Уязвимости и проблемы с безопасностью есть у всех сайтов ведущих банков России. К такому выводу пришла группа исследователей консалтинговой компании в области информационной безопасности Digital Security.
«Мы взяли несколько техник по улучшению безопасности веб-ресурсов и посмотрели, используют ли их российские банки из топ-100», — рассказывает один из авторов исследования «Безопасность веб-ресурсов банков России», ведущий специалист департамента аудита защищенности Сергей Белов. Называть уязвимости конкретных сайтов в компании отказываются, чтобы не давать подсказки мошенникам.
Интересно, что эксперты Digital Security проверяли только общедоступные страницы: на официальном сайте банка, а также страницы для физ- и юрлиц, если у банка они есть. «Поскольку вглубь систем мы не проникали, ситуация с интернет-банками представляется и вовсе тревожной», — заметил Белов.
Какие механизмы для защиты от самых популярных атак есть у крупнейших российских банков и как обезопасить себя самому, если банк об этом не позаботился?
Имитация банка
Суть атаки в том, что мошенники пытаются выдать себя за банк. Например, рассылают клиентам письма якобы от имени банка с просьбой ввести свои личные данные, либо создают похожий сайт, а клиент по ошибке принимает его за настоящий и вводит свои личные данные. Чаще всего мошенники либо регистрируют сайт с тем же названием, но в другой доменной зоне (например, оригинальный сайт — somebank.ru, поддельная страница — самбанк.рф), подменяют символы (вместо I - 1, вместо о — 0), или же «перемешивают» буквы в названии сайта (страницу rusomebank.ru дублируют страницей rsuomebank.ru).