Перейти к основному контенту
Финансы ,  
0 

Хуже Google: большинство сайтов банков доступны для мошенников

Большинство веб-сайтов российских банков из топ-100 уязвимы для кибератак, выяснила консалтинговая компания Digital Security. Как не стать жертвой мошенников?
Фото: Markku Ulander/Lehtikuva/ТАСС
Фото: Markku Ulander/Lehtikuva/ТАСС

Уязвимости и проблемы с безопасностью есть у всех сайтов ведущих банков России. К такому выводу пришла группа исследователей консалтинговой компании в области информационной безопасности Digital Security.

«Мы взяли несколько техник по улучшению безопасности веб-ресурсов и посмотрели, используют ли их российские банки из топ-100», — рассказывает один из авторов исследования «Безопасность веб-ресурсов банков России», ведущий специалист департамента аудита защищенности Сергей Белов. Называть уязвимости конкретных сайтов в компании отказываются, чтобы не давать подсказки мошенникам.

Интересно, что эксперты Digital Security проверяли только общедоступные страницы: на официальном сайте банка, а также страницы для физ- и юрлиц, если у банка они есть. «Поскольку вглубь систем мы не проникали, ситуация с интернет-банками представляется и вовсе тревожной», — заметил Белов.

Какие механизмы для защиты от самых популярных атак есть у крупнейших российских банков и как обезопасить себя самому, если банк об этом не позаботился?

Имитация банка

Суть атаки в том, что мошенники пытаются выдать себя за банк. Например, рассылают клиентам письма якобы от имени банка с просьбой ввести свои личные данные, либо создают похожий сайт, а клиент по ошибке принимает его за настоящий и вводит свои личные данные. Чаще всего мошенники либо регистрируют сайт с тем же названием, но в другой доменной зоне (например, оригинальный сайт — somebank.ru, поддельная страница — самбанк.рф), подменяют символы (вместо I - 1, вместо о — 0), или же «перемешивают» буквы в названии сайта (страницу rusomebank.ru дублируют страницей rsuomebank.ru).

Результат: От первой схемы защищены только 25 сайтов, от второй - 14, от третьей — 13 банков. От всех схем сразу защищены лишь 5 банковских сайтов.

Как защититься: Всегда проверять, что написано в адресной строке. Не лишним будет потратить пару минут и проверить, нет ли похожего сайта, но в другой доменной зоне. Например, вы сидите на сайте bank.ru, при этом поисковик выдает вам сайт bank.рф. Это повод для беспокойства и звонка в call-центр банка.

Невидимая копия сайта

Механизм атаки прост: пользователь нажимает на один элемент страницы, а фактически переходит на другой. По сути, поверх видимой страницы сайта появляется «невидимый слой», в который злоумышленник загружает нужную ему страницу. Для клиентов банка это может быть опасно при «быстрых» платежах, например, переводе денег на телефон. Вместо того, чтобы пополнить свой счет, они отправят деньги мошеннику. Защититься от этого позволяют несколько инструментов. Один из них запрещает браузеру пользователя переходить со страницы сайта на чужие домены. Второй «подсказывает» браузеру клиента, с каких сайтов он может загружать картинки, документы, а с каких — нет.

Результат: Первый инструмент есть у 15 сайтов. Второй — у одного.

Как защититься: Во-первых, не забывайте выходить из своего аккаунта, когда закончили работу с интернет-банком. Во-вторых, не пользуйтесь другими сайтами, когда открыт сайт банка, либо страница для частных или корпоративных клиентов.

Перехват соединения

Еще одна популярная схема — перехват трафика. Это возможно, например, когда пользователь подключается к открытой сети WiFi и с помощью мобильного банка или веб-браузера оплачивает покупки. Для защиты от нее на сайтах используется так называемый криптографический протокол (SSL), который обеспечивает безопасную передачу данных. Если SSL есть, злоумышленник по-прежнему может перехватить данные, но ему потребуются годы, чтобы их расшифровать.

Результат: По шкале от 2 до 5+, где 2 — слабая защищенность, а 5+ — очень высокая, средняя оценка для официальных сайтов банков составила 3 балла. Для сравнения, рейтинг сайта Google - 4, VK - 5, а Wikipedia — 5+.

Как защититься: Ничего не покупайте и не переводите средства, когда вы подключены к публичной сети WiFi.

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Видео недоступно при нулевом балансе

Лента новостей
Курс евро на 9 ноября
EUR ЦБ: 105,45 (-0,12)
Инвестиции, 08 ноя, 17:48
Курс доллара на 9 ноября
USD ЦБ: 97,83 (-0,24)
Инвестиции, 08 ноя, 17:48
Губернатор Орловской области сообщил о восьми сбитых дронахПолитика, 11:15
Гладков заявил, что семье погибшего в запретной зоне мужчины не помогутПолитика, 11:09
В НАТО назвали соглашение Трампа по России, которое подорвет интересы СШАПолитика, 11:03
Власти Раменского и Жуковского объявили отбой тревоги из-за дроновПолитика, 10:35
Торговля с Вьетнамом: условия и порог входа для российских экспортеровРБК и РЭЦ, 10:29
Калужский губернатор рассказал о повреждениях после атаки БПЛАПолитика, 10:27
Военная операция на Украине. ОнлайнПолитика, 10:22
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
В Думе рассказали, как беременным оформить сертификат на 12 тыс. руб.Общество, 10:17
В Подмосковье женщина попала с ожогами в реанимацию после атаки дроновПолитика, 10:16
Равнение на персонализацию: какие тренды определят будущее IT и телекомаОтрасли, 10:16
Два дома загорелись в Раменском после атаки дроновПолитика, 10:07
Третий аэропорт ограничил полеты из-за атаки дронов на МосквуПолитика, 10:05
Московский регион подвергся самой массовой атаке беспилотников⁠Политика, 09:59
В Госдуме предложили давать квартиры вышедшим на пенсию полицейскимОбщество, 09:49