Источник: Известия
Подавляющее большинство российских банков не соответствуют даже базовым требованиям к настройке безопасности веб-ресурсов. Нынешний уровень их защиты позволяет преступникам рассчитывать на результативные атаки и доступ к персональным данным клиентов. Такой вывод можно сделать из исследования Digital Security. Как рассказали «Известиям» в компании, пробелы в защите были обнаружены у всех банков, причем самой распространенной уязвимостью является программа BEAST — от нее не защищены 79% кредитных организаций.
Более того, как рассказали «Известиям» в компании, 76% российских банков указывают в HTTP-заголовке имя своего сервера, тем самым показывая, какое программное обеспечение он использует и упрощая злоумышленникам поиск уязвимых мест.
Целью исследования стала оценка уровня безопасности публично доступных ресурсов, таких как официальный сайт и дистанционное обслуживание (ДБО) для физических и юридических лиц. Для тестирования специалистами Digital Security были выбраны 200 ведущих российских банков. Чтобы выявить уязвимости, исследователи отправляли к веб-ресурсам кредитных организаций доступные любому пользователю запросы.
— Аналогичное исследование мы уже проводили в 2015 году. Повторный анализ показал, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют в ряде систем. Это позволяет злоумышленникам рассчитывать на успешную реализацию атак, — пояснила «Известиям» старший аналитик отдела аудита защищенности Digital Security Любовь Антонова.
Небезопасные настройки веб-ресурсов значительно облегчают хакерам работу, уточнила она.
Если они взламывают систему безопасности банка, то могут получить доступ к персональным данным клиентов, для которых возрастает риск стать жертвами мошенников.
По информации, которая была представлена Центробанком на летнем Международном финансовом конгрессе, кредитные организации остаются важнейшим объектом внимания киберпреступников. Именно через них происходит четверть утечек конфиденциальной информации.
Неласковый зверь
Самой распространенной уязвимостью, как показало исследование, оказалась программа BEAST — от этого не защищены 79% российских банков. Это, кстати, не самый высокий результат.
Тестирование, которое затронуло также 20 крупных зарубежных банков, выявило, что в Японии, Китае и Бразилии этот показатель выше — 90%, 84% и 82% соответственно.
«За шифрование соединения отвечают протоколы, которые сегодня являются самыми популярными методами обеспечения защиты. Чтобы пользователь посетил нужный сайт и не перешел на сайт мошенника, у сервера должен быть цифровой сертификат, подтверждающий подлинность домена и владельца сайта», — говорится в исследовании Digital Security.
Но проблема в том, что банки зачастую пользуются устаревшими протоколами для шифрования соединения. Как выяснили специалисты, лишь 6% кредитных организаций используют последнюю версию протокола для официальных сайтов и ДБО юрлиц и еще 5% — для дистанционного обслуживания физлиц. Для примера — в Китае этот показатель составляет 63% и 44% соответственно.
В ходе исследования было обнаружено около 3% забытых доменов. Для проверки работоспособности сайта и его отладки создаются тестовые страницы в Сети, но разработчики часто пренебрегают их безопасностью, а иногда и вовсе оставляют в открытом доступе по окончании работ. При этом через такие уязвимые страницы можно получить доступ к рабочим ресурсам компании и нарушить их функционирование, отмечается в исследовании.