Анализ безопасности SSL-соединений онлайн-банкинга ТОП-50 российских банков

image

Теги: SSL, Банки, безопасность

23% проверенных сайтов банков позволяют осуществить MitM атаку на своих клиентов.

В этой заметке я хотел бы рассказать о небольшом исследовании, которое решил посвятить онлайн-банкингу в России. А точнее его безопасности. Ни для кого не секрет, что хакеры часто используют публичные точки доступа для перехвата трафика и сбора конфиденциальных данных. Атака «человек посередине» очень опасна, поскольку позволяет в некоторых случаях похитить данные, передаваемые по зашифрованному соединению. Успех подобной атаки зависит от различных факторов, главным их которых является небезопасная настройка web-сервера. Злоумышленник может использовать слабую конфигурацию SSL/TLS протокола для перехвата и расшифровки данных, передаваемых по защищенному соединению. Существует множество атак, от которых можно защититься только с помощью правильно настроенного web-сервера.

Методика исследования

Для исследования были взяты ТОП-50 банков в РФ по рейтингу сайта banki.ru за прошлый месяц. Каждый сайт был проверен бесплатными онлайн-инструментами для тестирования надежности SSL-подключения от компаний High-Tech Bridge и Qualys .

Сайты, которые не поддерживают HTTPS или не имеют в наличии личного кабинета пользователя, были исключены из списка.

Результаты исследования


Банк

Адрес сайта

HTB

Qualys

Сбербанк России

https://www.sberbank.ru

A+

A

Газпромбанк

https://homebank.gazprombank.ru/

A

A-

ВТБ 24

https://online.vtb24.ru

A+

A

ФК Открытие

https://www.pkb24.ru

A

A

Россельхозбанк

https://cabinet.rshb.ru

B

A-

Альфа-Банк

https://alfabank.ru/

A+

A

https://link.alfabank.ru

A+

A

Банк Москвы

https://ibank.mmbank.ru

C

F

Национальный Клиринговый Центр

https://bclient.nkcbank.ru

F

F

ЮниКредит Банк

https://www.unicreditbank.ru (194.149.232.164:443)

A-

B

https://www.unicreditbank.ru (193.193.173.89:443)

C+

C

Промсвязьбанк

https://retail.payment.ru

A-

A-

Московский Кредитный Банк

https://online.mkb.ru

A+

A+

Райффайзенбанк

https://connect.raiffeisen.ru

A

С

Росбанк

https://ibank.rosbank.ru

A+

A

https://www.bankline.ru

F

C

Бинбанк

https://online.binbank.ru

A

A

https://falcon.binbank.ru

C

B

Ханты-Мансийский банк Открытие

https://online.openbank.ru

C

B

https://ibank.khmb.ru

F

C

Банк «Санкт-Петербург»

https://www.bspb.ru

A+

A-

АБ Россия

https://i.abr.ru

B+

C

Ак Барс

https://online.akbars.ru/wb/ (178.207.91.17:443)

B-

B

https://online.akbars.ru/wb/ (81.177.125.27:443)

B-

B

Совкомбанк

https://www.faktura.ru (194.85.126.49:443)

A+

A+

https://www.faktura.ru (194.85.126.1:443)

A

A

Русский Стандарт

https://online.rsb.ru (194.67.29.180:443)

A-

B

https://online.rsb.ru (94.67.29.186:443)

A-

B

Московский Областной Банк

https://ibank.mosoblbank.ru/

B+

A-

Ситибанк

https://www.citibank.ru/

A

B

Рост Банк

https://cyber.rostbank.ru

C+

B

Связь-Банк

https://megapay.sviaz-bank.ru

A

A

Нордеа Банк

https://online3.nordea.ru

A

A

Банк Уралсиб

https://i.bankuralsib.ru/

A+

A

Уральский Банк Реконструкции и Развития

https://i.ubrr.ru

A+

A+

Национальный Банк «Траст»

https://online.trust.ru/

A+

A+

МДМ Банк

http://www.mdm.ru

A+

A

Югра

https://jugra.handybank.ru/

A+

A

СМП Банк

https://smponbank.ru

A+

A-

Зенит

https://bank.zenit.ru/

A

A-

Глобэкс

https://ibank.globexbank.ru/

F

F

Новикомбанк

https://retail2.novikom.ru/

F

C

Хоум Кредит Банк

https://ib.homecredit.ru/

A

B

Внешпромбанк

https://online.feib.ru

A

A+

Абсолют Банк

https://server9.ibank.absolutbank.ru

B+

A-

Российский Капитал

https://ibank.roscap.ru

B

C

Восточный Экспресс Банк

https://www.express-bank.ru/

F

C

Транскапиталбанк

https://ibank.transcapital.com/ (91.212.137.25:443)

F

F

https://ibank.transcapital.com/ (91.212.137.17 :443)

F

F

https://ibank.transcapital.com/ (91.212.137.19:443)

F

F

https://ibank.transcapital.com/ (91.212.137.20:443)

F

F

Московский Индустриальный Банк

https://telebank.minbank.ru/

B+

B

Возрождение

https://online.bankcard.ru

B+

C

Татфондбанк

https://online.tfb.ru

С

F

МТС Банк

https://personalbank.ru/

F

C

ОТП Банк

https://ibank.otpbank.ru/

A

A-

РосЕвроБанк

https://ibanking.rosevrobank.ru

F

F

ДельтаКредит

https://info.deltacredit.ru/webby/

AА

Результаты двух различных сервисов сканирования немного различаются в следствие различных подходов к оцениванию SSL-соединения.

Итоги

Самую высокую оценку A+ согласно обоим сканерам получили следующие банки:

  • Московский Кредитный Банк
  • Уральский Банк Реконструкции и Развития
  • Национальный Банк «Траст»

 

Оценку не ниже A- по результатам сканирования двумя сканерами получили также следующие банки:

  • Сбербанк России
  • Газпромбанк
  • ВТБ 24
  • ФК Открытие
  • Альфа-Банк
  • Промсвязьбанк
  • Росбанк
  • Бинбанк
  • Банк «Санкт-Петербург»
  • Связь-Банк
  • Нордеа Банк
  • Банк Уралсиб
  • МДМ Банк
  • Югра
  • СМП Банк
  • Зенит
  • ОТП Банк
  • Совкомбанк
  • Дельтакредит

Также удовлетворяют требованиям безопасности с некоторыми оговорками следующие банки:

  • Россельхозбанк
  • Русский Стандарт
  • Московский Областной Банк
  • Хоум Кредит Банк
  • Абсолют Банк
  • Ситибанк

Общая картина выглядит таки образом:

По итогам тестирования 23% проверенных сайтов получили оценку F, что говорит о небезопасных настройках или наличии уязвимостей, позволяющих осуществить MitM атаку на клиентов банков. При этом, требованиям PCI DSS соотвествуют менее 42% проверенных сайтов.

Сайты больше половины проверенных сайтов банков (56%) являются безопасными для использования в общественных сетях.

Автор: Денис Терентьев

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.