Большинство web-сайтов российских банков уязвимы к кибератакам

image

Теги: уязвимость, безопасность, банки, Россия

На официальных сайтах двух банков web-серверы уязвимы к атаке Heartbleed.

Уязвимости и проблемы с безопасностью есть у всех сайтов ведущих банков России. Данный вывод сделали специалисты консалтинговой компании Digital Security на основе проведенного исследования безопасности web-сайтов топ-100 российских банков. Главной задачей экспертов была оценка уровня безопасности публично доступных банковских ресурсов: официального сайта, а также дистанционного банковского обслуживания (ДБО) для физических и юридических лиц. Все данные были собраны с точки зрения обычного посещения пользователя (несколько HTTP, SSL, DNS-запросов).

Злоумышленники могут получить доступ к данным с помощью различных способов. К примеру, мошенники могут выдать себя за банк, рассылая клиентам письма якобы от финансовой организации с просьбой ввести персональные данные, либо зарегистрировать сайт с аналогичным названием, но в другой доменной зоне или же «перемешать» буквы в названии сайта.

Как показало тестирование, лишь у 6% банков нельзя зарегистрировать доменное имя, содержащее дублированные буквы, для остальных же участников можно зарегистрировать либо один из сайтов, либо ДБО физ/юрлиц. Не позволяют зарегистрировать домен с омоглифом 14% банков. Всего 5% банков не разрешают зарегистрировать домен с использованием омоглифов, перестановок, повторений и смены доменной зоны.

Кроме того, для 17 сайтов можно извне отправить AXFR-запрос на DNS-сервер и раскрыть все записи для домена банка, позволяющие определить инфраструктуру, внутренние ресурсы и адреса значимых серверов (например, Автоматизированной Банковской Системы, АБС).

Согласно отчету, на официальных сайтах двух банков web-серверы уязвимы к атаке Heartbleed. В случае использования для официального сайта и для системы ДБО Wildcard SSL-сертификата (или просто одинаковый, выписанный для этих доменов), злоумышленник получит возможность похитить закрытый ключ SSL и осуществить атаку «человек посередине». Таким образом мошенник сможет прослушивать и изменять трафик, данные для проведения транзакции в ДБО и похищать средства со счетов клиентов банка.

Как выяснилось по итогам исследования, практически все интернет-ресурсы ведущих банков России в той или иной мере являются уязвимыми. Эксперты провели проверку только для общедоступных сайтов, не проникая вглубь системы, поэтому ситуация с информационной безопасностью банков вызывает опасения.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.