​Сайты почти трех десятков российских банков оказались уязвимыми для мошенников

Существенная часть российских банков, сайты которых приводит ресурс ЦБ РФ, могут быть уязвимыми для «фишинга» - тактики мошенников, которая позволяет получить личные данные клиента. К такому выводу пришли эксперты компании StopPhish, специализирующейся на борьбе с подобными технологиями.


Специалисты исследовали 358 сайтов, и в 27 из них обнаружили так называемые открытые редиректы. Речь идет о том, что при помощи несложной манипуляции с адресом сайта можно перенаправить пользователя на сторонний ресурс.

- Например, сотруднику или клиенту банка приходит письмо со ссылкой, в которой он видит знакомый адрес сайта банка: «bank.ru/redirect.php?goto=https://…». Редирект ведет на мошеннический ресурс, - пояснил «Коммерсанту» сооснователь проекта StopPhish Юрий Другач.

По его мнению, вероятность клика по такой ссылке доходит до 80% - человек просто не успеет задуматься о возможном подвохе. Мошенники же могут использовать эту возможность для того, чтобы завладеть конфиденциальной информацией пользователя. Несложно догадаться, что среди этой информации будут и данные о счетах клиента, так как они имеются на сайте банка.

Проблема, как выяснилось, касалась тех банков, чьи сайты работали на системе управления «1С-Битрикс». Как рассказал «Ъ» собеседник в одном из крупных кредитных учреждений, большинство участников рынка узнали об «открытом редиректе» год назад, после чего отключили его. Сооснователь «1С-Битрикс» Сергей Рыжиков уточнил, что система защиты от подобных махинаций в системе предусмотрена – по его словам, она стоит в настройках по умолчанию.

27 банкам, упомянутым в исследовании StopPhish, следует чаще прибегать к аудиту информбезопасности, заявил представитель IT-компании «Крок» Александр Черныхов. Поиск подобных уязвимостей проводится в рамках пентеста – «теста на проникновение», который банки должны проводить ежегодно.

Поделиться
Отправить
Класснуть