Σύμφωνα με έρευνα της Positive Technologies.
Ορισμένα από αυτά τα θέματα ασφάλειας πηγάζουν από το γεγονός ότι οι τράπεζες δεν χρησιμοποιούν κωδικούς πρόσβασης για τον έλεγχο ταυτότητας ή επιτρέπουν παλιούς κωδικούς πρόσβασης. «Τα μέτρα ασφαλείας που λειτουργούν με βάση την ευκολία του χρήστη αυξάνουν τον κίνδυνο απάτης. Εάν δεν χρειάζεται να επιβεβαιώσετε μια συναλλαγή με έναν κωδικό μιας χρήσης, η δουλειά του hacker γίνεται ευκολότερη και ένας παλιός κωδικός πρόσβασης αυξάνει τις πιθανότητες να γίνει brute forced» αναγράφεται στην έρευνα. Ο κωδικός πρόσβασης τεσσάρων συμβόλων μπορεί να σπάσει μέσα σε δύο λεπτά.
Πολλές από αυτές τις πληροφορίες καταλήγουν στο Dark Web. Το μέσο κόστος των δεδομένων ενός διαδικτυακού τραπεζικού χρήστη στο Dark Web είναι μόνο 22 δολάρια, σύμφωνα με την έκθεση – μια τόσο χαμηλή τιμή για την καταστροφή της οικονομικής ζωής ενός πελάτη.
https://www.secnews.gr/179369/54-online-trapezon-hackers-lefta/
Despite the growing cybersecurity threat targeting mobile financial services applications, many financial institutions are failing when it comes to protecting their apps. Research conducted by advisory firm Aite Group uncovered widespread security deficiencies among mobile consumer finance apps leading to the exposure of source code, personally identifiable information, account credentials and access to backend systems. Aite Group examined the protective capabilities of 30 different financial services applications found on the Google Play store. Using commonly available software tools, nearly all of the apps were easily reverse engineered, revealing a systemic lack of application-appropriate protection and coding best practices.
Among the key vulnerabilities the research uncovered:
• Lack of Binary Protections — 97% of all apps tested lacked binary code protection, making it possible to reverse engineer or decompile the apps exposing source code to analysis and tampering.
• Unintended Data Leakage — 90% of the apps tested shared services with other applications on the device, leaving data from the financial institution’s application’s app accessible to any other application on the device.
• Insecure Data Storage — 83% of the apps tested insecurely stored data outside of the application's control, for example, in a device’s local file system, external storage, and copied data to the clipboard allowing shared access with other apps; and exposed a new attack surface via APIs.
• Weak Encryption — 80% of the apps tested implemented weak encryption algorithms or the incorrect implementation of a strong cipher, allowing adversaries to decrypt sensitive data and manipulate or steal it as needed.
• Insecure Random-Number Generation — 70% of the apps use an insecure random-number generator, a security measure that relies on random values to restrict access to a sensitive resource, making the values easily guessed and hackable
- Περισσότερο από το ήμισυ (54%) των online banking συστημάτων των τραπεζών επέτρεψε δόλιες συναλλαγές και κλοπές κεφαλαίων ενώ όλες (100%) έχουν δεχθεί απειλές μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες πελατών και εταιρειών όπως καταστάσεις λογαριασμού και εντολές πληρωμής.
- Περίπου το 77% των online banking συστημάτων των τραπεζών είχαν ελαττώματα ασφαλείας στις μεθόδους ελέγχου ταυτότητας δύο παραγόντων. Σε ορισμένες περιπτώσεις, τα τρωτά σημεία επέτρεψαν στους εισβολείς να εισέλθουν στο εταιρικό δίκτυο της τράπεζας, σύμφωνα με την έκθεση.
Ορισμένα από αυτά τα θέματα ασφάλειας πηγάζουν από το γεγονός ότι οι τράπεζες δεν χρησιμοποιούν κωδικούς πρόσβασης για τον έλεγχο ταυτότητας ή επιτρέπουν παλιούς κωδικούς πρόσβασης. «Τα μέτρα ασφαλείας που λειτουργούν με βάση την ευκολία του χρήστη αυξάνουν τον κίνδυνο απάτης. Εάν δεν χρειάζεται να επιβεβαιώσετε μια συναλλαγή με έναν κωδικό μιας χρήσης, η δουλειά του hacker γίνεται ευκολότερη και ένας παλιός κωδικός πρόσβασης αυξάνει τις πιθανότητες να γίνει brute forced» αναγράφεται στην έρευνα. Ο κωδικός πρόσβασης τεσσάρων συμβόλων μπορεί να σπάσει μέσα σε δύο λεπτά.
Πολλές από αυτές τις πληροφορίες καταλήγουν στο Dark Web. Το μέσο κόστος των δεδομένων ενός διαδικτυακού τραπεζικού χρήστη στο Dark Web είναι μόνο 22 δολάρια, σύμφωνα με την έκθεση – μια τόσο χαμηλή τιμή για την καταστροφή της οικονομικής ζωής ενός πελάτη.
https://www.secnews.gr/179369/54-online-trapezon-hackers-lefta/
Despite the growing cybersecurity threat targeting mobile financial services applications, many financial institutions are failing when it comes to protecting their apps. Research conducted by advisory firm Aite Group uncovered widespread security deficiencies among mobile consumer finance apps leading to the exposure of source code, personally identifiable information, account credentials and access to backend systems. Aite Group examined the protective capabilities of 30 different financial services applications found on the Google Play store. Using commonly available software tools, nearly all of the apps were easily reverse engineered, revealing a systemic lack of application-appropriate protection and coding best practices.
Among the key vulnerabilities the research uncovered:
• Lack of Binary Protections — 97% of all apps tested lacked binary code protection, making it possible to reverse engineer or decompile the apps exposing source code to analysis and tampering.
• Unintended Data Leakage — 90% of the apps tested shared services with other applications on the device, leaving data from the financial institution’s application’s app accessible to any other application on the device.
• Insecure Data Storage — 83% of the apps tested insecurely stored data outside of the application's control, for example, in a device’s local file system, external storage, and copied data to the clipboard allowing shared access with other apps; and exposed a new attack surface via APIs.
• Weak Encryption — 80% of the apps tested implemented weak encryption algorithms or the incorrect implementation of a strong cipher, allowing adversaries to decrypt sensitive data and manipulate or steal it as needed.
• Insecure Random-Number Generation — 70% of the apps use an insecure random-number generator, a security measure that relies on random values to restrict access to a sensitive resource, making the values easily guessed and hackable
No comments :
Post a Comment