Исследователь ИБ рассказал о распространенных уязвимостях банковских систем

image

Теги: банк, уязвимость, безопасность

Логические ошибки при банковском переводе позволяют злоумышленнику поменять 100 долларов на 100 евро.

Генеральный директор компании-поставщика решений по информационной безопасности ACROS Security Митя Колсек (Mitja Kolsek) поделился с читателями корпоративного блога информацией об уязвимостях систем онлайн банкинга, с которыми ему часто доводилось встречаться. По словам эксперта, почти в каждой системе, допускающей автоматизированное осуществление денежных переводов, можно найти критическую ошибку, позволяющую злоумышленнику воровать средства, как у пользователей службы, таки и у самого банка.

В своей публикации Митя Колсек привел пример схемы, при которой злоумышленник может похитить у системы онлайн банкинга крупную сумму денег, не нарушая при этом никаких законов и пользовательских соглашений. В этой схеме задействуется функция округления сумм при проведении обмена валют таким образом, что за 100 долларов злоумышленник может получить 100 евро, несмотря на разницу в курсе.

Исследователь объясняет, что при обмене валют всегда существует два курса – курс продажи и курс покупки. Благодаря существованию этой разницы, или спрэда, банки при переводе денег из одной валюты в другую всегда получают прибыль. Во время проведения конвертации при использовании большинства валют банки округляют суммы до двух десятых от денежной единицы. Так, при покупке долларов на сумму 1000,00 евро клиент получает, например, 1.364,00 условных единиц, хотя на самом деле при текущем курсе валют реальная сумма обмена может составлять порядка 1.364,0045.

Используя эту систему округления злоумышленник может попытаться совершить обмен минимально допустимой суммы –в большинстве случаев это 0,01 от единицы денежной валюты. Если попытаться таким образом поменять 0,01 евро на доллары, то получится сумма приблизительно в 0,01364 долларов. Банк автоматически округлит получившуюся величину до двух сотых и выдаст клиенту 0,01 доллара, что составит 27% убытка клиенту. Однако если попытаться произвести ту же операцию наоборот, то при конвертации получится сумма приблизительно в 0,0072046, которая также, в конечном счете, будет округлена до 0,01.

В вышеприведенном примере потенциальный злоумышленник, воспользовавшись легитимными средствами, получил доход в 38,8%. Проведение данной транзакции не сможет принести большого дохода, однако если повторить операцию по обмену сто раз, то 1 доллар можно поменять на 1 евро. При использовании автоматизированных сценариев, злоумышленники может производить десятки тысяч транзакций в день и зарабатывать по несколько тысяч долларов.

По словам гендиректора ACROS Security, данная схема впервые была описана еще в 2001 году в исследовании «Асимметричное округление валют» («Assymetric Currency Rounding»), но оно до сих пор часто встречается в современных системах онлайн банкинга.

Подробно с публикацией ACROS Security можно ознакомиться здесь.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus