»сследователь »Ѕ рассказал о распространенных у€звимост€х банковских систем

image

“еги: банк, у€звимость, безопасность

Ћогические ошибки при банковском переводе позвол€ют злоумышленнику помен€ть 100 долларов на 100 евро.

√енеральный директор компании-поставщика решений по информационной безопасности ACROS Security ћит€  олсек (Mitja Kolsek) поделилс€ с читател€ми корпоративного блога информацией об у€звимост€х систем онлайн банкинга, с которыми ему часто доводилось встречатьс€. ѕо словам эксперта, почти в каждой системе, допускающей автоматизированное осуществление денежных переводов, можно найти критическую ошибку, позвол€ющую злоумышленнику воровать средства, как у пользователей службы, таки и у самого банка.

¬ своей публикации ћит€  олсек привел пример схемы, при которой злоумышленник может похитить у системы онлайн банкинга крупную сумму денег, не наруша€ при этом никаких законов и пользовательских соглашений. ¬ этой схеме задействуетс€ функци€ округлени€ сумм при проведении обмена валют таким образом, что за 100 долларов злоумышленник может получить 100 евро, несмотр€ на разницу в курсе.

»сследователь объ€сн€ет, что при обмене валют всегда существует два курса – курс продажи и курс покупки. Ѕлагодар€ существованию этой разницы, или спрэда, банки при переводе денег из одной валюты в другую всегда получают прибыль. ¬о врем€ проведени€ конвертации при использовании большинства валют банки округл€ют суммы до двух дес€тых от денежной единицы. “ак, при покупке долларов на сумму 1000,00 евро клиент получает, например, 1.364,00 условных единиц, хот€ на самом деле при текущем курсе валют реальна€ сумма обмена может составл€ть пор€дка 1.364,0045.

»спользу€ эту систему округлени€ злоумышленник может попытатьс€ совершить обмен минимально допустимой суммы –в большинстве случаев это 0,01 от единицы денежной валюты. ≈сли попытатьс€ таким образом помен€ть 0,01 евро на доллары, то получитс€ сумма приблизительно в 0,01364 долларов. Ѕанк автоматически округлит получившуюс€ величину до двух сотых и выдаст клиенту 0,01 доллара, что составит 27% убытка клиенту. ќднако если попытатьс€ произвести ту же операцию наоборот, то при конвертации получитс€ сумма приблизительно в 0,0072046, котора€ также, в конечном счете, будет округлена до 0,01.

¬ вышеприведенном примере потенциальный злоумышленник, воспользовавшись легитимными средствами, получил доход в 38,8%. ѕроведение данной транзакции не сможет принести большого дохода, однако если повторить операцию по обмену сто раз, то 1 доллар можно помен€ть на 1 евро. ѕри использовании автоматизированных сценариев, злоумышленники может производить дес€тки тыс€ч транзакций в день и зарабатывать по несколько тыс€ч долларов.

ѕо словам гендиректора ACROS Security, данна€ схема впервые была описана еще в 2001 году в исследовании «јсимметричное округление валют» («Assymetric Currency Rounding»), но оно до сих пор часто встречаетс€ в современных системах онлайн банкинга.

ѕодробно с публикацией ACROS Security можно ознакомитьс€ здесь.


или введите им€

CAPTCHA
Proteus
12-01-2012 11:39:18
ј где интересно можно увидить округление, которое может в большую сторону срабатывать? ¬сегда просто цифры отсекают.
0 |