Треть крупных банков в США подвергают пользователей риску кибератак

Венгерский исследователь Габор Сатмари (Gabor Szathmari) проанализировал пользовательские страницы авторизации 21 крупного американского банка. Как оказалось, треть (9) из них загружают код JavaScript со сторонних ресурсов, подвергая пользователей ненужному риску.

В теории банковские страницы входа в систему должны быть самыми безопасными, однако на практике в силу разных причин все по-другому. Как выяснил Сатмари, многие банки не реализовывают надежную защиту страниц и в итоге непреднамеренно загружают файлы JavaScript со сторонних сайтов.

Сама по себе загрузка JavaScript-файлов не является проблемой, однако некоторые из них хранятся на серверах других компаний. В случае компрометации сервера, злоумышленники могут внедрить в скрипты вредоносный код и исполнить его на банковской странице авторизации. Путем внедрения кода злоумышленники могут записывать нажатия клавиш, похищать учетные данные и cookie-файлы, делать скриншоты и пр.

По словам эксперта, простой аналитический скрипт может представлять угрозу для сложной системы защиты банка. Вне зависимости от количества многомиллионных контрактов, заключаемых банками со специализирующимися на обеспечении информационной безопасности компаниями, загружая сторонние аналитические скрипты, финучреждения продолжают оставаться уязвимыми к кибератакам.

В качестве решения проблемы Сатмари предложил удалять аналитический скрипт со страниц, а также реализовать поддержку стандарта целостности подресурсов (Subresource Integrity), способствующего снижению рисков применения эксплоитов, загружаемых с посторонних сайтов.