Перейти к основному контенту
Финансы ,  
0 

Хуже Google: большинство сайтов банков доступны для мошенников

Большинство веб-сайтов российских банков из топ-100 уязвимы для кибератак, выяснила консалтинговая компания Digital Security. Как не стать жертвой мошенников?
Фото: Markku Ulander/Lehtikuva/ТАСС
Фото: Markku Ulander/Lehtikuva/ТАСС

Уязвимости и проблемы с безопасностью есть у всех сайтов ведущих банков России. К такому выводу пришла группа исследователей консалтинговой компании в области информационной безопасности Digital Security.

«Мы взяли несколько техник по улучшению безопасности веб-ресурсов и посмотрели, используют ли их российские банки из топ-100», — рассказывает один из авторов исследования «Безопасность веб-ресурсов банков России», ведущий специалист департамента аудита защищенности Сергей Белов. Называть уязвимости конкретных сайтов в компании отказываются, чтобы не давать подсказки мошенникам.

Интересно, что эксперты Digital Security проверяли только общедоступные страницы: на официальном сайте банка, а также страницы для физ- и юрлиц, если у банка они есть. «Поскольку вглубь систем мы не проникали, ситуация с интернет-банками представляется и вовсе тревожной», — заметил Белов.

Какие механизмы для защиты от самых популярных атак есть у крупнейших российских банков и как обезопасить себя самому, если банк об этом не позаботился?

Имитация банка

Суть атаки в том, что мошенники пытаются выдать себя за банк. Например, рассылают клиентам письма якобы от имени банка с просьбой ввести свои личные данные, либо создают похожий сайт, а клиент по ошибке принимает его за настоящий и вводит свои личные данные. Чаще всего мошенники либо регистрируют сайт с тем же названием, но в другой доменной зоне (например, оригинальный сайт — somebank.ru, поддельная страница — самбанк.рф), подменяют символы (вместо I - 1, вместо о — 0), или же «перемешивают» буквы в названии сайта (страницу rusomebank.ru дублируют страницей rsuomebank.ru).

Результат: От первой схемы защищены только 25 сайтов, от второй - 14, от третьей — 13 банков. От всех схем сразу защищены лишь 5 банковских сайтов.

Как защититься: Всегда проверять, что написано в адресной строке. Не лишним будет потратить пару минут и проверить, нет ли похожего сайта, но в другой доменной зоне. Например, вы сидите на сайте bank.ru, при этом поисковик выдает вам сайт bank.рф. Это повод для беспокойства и звонка в call-центр банка.

Программа развития РБК Pro Освойте 52 навыка за год
Программа развития — удобный инструмент непрерывного обучения новым навыкам для успешной карьеры

Невидимая копия сайта

Механизм атаки прост: пользователь нажимает на один элемент страницы, а фактически переходит на другой. По сути, поверх видимой страницы сайта появляется «невидимый слой», в который злоумышленник загружает нужную ему страницу. Для клиентов банка это может быть опасно при «быстрых» платежах, например, переводе денег на телефон. Вместо того, чтобы пополнить свой счет, они отправят деньги мошеннику. Защититься от этого позволяют несколько инструментов. Один из них запрещает браузеру пользователя переходить со страницы сайта на чужие домены. Второй «подсказывает» браузеру клиента, с каких сайтов он может загружать картинки, документы, а с каких — нет.

Результат: Первый инструмент есть у 15 сайтов. Второй — у одного.

Как защититься: Во-первых, не забывайте выходить из своего аккаунта, когда закончили работу с интернет-банком. Во-вторых, не пользуйтесь другими сайтами, когда открыт сайт банка, либо страница для частных или корпоративных клиентов.

Перехват соединения

Еще одна популярная схема — перехват трафика. Это возможно, например, когда пользователь подключается к открытой сети WiFi и с помощью мобильного банка или веб-браузера оплачивает покупки. Для защиты от нее на сайтах используется так называемый криптографический протокол (SSL), который обеспечивает безопасную передачу данных. Если SSL есть, злоумышленник по-прежнему может перехватить данные, но ему потребуются годы, чтобы их расшифровать.

Результат: По шкале от 2 до 5+, где 2 — слабая защищенность, а 5+ — очень высокая, средняя оценка для официальных сайтов банков составила 3 балла. Для сравнения, рейтинг сайта Google - 4, VK - 5, а Wikipedia — 5+.

Как защититься: Ничего не покупайте и не переводите средства, когда вы подключены к публичной сети WiFi.

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

  

Лента новостей
Курс евро на 29 марта
EUR ЦБ: 99,71 (-0,56)
Инвестиции, 28 мар, 16:51
Курс доллара на 29 марта
USD ЦБ: 92,26 (-0,33)
Инвестиции, 28 мар, 16:51
Зеленский рассказал, сколько нужно Patriot для защиты промышленности Политика, 02:07
Захарова ответила поговоркой на сравнение чиновников с продавцами навоза Политика, 01:56
В Днепре и Черкассах прогремели взрывы Политика, 01:34
Лавров назвал пиаром заявления Макрона об отправке войск на Украину Политика, 01:26
Генштаб отправил в запас достигших 27-летия до 2024 года призывников Политика, 00:56
Пассажир впал в кому во время суточной задержки рейса из Таиланда Общество, 00:39
Генштаб пообещал не привлекать срочников весеннего призыва к спецоперации Политика, 00:35
Здоровый сон: как легче засыпать и просыпаться
Интенсив РБК Pro поможет улучшить качество сна и восстановить режим
Подробнее
Власти Казахстана призвали сограждан покинуть Одессу и Харьков Политика, 00:16
Одержит ли «Спартак» первую победу в этом году в РПЛ. Интриги тура Спорт, 00:00
Верховный суд обязал ВТБ заплатить НДС за лицензии на Microsoft Технологии и медиа, 00:00
Минпросвещения дало советы тем, чьих детей призывают к терроризму Общество, 28 мар, 23:58
Какими будут обои и ламинат: где можно увидеть ремонт будущей квартиры РБК и ПИК, 28 мар, 23:33
В Киевской области прогремели взрывы Политика, 28 мар, 23:31
Зеленский объяснил нежелание некоторых стран ехать на саммит по Украине Политика, 28 мар, 23:28