Сколько стоит лазейка для хакера

Приложения и программное обеспечение, от банковских до промышленных, – желанная цель для киберпреступников, так как в случае успешной атаки они получают доступ к чувствительным данным миллионов пользователей или критически важному оборудованию. Тем более что в трех четвертях массовых приложений эксперты выявляют критические уязвимости, успешная эксплуатация которых может позволить злоумышленнику нанести существенный ущерб информационным активам компании и личным данным клиентов. «Ведомости&» разбирались, какие риски стоит учитывать при разработке приложений.

Скрытые угрозы вместо явных

Более 50% веб-приложений содержат уязвимости высокой или средней степени критичности, выяснили аналитики «Солара», исследовав веб-приложения более 100 финансовых организаций.

В массовых приложениях (доставка еды, онлайн-аптеки, продуктовый и непродуктовый ритейл, сервисы онлайн-знакомств) аналитики Solar appScreener обнаружили уязвимости более чем в 75% случаев. Вне зависимости от отраслевой привязки уязвимости приводят к утечкам данных и позволяют киберпреступникам реализовать MITM‑атаки (man in the middle, «человек посередине»).

«Мобильные приложения не существуют изолированно – они тесно связаны с веб-бэкендом и программными интерфейсами API. Поэтому значительная часть угроз для мобильных платформ и обрабатываемых ими данных повторяет ландшафт веб-уязвимостей», – рассказывает Дмитрий Царев, руководитель управления облачных решений кибербезопасности Bi.Zone.

Уязвимости в приложениях также провоцируют рост атак на цифровые сервисы. В 2025 г., по данным Solar 4RAYS, признаки атак хакеров имела каждая пятая компания из финсектора: на одну компанию в IV квартале приходилось 74 заражения вредоносными программами – почти в 4 раза больше, чем в аналогичном периоде прошлого года. На 1-е место в топе угроз вышли так называемые стилеры – программы для кражи данных пользователей, в том числе логинов и паролей. В 2025 г. стилерами были заражены 41% компаний.

На 2-м месте – средства удаленного доступа (RAT) и бэкдоры (21%). С помощью бэкдоров злоумышленники могут управлять взломанными устройствами и продавать доступы к взломанным инфраструктурам на черном рынке. На 3-м – индикаторы присутствия профессиональных APT-группировок (20%) (Advanced Persistent Threat – «устойчивая угроза повышенной сложности»: группы киберпреступников, специализирующихся на сложных постоянных угрозах. – «Ведомости&»).

Почему обмануть клиента легче всего

Причины появления уязвимостей в приложениях могут быть разными, рассказывает Царев. «Обычно они связаны как с процессами разработки, так и с особенностями эксплуатации. Иногда проблема возникает из-за недостаточной подготовки разработчиков в области безопасной разработки. В этом случае в коде отсутствует корректная валидация и проверка данных либо реализуются небезопасные механизмы загрузки и исполнения файлов», – говорит он. Дополнительный риск – использование стандартных настроек при развертывании серверов и сервисов, включая типовые учетные данные. Угрозу также представляет применение устаревших или неактуализированных библиотек с известными уязвимостями, в том числе в рамках атак на цепочку поставок.

Кибератаки на мобильное приложение Газпромбанка в 2025 г. фиксировались редко, делится опытом заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков. По его словам, это было связано с тем, что официальное приложение банка блокировали в иностранных магазинах приложений и его приходилось постоянно обновлять и переименовывать. Уязвимостей в приложении банка не было, но злоумышленники регулярно пытались атаковать самих клиентов. «В некоторых случаях клиенты Газпромбанка под воздействием социальной инженерии совершали попытки переводов денежных средств через мобильное приложение Газпромбанка на внешние счета дропперов», – объясняет Плешков.

В Ozon для защиты учетных записей внедрили системы, которые анализируют типичное поведение пользователя. «При любом отклонении – например, вход с нового устройства или нехарактерная активность по возвратам – система может автоматически заблокировать операцию и запросить дополнительную проверку. Это позволяет в 80% случаев пресекать попытки взлома еще на подходе», – делятся статистикой в компании.

Искусственный интеллект в руках хакеров

Мошенники пытаются украсть данные пользователей не только через приложения, но и через инфраструктуру финансовых сервисов в целом. Экосистема Т-банка в 2025 г. столкнулась более чем с 400 000 реальных попыток атак, сообщил руководитель управления реагирования на инциденты информационной безопасности банка Игорь Кубышко. В их числе были попытки несанкционированного доступа, фишинговые кампании, атаки на инфраструктуру, эксплуатация уязвимостей и элементы социальной инженерии.

Ни одна из попыток не достигла своей цели, но атак действительно стало больше. По мнению Кубышко, это связано с несколькими причинами. Во-первых, масштаб цифровых сервисов сам по себе растет: «Больше точек входа – больше интеграций»; во-вторых, это автоматизация: «Атаки стали дешевле и быстрее»; в-третьих, геополитический фактор: финансовый сектор остается главной целью мошенников; и в-четвертых, ИИ-инструменты, которые «резко снизили порог входа в киберпреступность».

Развитие искусственного интеллекта (ИИ), по словам эксперта, стало отдельным вызовом. Злоумышленники используют ИИ для генерации убедительных фишинговых писем в промышленных масштабах, подделки голоса и видео (deepfake), автоматизации разведки и поиска уязвимостей, а также ускорения написания вредоносного кода.

Схожие тренды отмечают в сервисе каршеринга «Делимобиль». «В 2025 г. количество попыток кибератак продолжало расти. При этом большинство из них носит массовый и автоматизированный характер: специальные программы пытаются проверять внешнюю инфраструктуру на наличие уязвимостей», – говорит директор департамента информационной безопасности «Делимобиля» Александр Тихомиров.

Как защититься от мошенников

Защита финансовых приложений должна быть многоуровневой, подчеркивают в Ассоциации банков России. Сейчас банки следуют принципу security by design (безопасность по умолчанию) и встраивают меры защиты в приложение изначально, еще на этапе разработки, указывает директор департамента стратегического развития Ассоциации банков России Булат Андержанов. По его словам, банки применяют многофакторную аутентификацию и архитектуру Zero Trust, основанную на принципе «никому не доверяй, всегда проверяй»: доступы к системам выдаются только после автоматических проверок и на ограниченное время.

Стандартные способы, которые используют в Газпромбанке для защиты приложения от уязвимостей, – это пентест (тестирование на проникновение) приложения до релиза, а также реверсивный анализ кода. Помимо этого банк использует двухфакторную аутентификацию, биометрию, отслеживание изменений параметров (номер, версия) и настроек операционной системы мобильного телефона, сложные пароли, контроль целостности и шифрование данных, лимиты по сумме совершения операций, различные каналы для их подтверждения и многое другое. Серебряной пули для защиты от всех кибератак нет – меры защиты должны использоваться только в комплексе, уточняет Плешков из Газпромбанка.

В Т-банке особое внимание уделяют также применению ИИ. По словам Кубышко, банк активно использует атакующих ИИ-агентов для поиска уязвимостей, а также ИИ-ассистентов, включая Safeliner (собственный ассистент Т-банка по информационной безопасности. – «Ведомости&»), для анализа исходного кода и устранения проблем еще на этапе разработки. Помимо этого ИИ используется для расследования и предотвращения инцидентов. «30% кейсов закрывается без участия человека и без потери качества, а 86% атак отбивает ИИ», – сообщает Кубышко.

Автоматизация может помочь не только мошенникам, считают и в «Делимобиле». «Раньше часть задач выполнялась вручную или с помощью собственных скриптов – это работало, но было менее удобно и эффективно. Сегодня многие процессы автоматизированы, что позволяет быстрее и надежнее выявлять и предотвращать потенциальные угрозы», – считает Тихомиров. Программное обеспечение в каршеринге, по его словам, проверяется регулярно, в этом участвует не только команда RedTeam (группа специалистов компании, которая действует против так называемой Blue Team – защитников приложения), но и внешние специалисты.

Подход ShiftLeft, при котором процессы безопасной разработки встраиваются в ранние этапы разработки приложений, становится все более распространенным в российской софтверной индустрии. Он позволяет кратно сократить стоимость исправления уязвимостей. В противном случае она возрастает в 10 раз на поздних этапах разработки, в 640 раз – на этапе запуска приложения и в 1000 раз, если уязвимость привела к инциденту в момент, когда приложение используют миллионы клиентов, пояснил руководитель группы по развитию безопасности приложений ГК «Солар» Дмитрий Белков.

Например, стоимость исправления уязвимостей на раннем этапе разработки составляет лишь несколько тысяч рублей, тогда как на этапе эксплуатации это уже миллионы, связанные с возможной остановкой производства. И это без учета репутационного ущерба, оттока клиентов к конкурентам и связанного с этим напрямую падения выручки, если веб-приложение является основным каналом продаж, дополняет Белков.

Как отмечает эксперт, расчеты для одного из крупных клиентов «Солара» показали, что инвестиции в безопасную разработку в размере 50 млн руб. даже при невысоком уровне цифровой зрелости возвращаются за 8–10 месяцев и в среднем показывают уровень возврата инвестиций в районе 120–150%. Для более зарегулированного и, соответственно, более зрелого сектора финансов этот показатель еще выше и достигает порой до 170% в зависимости от уровня цифрового развития организации. &