь идёт о кейлоггере, который внедряется точечно (и в большинстве случаев локально) и банально логирует ВСЕ клавиатурные нажатия, а не только код 3D-Secure ...

    RET_FRAN:

    Стопроцентной защиты никогда не будет.

    Ну это вам любой школьник так скажет, для этого вовсе не обязательно быть Директором или Замом компании-провайдера электронных платежей ... ну и потом ребята скорее всего финансисты а не инфобезопасники, так что я бы к их терминологии, а равно как и к их трактовке тех или иных событий инфобезопасности, дотошно и досконально бы не цеплялся ...

  • RET_FRAN Senior MemberАвтор темы
    офлайн
    RET_FRAN Senior Member Автор темы

    23781

    14 лет на сайте
    пользователь #220835

    Профиль
    Написать сообщение

    23781
    # 20 апреля 2020 12:07

    Эксперты оценили уязвимость мобильных приложений банков для мошенников

    Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера. Каждое приложение содержит в своем коде как минимум три уязвимости, с помощью которых мошенники могут получить доступ к внутренней инфраструктуре банка.
    Только один мобильный банк из исследованных не содержал уязвимостей, позволяющих злоумышленнику получить доступ к данным пользователя: например к выписке по карте, ПИН-кодам для быстрого доступа в приложение, учетным данным (логин/пароль) и т.п. При этом 43% приложений хранят эти данные в открытом виде, что упрощает доступ злоумышленников.
    76% уязвимостей злоумышленники могут использовать без физического доступа к устройству: для этого достаточно установить на телефон жертвы вредоносное приложение, например в ходе рассылки фишинговых писем. В результате мошенники смогут перехватить СМС от банка, а также получить номер банковской карты.
    Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: так, недостатки в первых были не выше среднего уровня риска, в то время как 29% вторых содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями: именно она выступает точкой входа в приложение для хакеров.
    Большинство веб-приложений банков (шесть из семи) содержит уязвимости, связанные с недостаточными мерами по аутентификации пользователя. Это может привести к несанкционированному доступу злоумышленника к личному кабинету путем подбора пароля. Если ему удастся обойти защиту с помощью одноразового пароля, который высылается в СМС, хакер сможет выполнять разные действия в мобильном банке от имени клиента.
    В пяти из семи серверных частей злоумышленникам доступны учетные записи пользователей мобильных банков: имена и фамилии, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.
    ...
    Group-IB регулярно находит уязвимости в банковских приложениях, однако на практике эти «дыры» используются довольно редко, поскольку злоумышленникам проще и дешевле использовать социальную инженерию, говорит руководитель направления «Аудит и консалтинг» Group-IB Андрей Брызгин. Однако он обращает внимание на то, что банки начали активно просвещать пользователей на тему мошеннических схем с использованием фишинга, звонков с тюремных call-центров и прочего. Поэтому со временем социнженерия может перестать приносить преступникам финансовую выгоду и они обратятся к уязвимости приложений.

    Не тормози – включай мозги