PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Статьи

Потребители используют мобильные банковские приложения, но не доверяют им.

21 января 2016
  
  pdf-версия

Потребители привыкли к использованию мобильного банкинга, но не верят в его безопасность. Исходя из последних данных о развитии угроз безопасности, их опасения вполне обоснованы.

Недавний опрос, проведенный MyBankTracker, показал, что только 6% респондентов верят в безопасность проведения финансовых операций с использованием мобильных технологий. При этом, по данным исследования Verizon за 2015 год, 55% владельцев смартфонов Америке пользуются услугами мобильного банкинга.

Другое исследование, проведенное компанией Arxan, обнаружило, что хотя подавляющее большинство потребителей (86%) считают, что банки защищают свои приложения, 41% опрошенных ожидают взлома мобильных приложений.

Потребители не имеют конкретных страхов, таких как, кража мобильных устройств или хищение банковских учетных данных вирусами. Под впечатлением от новостей об очередных нарушениях данных, они в целом не верят в безопасность информации в Интернете.

На протяжении длительного времени считалось, что использование смартфона намного безопаснее, чем ноутбука или стационарного компьютера - банки могут отслеживать и местоположение проведения операций по счету, и само устройство, используемое для проведения транзакций. Тем не менее, все больше инцидентов подрывают уверенность потребителей в безопасности банковских приложений.

Киберпреступники производят все больше вредоносных приложений, нацеленных на телефоны и планшеты, особенно программ, направленных на доступ к мобильным банковским счетам. Исследователи Лаборатории Касперского обнаружили 39% рост числа мобильных банковских троянов, разработанных в 2015 году, по сравнению с 2014 годом - в общей сложности 25000 программ. Большинство из них - приложения для Android.

Faketoken, поддельное мобильное приложение, используемое для перенаправления данных аутентификаций мобильных транзакций на другие устройства без ведома жертвы, по данным Висенте Диаса, сотрудника Лаборатории Касперского, - самая распространенная угроза для мобильного банкинга. Faketoken занимает седьмое место в списке 10 банковская вредоносных программ Лаборатории Касперского.

Еще одна угроза для мобильного банкинга состоит в том, что легитимные приложения банков не столь безопасны, как это принято думать. Некоторые разработчики банковских приложений просто находят в поисковой системе Google коды других банков и используют результаты в своих мобильных банковских приложениях. Недавно компания Arxan проводили тестирование 55 мобильных финансовых приложений на наличие уязвимостей. Тридцать три из этих приложений - банковские. Почти все приложения содержали два типа уязвимостей.

Одна их таких уязвимостей - отсутствие бинарной защиты- защиты кода от обратной инженерии - обнаружилась в 98% приложений.

"Если вы не защищен двоичный код, довольно просто использовать инструменты, которые, как правило, бесплатны или стоят меньше $ 1000, чтобы перепроектировать приложение и преобразовать исходный двоичный код" - говорит Патрик Кехо, директор по маркетингу Arxan.

Хакеры могут удалять из приложений центры управления безопасности и отправлять фактически идентичные приложения на App Store. При этом Apple или Google не могут распознать такие приложения. Во время использования потребителями поврежденного приложения, кибер-преступники могут перехватить криптографические протоколы и ключи, используемые в коммуникации между мобильным приложением и сервером.

После того, как киберпреступники раскрывают логику запроса и ответа используемых криптографических ключей, они могут повторить запросы в другом приложении и получить доступ к основному приложению.

FireEye недавно обнаружили банковские трояны для Android – SlemBunk, которые имитировали банковские приложения 33 финансовых учреждений в Северной Америке, Европе и Азии. После установки такие приложения собирали данные для аутентификации в банковских приложенях.

Другая часто встречающаяся во многих банковских приложениях уязвимость, обнаруженная Arxan, - это отсутствие необходимого уровня шифрования соединений при передаче информации от мобильного устройства к серверу. Например, сертификаты SSL могут быть не обновлены. В результате хакеры могут получить доступ к информации по счетам и любым другим исходным данным, управляемым приложением.

Такой тип атаки требует от хакеров большей квалификации, знаний о протоколах коммуникаций и возможностей контролировать этот трафик.

Эксперты полагают, что индустрия финансовых услуг должна составить стандарты для мобильных приложений. В настоящее время мы очень ограничены в представлениях о том, какие меры безопасности используются в приложениях. Конечно, многие компании не хотят раскрывать такие данные, так как и это сыграет на руку хакера. Но, возможно найти золотую середину. Например, можно утвердить сертифицирующие организации, которые проверяют приложения на наличие основных рисков и уязвимостей.

Источник: americanbanker.com

КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры