На официальных сайтах двух банков web-серверы уязвимы к атаке Heartbleed.
Уязвимости и проблемы с безопасностью есть у всех сайтов ведущих банков России. Данный вывод сделали специалисты консалтинговой компании Digital Security на основе проведенного исследования безопасности web-сайтов топ-100 российских банков. Главной задачей экспертов была оценка уровня безопасности публично доступных банковских ресурсов: официального сайта, а также дистанционного банковского обслуживания (ДБО) для физических и юридических лиц. Все данные были собраны с точки зрения обычного посещения пользователя (несколько HTTP, SSL, DNS-запросов).
Злоумышленники могут получить доступ к данным с помощью различных способов. К примеру, мошенники могут выдать себя за банк, рассылая клиентам письма якобы от финансовой организации с просьбой ввести персональные данные, либо зарегистрировать сайт с аналогичным названием, но в другой доменной зоне или же «перемешать» буквы в названии сайта.
Как показало тестирование, лишь у 6% банков нельзя зарегистрировать доменное имя, содержащее дублированные буквы, для остальных же участников можно зарегистрировать либо один из сайтов, либо ДБО физ/юрлиц. Не позволяют зарегистрировать домен с омоглифом 14% банков. Всего 5% банков не разрешают зарегистрировать домен с использованием омоглифов, перестановок, повторений и смены доменной зоны.
Кроме того, для 17 сайтов можно извне отправить AXFR-запрос на DNS-сервер и раскрыть все записи для домена банка, позволяющие определить инфраструктуру, внутренние ресурсы и адреса значимых серверов (например, Автоматизированной Банковской Системы, АБС).
Согласно отчету, на официальных сайтах двух банков web-серверы уязвимы к атаке Heartbleed. В случае использования для официального сайта и для системы ДБО Wildcard SSL-сертификата (или просто одинаковый, выписанный для этих доменов), злоумышленник получит возможность похитить закрытый ключ SSL и осуществить атаку «человек посередине». Таким образом мошенник сможет прослушивать и изменять трафик, данные для проведения транзакции в ДБО и похищать средства со счетов клиентов банка.
Как выяснилось по итогам исследования, практически все интернет-ресурсы ведущих банков России в той или иной мере являются уязвимыми. Эксперты провели проверку только для общедоступных сайтов, не проникая вглубь системы, поэтому ситуация с информационной безопасностью банков вызывает опасения.
Одно найти легче, чем другое. Спойлер: это не темная материя