Blog

Mutaxassislar 2018-yilda onlayn banklarning xavfsizlik darajasini baholadilar.

Kompaniya mutaxassislari 2018-yilda onlayn banklarning xavfsizlik darajasini baholadilar va tekshirilgan tizimlarning 54 foizi tajovuzkorlarga mablag’larni o’g’irlashga imkon berganini va barcha onlayn banklar shaxsiy ma’lumotlarga ruxsatsiz kirish va bank maxfiyligiga qarshi himoyasiz ekanligini aniqladilar. Tahlilga ko’ra, o’rganilgan onlayn banklarning aksariyati muhim zaifliklarga ega edi. Onlayn bank xavfsizligini baholash natijasida tekshirilgan har bir tizimda jiddiy oqibatlarga olib kelishi mumkin bo’lgan zaifliklar aniqlandi.

Mijozlar ma’lumotlari va bank sirlariga, masalan, hisobvaraq ko’chirmalari yoki boshqa foydalanuvchilarning to’lov topshiriqlariga ruxsatsiz kirish tahdidi o’rganilgan har bir onlayn bank uchun haqiqiy tahdid edi va ba’zi hollarda zaifliklar bankning korporativ tarmog’iga hujumlarga yo’l qo’ydi. Positive Technologies tomonidan olib borilgan tadqiqotlar shuni ko’rsatadiki, ma’lumotlar qorong’u vebda sotiladigan eng yaxshi mahsulotlar qatoriga kiradi. Bundan tashqari, sotilgan ma’lumotlarning umumiy miqdorining 80% dan ortig’i kirish ma’lumotlari va bank kartasi ma’lumotlarini tashkil qiladi. Har bir onlayn bank foydalanuvchisi uchun o’rtacha ma’lumotlar qiymati 22 dollarni tashkil qiladi.

So’rovda qatnashgan onlayn banklarning 77 foizini tahlil qilish ularning ikki faktorli autentifikatsiyani joriy etishdagi kamchiliklarini aniqladi. Positive Technologies tahlilchisi Yana Avezovaning so’zlariga ko’ra, ba’zi onlayn banklar muhim harakatlar (masalan, autentifikatsiya) uchun bir martalik parollardan foydalanmaydi yoki ularning amal qilish muddatini juda uzoq vaqtga belgilaydi. Mutaxassislar buni banklarning xavfsizlik va foydalanish qulayligi o’rtasidagi muvozanatni saqlashga qaratilgan sa’y-harakatlari bilan bog’lashadi.

«Qulaylik uchun hatto ba’zi xavfsizlik choralaridan voz kechish ham firibgarlik tranzaksiyalari xavfini oshiradi. Agar tranzaksiyani bir martalik parol bilan tasdiqlash zarurati bo’lmasa, tajovuzkor endi jabrlanuvchining mobil telefoniga kirish huquqiga ega bo’lmaydi va uzoq muddat amal qilish muddatiga ega parol muvaffaqiyatli qo’pol hujumlar ehtimolini oshiradi, chunki qo’pol kuch cheklovlarisiz to’rt belgidan iborat bir martalik parolni bir necha daqiqada qo’pol kuch bilan … » dedi Yaroslav Babin, Positive Technologies kompaniyasining bank tizimlari xavfsizligi bo’yicha tadqiqot guruhi rahbari.

Qiyosiy tahlil shuni ko’rsatdiki, sotuvchilar tomonidan taklif qilingan o’rganilgan tayyor yechimlar banklarning o’zlari tomonidan ishlab chiqilgan tizimlarga qaraganda uch baravar kam zaifliklarga ega edi. Biroq, ishlab chiqarish va sinov tizimlaridagi zaifliklar soni teng edi: statistikaga ko’ra, 2018-yilda ikkala turdagi tizimlar ham ko’p hollarda kamida bitta muhim zaiflikka ega edi. Mutaxassislar buni ishlab chiquvchilar tizimni xavfsizlik uchun bir marta sinovdan o’tkazgandan so’ng, dastur kodiga o’zgartirishlar kiritgandan so’ng uning xavfsizligini qayta tahlil qilishni keyinga qoldirishga moyil bo’lishlari bilan bog’laydilar, bu esa muqarrar ravishda zaifliklarning to’planishiga olib keladi va vaqt o’tishi bilan ularning soni dastlabki skanerlash paytida aniqlanganlar soniga tenglashadi.

2018-yilda onlayn moliyaviy ilovalar xavfsizligidagi asosiy ijobiy tendentsiya barcha aniqlangan kamchiliklar orasida yuqori xavfli zaifliklar ulushining kamayishi bo’ldi. Positive Technologies ma’lumotlariga ko’ra, muhim zaifliklar ulushi o’tgan yilga nisbatan ikki baravar kamaydi. Biroq, onlayn banklarning umumiy xavfsizlik darajasi pastligicha qolmoqda.