Хуже Google: большинство сайтов банков доступны для мошенников
Уязвимости и проблемы с безопасностью есть у всех сайтов ведущих банков России. К такому выводу пришла группа исследователей консалтинговой компании в области информационной безопасности Digital Security.
«Мы взяли несколько техник по улучшению безопасности веб-ресурсов и посмотрели, используют ли их российские банки из топ-100», — рассказывает один из авторов исследования «Безопасность веб-ресурсов банков России», ведущий специалист департамента аудита защищенности Сергей Белов. Называть уязвимости конкретных сайтов в компании отказываются, чтобы не давать подсказки мошенникам.
Интересно, что эксперты Digital Security проверяли только общедоступные страницы: на официальном сайте банка, а также страницы для физ- и юрлиц, если у банка они есть. «Поскольку вглубь систем мы не проникали, ситуация с интернет-банками представляется и вовсе тревожной», — заметил Белов.
Какие механизмы для защиты от самых популярных атак есть у крупнейших российских банков и как обезопасить себя самому, если банк об этом не позаботился?
Имитация банка
Суть атаки в том, что мошенники пытаются выдать себя за банк. Например, рассылают клиентам письма якобы от имени банка с просьбой ввести свои личные данные, либо создают похожий сайт, а клиент по ошибке принимает его за настоящий и вводит свои личные данные. Чаще всего мошенники либо регистрируют сайт с тем же названием, но в другой доменной зоне (например, оригинальный сайт — somebank.ru, поддельная страница — самбанк.рф), подменяют символы (вместо I - 1, вместо о — 0), или же «перемешивают» буквы в названии сайта (страницу rusomebank.ru дублируют страницей rsuomebank.ru).
Результат: От первой схемы защищены только 25 сайтов, от второй - 14, от третьей — 13 банков. От всех схем сразу защищены лишь 5 банковских сайтов.
Как защититься: Всегда проверять, что написано в адресной строке. Не лишним будет потратить пару минут и проверить, нет ли похожего сайта, но в другой доменной зоне. Например, вы сидите на сайте bank.ru, при этом поисковик выдает вам сайт bank.рф. Это повод для беспокойства и звонка в call-центр банка.
Невидимая копия сайта
Механизм атаки прост: пользователь нажимает на один элемент страницы, а фактически переходит на другой. По сути, поверх видимой страницы сайта появляется «невидимый слой», в который злоумышленник загружает нужную ему страницу. Для клиентов банка это может быть опасно при «быстрых» платежах, например, переводе денег на телефон. Вместо того, чтобы пополнить свой счет, они отправят деньги мошеннику. Защититься от этого позволяют несколько инструментов. Один из них запрещает браузеру пользователя переходить со страницы сайта на чужие домены. Второй «подсказывает» браузеру клиента, с каких сайтов он может загружать картинки, документы, а с каких — нет.
Результат: Первый инструмент есть у 15 сайтов. Второй — у одного.
Как защититься: Во-первых, не забывайте выходить из своего аккаунта, когда закончили работу с интернет-банком. Во-вторых, не пользуйтесь другими сайтами, когда открыт сайт банка, либо страница для частных или корпоративных клиентов.
Перехват соединения
Еще одна популярная схема — перехват трафика. Это возможно, например, когда пользователь подключается к открытой сети WiFi и с помощью мобильного банка или веб-браузера оплачивает покупки. Для защиты от нее на сайтах используется так называемый криптографический протокол (SSL), который обеспечивает безопасную передачу данных. Если SSL есть, злоумышленник по-прежнему может перехватить данные, но ему потребуются годы, чтобы их расшифровать.
Результат: По шкале от 2 до 5+, где 2 — слабая защищенность, а 5+ — очень высокая, средняя оценка для официальных сайтов банков составила 3 балла. Для сравнения, рейтинг сайта Google - 4, VK - 5, а Wikipedia — 5+.
Как защититься: Ничего не покупайте и не переводите средства, когда вы подключены к публичной сети WiFi.