Вскрытие корпоративных мобильных приложений банков: жизнь без ОУД4

«Мошенники начали применять приемы, отработанные на физлицах, к компаниям. ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение и рекомендовал проверить системы дистанционного банковского обслуживания. Если уязвимости обнаружатся в стандартном программном обеспечении, которое поставляется как «коробочное решение», под угрозой могут оказаться клиенты многих российских банков, подчеркивают эксперты» – пишет «Коммерсантъ».

Еще в конце прошлой недели ЦБ уведомил банки о схеме кражи средств со счетов юридических лиц. В схеме используется система ДБО и последующая подмена номера счета отправителя.

Сам регулятор после данных событий рекомендует банкам вместе с поставщиками программного обеспечения провести проверку сервисов ДБО на уязвимости.

Но если мы говорим об уязвимостях, то нельзя не сказать и про отсутствие ОУД4. Иными словами, отсутствие ОУД4 и наличие уязвимостей – прямо связаны друг с другом. Если бы в банках был проведен полноценный (не формальный) анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3, то такой ситуации бы не возникло.

Очевидно, что регулятору эта взаимосвязь известна и если данный эпизод будет набирать популярность – ЦБ будет вынужден принимать меры. Одна из основных мер – ужесточение контроля за анализом уязвимостей приложений. Чтобы этого избежать, мы настоятельно рекомендуем пройти анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3 в ближайшее время.