Самый безопасный интернет банк

Обновлено: 23.04.2024

Цифровой мир прост, удобен и быстр. Не нужно стоять в очередях за новым девайсом или одеждой. Необязательно заказывать столик в ресторане. Всё, что вы захотите, можно заказать с доставкой на дом. Даже в кинотеатр можно «сходить» из дома, купив фильм или сериал на одном из большого списка сервисов.

Однако у каждой медали есть две стороны, и с удобством и скоростью пришли угрозы как для личных данных, так и для кошельков пользователей. Насколько же безопасно использование интернет-банкинга и как сделать его ещё безопаснее? Аналитический отдел Falcongaze разобрался в этом вопросе.

Где уязвимы интернет- и мобильный банкинг?

Для начала необходимо объяснить, почему объединили интернет-банкинг с мобильным. По своей сути, мобильный банкинг (тот самый, что через приложение банка) является вполне логичным продолжением интернет-банкинга и не имеет почти никаких новшеств, кроме возможности создания виртуальных карт, о которых ещё пойдёт речь.

А если говорить об уязвимостях, то необходимо отметить, что банки в этом плане чуть ли не самые безопасные: зачастую у них стоит самое лучшее защитное ПО, которое дополняется высококлассными специалистами и жёсткими правилами безопасности. Однако, если всё так здорово, то почему у людей всё ещё воруют деньги со счетов?

Главная уязвимость банков — это люди. В основном речь идёт о клиентах, но сотрудники тоже могут быть серьёзной брешью в обороне банковской системы.

Только человек может:

Перейти по неизвестной ссылке от неизвестного человека и ввести свои личные данные. Зачастую такие ссылки распространяют злоумышленники. Если ввести свои учётные данные на неизвестной странице, то высока вероятность того, что злоумышленник просто получит ваш логин и пароль и сможет без проблем зайти в ваш аккаунт благодаря скриптам на странице, которые просто сохраняют данные в текстовом формате;
Беспрекословно исполнять все указания «сотрудника службы безопасности банка», когда он позвонит и скажет, что неизвестные пытаются украсть деньги со счёта. Поверив такому звонящему можно выдать свои платёжные данные преступнику и попрощаться с деньгами, которые были на карте;
Спокойно устанавливать приложения из непроверенных источников. Приложения из сторонних источников могут содержать в себе вирусы или изначально быть спроектированы так, чтобы собирать о вас информацию. Как итог можно потерять деньги и в целом доступ к онлайн-банкингу с заражённого устройства;
Устанавливать несложные однотипные пароли и хранить их в отдельном незашифрованном файле или вообще где-то в диалоге с самим собой. Пароли играют большую роль в безопасности ваших средств. Если на устройстве стоит приложение мобильного банкинга или в браузере открыт интернет-банкинг, а сам гаджет не защищён хотя бы пин-кодом, то можно просто взять телефон и сделать всё, что угодно;
Сливать данные изнутри банка за деньги. Если какой-то сотрудник добрался до ваших данных и решил их продать, то вы уже ничего не сделаете. Тут вся надежда на защитные системы банка, которые среагируют и не дадут недобросовестному сотруднику воспользоваться вашими данными для личной выгоды.

Как обезопасить свои деньги?

Казалось бы, всё довольно печально: злоумышленники манипулируют людьми, они ведутся и теряют деньги. Однако есть несколько простых правил, которые серьёзно усложнят злоумышленникам жизнь:

Скачивайте только официальные приложения из проверенных магазинов (Google Play Market, App Store). Помимо того, что на этих площадках все приложения проходят предварительную модерацию и вероятность «словить» вредоносные программы гораздо ниже, зачастую именно злоумышленники распространяют приложения по «неофициальным каналам». Конечно, это не относится к приложениям, которые разрабатываете вы сами. Но в таком случае очень важно проверить того, кто прислал вам файлы. Может, это злоумышленник, который просто скопировал внешний вид аккаунта вашего коллеги?
Установите защитное программное обеспечение (антивирус, VPN) на ваши устройства. Даже на телефоны. То, что вы не слышали про вредоносные программы для смартфонов, ещё не значит, что их не существует (а они существуют);
Установите везде сложные разнообразные пароли. Пароль «ILoveMyMom2020» будет очень просто подобрать, особенно, если вы очень часто говорите, как сильно вы любите свою маму. К тому же, если он одинаков почти на всех сайтах, то утечка данных с любого ресурса автоматически даёт злоумышленникам доступ к вашему онлайн-банкингу. А вот «AfdKN4g@fgsd8G» подобрать будет гораздо сложнее, к тому же он никак не связан лично с вами, что не оставляет злоумышленникам ни малейшей зацепки о возможных вариантах. Для удобства можно воспользоваться проверенным менеджером паролей, чтобы для каждого сайта иметь свои уникальные данные для входа, которые будет сложно подобрать;
При возможности включите двухфакторную аутентификацию. Это сделает взлом аккаунта ещё сложнее. Желательно, чтобы ключ получало устройство, которое всегда при вас. Например, отдельные USB-аутентификаторы или приложение на смартфоне;
Если вам пишет или звонит неизвестный и есть подозрение, что это попытка заполучить ваши платёжные данные, то хорошей идеей будет попросить человека представиться, положить трубку и самостоятельно перезвонить в банк по номеру на официальном сайте, чтобы удостовериться в том, что дела реально обстоят так. Как правило, злоумышленники рассчитывают на панику жертвы, которая приведёт к импульсивным и необдуманным поступкам, например, раскрытию своих платёжных данных;
А для онлайн-платежей подойдут виртуальные карты. Даже если вас смогут обмануть и вы введёте данные такой карты в поддельную форму, с помощью пары кликов вы сможете эту карту деактивировать и завести новую. Таким образом злоумышленники, скорее всего, не успеют воспользоваться вашими платёжными данными, даже если смогут их заполучить;
Но если всё-таки на банковском счёте какая-то подозрительная активность, то можно обратиться напрямую в банк и к сотрудникам правоохранительных органов. Банк может заморозить операции по счёту, чтобы у вас не украли больше денег, чем смогли сейчас. Правоохранители, в свою очередь, с довольно высокой долей вероятности смогут найти злоумышленника и заставить его вернуть украденное, особенно если перевод был внутри банковской системы, а не, скажем, через куплю-продажу криптовалют.

На первый взгляд, список правил довольно большой и некоторые могут быть сложны для применения. Например, антивирус и VPN. Однако не стоит забывать, что в современном мире везде применяют интуитивный и понятный интерфейс. В нём не придётся долго разбираться: просто нажал пару кнопок — и программы сами начали выполнять свои функции. Всё очень просто и эффективно, как и должно быть.

Также очень важно понимать, что каждая мера в отдельности имеет почти нулевую эффективность. Если вы поставите сложный пароль, но не позаботитесь о защите от вредоносных программ, то этот пароль можно будет украсть. И наоборот, если установить лучшее защитное ПО, но поставить в качестве пароля слово «пароль», то защиту не придётся обходить. Только комплекс мер поможет сделать операции в онлайн-банкинге безопаснее.

Агентство Markswebb Rank & Report составило первый рейтинг безопасности интернет- и мобильных банков. Кто стал лидером, а кто аутсайдером?

За год — с апреля 2014 года по апрель 2015 года — со счетов россиян через интернет-банки украли почти 100 млн руб., говорится в отчете Group-IB (компания занимается расследованием киберпреступлений). Большую часть этой суммы — 61 млн руб. — преступникам удалось похитить с помощью вирусов для мобильных телефонов на Android. А оставшиеся 38 млн руб. вывели со счетов с помощью вирусных программ на персональных компьютерах.

Вернуть украденные деньги крайне сложно. Банки часто отказывают в этом клиентам, ссылаясь на то, что те сами передали данные мошенникам. Поэтому самый надежный способ сохранить деньги — не допустить их кражи. Для этого прежде всего хорошо бы знать, насколько безопасен интернет-банк и мобильное приложение вашей кредитной организации.

Чтобы ответить на этот вопрос, аналитическое агентство Markswebb Rank & Report провело первое публичное исследование безопасности интернет- и мобильных банков. В него вошли 20 банков с наибольшим количеством пользователей онлайн-версии банка по данным e-Finance User Index за 2015 год. Еще одна кредитная организация — Интерактивный банк — подала заявку на участие в рейтинге самостоятельно.

Во всех банках сотрудники агентства сначала действовали как клиенты, а потом — как мошенники. То есть сперва заводили дебетовые карты, регистрировались в соответствующих интернет-банках и пытались совершить покупки. А затем — пробовали подобрать пароль, перевыпускали сим-карту, привязанную к счету, и т.д. Действия банка оценивали по 43 критериям, и на их основе выставляли итоговую оценку.

Результаты

В целом у российских банков не очень жесткие требования к безопасности. К примеру, 5 банков из 21 вообще не используют одноразовые пароли для аутентификации (входа в интернет-банк) пользователя, в двух банках СМС-пароль от одной операции можно использовать для подтверждения другой, а подтвердить номер телефона после перевыпуска сим-карты требуют только 4 банка, остальные продолжают присылать пароли на новый номер, рассказывает гендиректор Markswebb Rank & Report Алексей Скобелев.

Наибольшее количество баллов получили Ситибанк и небольшой Интерактивный банк (496-е место по размеру активов), который летом 2015 года купил партнер инвестиционного фонда Deep Knowledge Ventures Дмитрий Каминский. Новый владелец заявил, что планирует сделать ставку на онлайн-услуги.

Работодатель должен вернуть работнику «избыточный» НДФЛ: как это сделать

Некоторым даже поднимут зарплату: краткосрочный прогноз для рынка труда

Не все деньги должны работать: как создать в компании резервный фонд

Почему фрилансеры все-таки не заменят компании ключевых сотрудников

Alibaba торгуется по рекордно низкой цене. Стоит ли покупать

Когда щедрость работодателя к выплатам премий заинтересует ФНС — кейсы

Новый бизнес за несколько дней: как открыть компанию в Армении

Услуги консалтинга востребованы как никогда: чего хотят компании

В Ситибанке, которому досталось первое место среди 20 крупнейших банков по количеству пользователей в онлайн-версии, ставку делают на одноразовые пароли, рассказывает руководитель электронного бизнеса Citi Россия Елена Скурятина. Поэтому все операции в мобильном и интернет-банке Ситибанка клиентам приходится подтверждать с помощью мобильного телефона.

Последние строчки в рейтинге достались МТС Банку и Бинбанку. В чем недостатки банков, замыкающих список, авторы исследования разъяснять не стали. «Мы не должны давать подсказки мошенникам», — говорит Скобелев. Сами Бинбанк и МТС Банк также не смогли прокомментировать результаты исследования.

Начальник отдела развития электронного бизнеса Райффайзенбанка, занявшего третье место с конца, Наталия Масарская не соглашается с выводами исследования. Райффайзенбанк для входа в интернет-банк не требует дополнительных мер безопасности — достаточно ввести логин и пароль. «Пользователям доступны инструменты полного контроля операций по счетам и событиям при помощи СМС- и e-mail-оповещений по каждой заявке на операцию», — говорит Масарская.

Полностью оценить надежность интернет-банка очень сложно, потому важно не количество задействованных механизмов для обеспечения защищенности, а их качество, уточняет заместитель директора департамента аудита защищенности консалтинговой компании Digital Security Глеб Чербов.

Высокая безопасность интернет- и мобильных банков зачастую снижает удобство их использования. Так, самые надежные банки, по версии Markswebb Rank & Report, одновременно являются наименее удобными. Например, Ситибанк занимает 25-е место из 32 возможных в рейтинге эффективности интернет-банков, проведенном в апреле 2015 года. Это неудивительно: чем меньше действий нужно совершить для идентификации пользователя, тем проще и клиентам, и мошенникам.

Как защитить свой онлайн-банк

1. Продумайте пароль

Очевидное правило, о котором не стоит забывать: пароль должен состоять из разных символов — прописных и строчных букв, цифр, значков (например, % или $), напоминает Скобелев из Markswebb Rank&Report. Он советует избегать очевидных цифровых (12345) и буквенных (qwerty, «пароль») комбинаций. Например, первый вариант уже несколько лет лидирует в топе худших паролей, по версии американской компании Splash Data. Пароли, состоящие из данных, которые легко ассоциируются с вами (фамилия, дата или город рождения), также небезопасны.

Чтобы не забыть сложную комбинацию, можно использовать аббревиатуру, «разбавив» ее дополнительными символами: например, a1y0n1i0L1 (all you need is love), подсказывает Скобелев. Еще один вариант — воспользоваться менеджером паролей — специальной программой, которая генерирует сложные пароли и потом их хранит. Конечно, 100%-ной гарантии безопасности не будет, но вы максимально усложните задачу мошеннику.

2. Не пренебрегайте антивирусом

Этот совет касается пользователей интернет-банков. Выбирайте программу, у разработчиков которой есть офис в СНГ: с российских карт зачастую воруют местные мошенники, советует замруководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин. Также имеет смысл раз в один-три месяца проверять свой компьютер с помощью «внешней» программы: вы скачиваете с чужого компьютера антивирус (желательно, не тот, который установлен у вас), сохраняете на флешку, а потом проверяете свой компьютер.

3. Почаще обновляйте программы

Очень распространенная схема мошенничества заключается в том, что шпион встраивается в действующую программу. Поэтому, чем реже вы обновляете программное обеспечение, тем больше шансов стать жертвой, рассказывает Никитин. Все программы Microsoft Office (Word, Excel и так далее) обновляются сами, если Windows «старше» седьмой версии, отмечает Никитин. Все остальное — браузеры, Adobe Acrobat и Photoshop — надо обновлять вручную, как только появляется такая возможность (обычно программы сами об этом сообщают).

4. Будьте осторожны с Android

В отличие от IOS система Android позволяет скачивать приложения не только из официального магазина (Google Play), а, например, по прямой ссылке, отправленной в СМС. Делать этого ни в коем случае не стоит, предостерегает руководитель направления банковских продуктов Group-IB Павел Крылов. Так на смартфоне может появиться приложение, считывающее ваши данные для входа в мобильный банк, или другая опасная программа. К слову, таким образом в апреле украли деньги у 20–30 тыс. клиентов Сбербанка. На всякий случай лучше убрать галочку «разрешить установку приложений из неизвестных источников» в настройках смартфона, подсказывает Крылов.

Приложения банков содержат уязвимости, которые позволяют красть деньги и данные клиентов, сообщили эксперты Positive Technologies. Пока мошенники в основном используют социальную инженерию, но могут переключиться на приложения

В банковских мобильных приложениях есть уязвимые места, что может привести к утечкам данных клиентов, несанкционированному доступу к приложению и проведению мошеннических операций, а также к краже денежных средств. К такому выводу пришли специалисты Positive Technologies, которые проанализировали эти уязвимости и угрозы мобильным банкам. С исследованием компании ознакомился РБК.

Специалисты выявили недостатки как в клиентских частях мобильного банка (установленное на устройство пользователя приложение), так и в серверных частях (веб-приложение, которое находится на стороне банка и взаимодействует с приложением клиента через интернет).

Что изучали

Для исследования было выбрано 14 полнофункциональных банковских мобильных приложений для Android и iOS, которые принадлежат семи банкам из топ-50 крупнейших кредитных организаций по величине активов. Каждое из анализируемых приложений было скачано из официальных магазинов Google Play и AppStore не менее 500 тыс. раз. Общее число скачиваний всех этих приложений превышает 10 млн.

Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера. Каждое приложение содержит в своем коде как минимум три уязвимости, с помощью которых мошенники могут получить доступ к внутренней инфраструктуре банка.

Только один мобильный банк из исследованных не содержал уязвимостей, позволяющих злоумышленнику получить доступ к данным пользователя: например к выписке по карте, ПИН-кодам для быстрого доступа в приложение, учетным данным (логин/пароль) и т.п. При этом 43% приложений хранят эти данные в открытом виде, что упрощает доступ злоумышленников.
76% уязвимостей злоумышленники могут использовать без физического доступа к устройству: для этого достаточно установить на телефон жертвы вредоносное приложение, например в ходе рассылки фишинговых писем. В результате мошенники смогут перехватить СМС от банка, а также получить номер банковской карты.
Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: так, недостатки в первых были не выше среднего уровня риска, в то время как 29% вторых содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями: именно она выступает точкой входа в приложение для хакеров.
Большинство веб-приложений банков (шесть из семи) содержит уязвимости, связанные с недостаточными мерами по аутентификации пользователя. Это может привести к несанкционированному доступу злоумышленника к личному кабинету путем подбора пароля. Если ему удастся обойти защиту с помощью одноразового пароля, который высылается в СМС, хакер сможет выполнять разные действия в мобильном банке от имени клиента.
В пяти из семи серверных частей злоумышленникам доступны учетные записи пользователей мобильных банков: имена и фамилии, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.

Как банки защищают свои приложения

Банки уделяют повышенное внимание безопасности приложений и регулярно проводят аудит и проверку их защищенности, рассказали РБК в ВТБ, МКБ, Промсвязьбанке, Райффайзенбанке, Тинькофф Банке и «Открытии». При этом основные сценарии мошенничества в России строятся на методах социальной инженерии (психологические методы выманивания у граждан необходимых сведений), поэтому мошенникам даже не требуется искать и эксплуатировать ИT-уязвимости приложений — всю необходимую информацию они получают обманным путем у клиентов банков, подчеркнули в ВТБ.

Мы решили повторить масштабную исследовательскую работу 2015 года и проанализировали безопасность веб-ресурсов ведущих банков мира. Онлайн-банкинг с тех пор стал не просто более распространённым, а даже повсеместным явлением. Действительно, это быстро и удобно, но насколько безопасно? Следуют ли банки best practices?

В этот раз мы расширили область исследования, добавив в скоуп онлайн-ресурсы зарубежных банков. Это позволяет сравнить отношение к веб-безопасности в России и в других странах мира.

Забегая вперёд, с сожалением констатируем: классические приёмы повышения уровня защищенности часто игнорируются банками, хотя не требуют глобальных финансовых и технических ресурсов. Упускать имеющиеся возможности — дело добровольное, но совершенно другое дело — использовать их неправильно. Например, в случае с Content Security Policy, настройки присутствуют у одной пятой всех рассмотренных ресурсов, и практически у каждого из них есть ошибки конфигурации. В рамках исследования мы постарались подробно рассмотреть, как работать с данным типом настроек правильно, и какие ошибки допускаются чаще всего.

Главная цель исследования — оценить уровень безопасности публично доступных банковских ресурсов: официального сайта и ДБО, в соответствии с лучшими практиками по настройке веб-ресурсов. Мы выбрали ряд пунктов, соответствие которым можно проверить, исключая какой-либо технический ущерб и не вмешиваясь в работу банка. Важно отметить, что вся собранная нами информация находится в открытом доступе, а манипуляции с этими данными не требуют углубленных навыков: при желании к подобным результатам может прийти любой заинтересованный пользователь.

Австрия
Беларусь
Бельгия
Болгария
Босния и Герцеговина
Бразилия
Великобритания
Венгрия
Германия
Дания
Израиль
Ирландия
Испания
Италия
Канада
Китай
Лихтенштейн
Люксембург
Мальта
Нидерланды
Норвегия
ОАЭ
Польша
Португалия
США
Финляндия
Франция
Швейцария
Швеция
Япония

Настройки SSL — дают возможность реализовать одну из многих атак, связанных с SSL;
Настройки DNS — позволяют получить информацию о поддоменах компании.

Далее приводим описание и результаты некоторых проверок. Особое внимание обратим на раздел, посвященный Content Security Policy: в нём мы постарались выделить основные ошибки и рассказать, как их можно избежать. Полное описание и результаты всех проверок — в исследовании.

SSL/TLS

Одним из важнейших пунктов является проверка настроек SSL/TLS, т.к. на сегодняшний день эти криптографические протоколы – самый популярный метод обеспечения защищенного обмена данными через Интернет. Главная потенциальная угроза – использование атак по перехвату трафика.
Были выбраны следующие проверки:

Название проверки	Краткое описание
Рейтинг	Общий рейтинг настройки SSL, согласно ресурсу Qualys SSL Labs. Зависит от многих факторов, среди них: корректность сертификата, настройки сервера и алгоритмов, которые поддерживает сервер. Градация от F до A+.
Поддержка слабых ключей DH	Для обмена ключами Диффи — Хеллмана могут быть использованы слабые параметры, что снижает безопасность ресурса.
Уязвимость POODLE	Позволяет расшифровать данные пользователя. За более подробной информацией можно обратиться к публикации исследователей.
Уязвимость FREAK	Заключается в том, что злоумышленник может заставить пользователя и сервер при установлении соединения и обмене данными применять “экспортные” ключи, длина которых сильно ограничена.
Подверженность атаке Logjam	Так же, как и FREAK, Logjam основана на понижении уровня шифрования до “экспортного” уровня, где длина ключа составляет 512 бит. Отличие состоит в том, что Logjam атакует алгоритм Диффи — Хеллмана.
Уязвимость DROWN	Позволяет дешифровать TLS-трафик клиента, если на серверной стороне не отключена поддержка протокола SSL 2.0 во всех серверах, оперирующих одним и тем же приватным ключом.
Уязвимость ROBOT	Полностью нарушает конфиденциальность TLS при использовании RSA.
Уязвимость Beast	Злоумышленник может расшифровать данные, которыми обмениваются две стороны, использующие TLS 1.0, SSL 3.0 и ниже.
Уязвимость CVE-2016-2107	Удаленный злоумышленник может использовать эту уязвимость для извлечения текста из зашифрованных пакетов, используя сервер TLS/SSL или DTLS в качестве padding oracle.
Уязвимость Heartbleed	Получение доступа к данным, которые находятся в памяти клиента или сервера.
Уязвимость Ticketbleed	Удаленный атакующий может эксплуатировать уязвимость с целью извлечения сессионных ID SSL, возможно извлечение других данных из неинициализированных областей памяти.
SSL Renegotiation	Без безопасного пересогласования SSL риск DoS- или MITM-атаки будет увеличен.
Поддержка RC4	Обнаружена возможность за короткое время расшифровать данные, которые были скрыты при помощи шифра RC4.
Поддержка Forward Secrecy	Это свойство определенных протоколов согласования ключей, которое дает гарантии того, что сеансовые ключи не будут скомпрометированы, даже если скомпрометирован закрытый ключ сервера.
Версия TLS	Протокол TLS шифрует интернет-трафик всех видов, тем самым делая безопасным общение в интернете. Однако более ранние версии TLS 1.0 и 1.1 опираются на ненадежные алгоритмы хеширования MD5 и SHA-1 и рекомендуются к отключению
Поддержка SSL 2.0 и SSL 3.0	Оба протокола считаются устаревшими и имеют множество уязвимостей, поэтому рекомендуются к отключению на стороне сервера.
Поддержка NPN и ALPN	Позволяет указать, какой протокол использовать после установления безопасного соединения SSL/TLS между клиентом и сервером.

Рейтинг

На карту вынесен процент оценок ниже “А”. Чем выше этот процент, тем хуже в стране обстоят дела с веб-безопасностью.

Заголовки в ответе веб-сервера позволяют определить поведение браузера в тех или иных ситуациях. Их наличие помогает избежать некоторых атак или усложнить их проведение, при этом добавление заголовка не требует каких-либо сложных действий или настроек. Однако, некоторые настройки, например, CSP, отличает слишком большое количество опций, некорректное использование которых может создать иллюзию безопасности или даже повредить некоторый функционал сайта. Нами были рассмотрены следующие заголовки:

Если первые десять заголовков имеют “положительный” характер, и их желательно (правильно!) использовать, то последние три “сообщают” злоумышленнику о том, какие технологии применяются. Естественно, от подобных заголовков следует отказаться.

Рейтинг

Рейтинг от “D” до “A+”, где “A+” – это лучший результат, который может быть достигнут с точки зрения защищенности. Наихудший результат встречался довольно редко, впрочем, как и наилучший.

Распределение рейтинга

Content Security Policy

“Политика защиты контента” или CSP – это один из основных способов уменьшения рисков, возникающих при эксплуатации XSS-атак. Данный инструмент позволяет администратору сайта определить, какие веб-ресурсы разрешены к использованию на страницах — шрифты, стили, изображения, JS-скрипты, SWF и так далее. Узнать, какие браузеры поддерживают CSP, можно здесь.

Благодаря CSP можно как полностью запретить браузеру подгружать, например, флэш-объекты, так и отрегулировать белый список доменов — в таком случае браузер отобразит лишь те SWF, которые размещены на разрешенном домене. Еще одно преимущество, которое предоставляет политика CSP – возможность оперативно узнавать о появлении новых XSS на просторах контролируемого ресурса. За счет применения опции “report-uri”, браузер злоумышленника или пользователя-жертвы отправляет отчет на указанный URL, как только срабатывает CSP.

Среди основных ошибок, связанных с CSP-политикой, можно выделить следующие категории:

Более подробную информацию, конкретные примеры ошибок и способы их избежать можно найти в полном тексте исследования.

Основная цель CSP — снизить вероятность эксплуатации XSS-атак, но, как показало исследование, немногие справляются с корректной настройкой этой политики: всего 3% использующих CSP.
На графике представлены наиболее частые ошибки в CSP рассмотренных сайтов.

Strict-Transport-Security

Set-cookie

Среди российских банков статистика следующая:
Официальный сайт банка — 42%;
ДБО для физ. лиц — 37%;
ДБО для юр. лиц — 67%.

Server header

Данный заголовок сообщает, на каком ПО работает веб-сервер, и может иметь следующее значение, например:

Раскрытие данной информации не несет прямой угрозы, но может сократить время проведения атаки. Вместо того, чтобы проверять ту или иную уязвимость, можно сразу начать искать данные по определенной версии ПО. Например, в ходе исследования удалось найти следующие данные:

Как показало исследование, 64% сайтов банков сообщают версию сервера, в то время как 24% этих серверов уязвимы.

Заключение

Получив общее представление о защищенности веб-ресурсов банков, мы пришли к главному выводу: многие банки пренебрегают даже самыми распространенными и простыми в реализации советами по повышению безопасности своих веб-ресурсов.

Обнаруженные нами уязвимости и ошибки позволяют злоумышленникам реализовать атаки на ресурсы, не затратив при этом много усилий. А вот последствия этих атак довольно серьезные: денежные потери клиентов, финансовые и репутационные потери банка, в том числе и в долгосрочной перспективе. Немногие доверят свои деньги банку, репутация которого запятнана инцидентами безопасности.

Конечно, следование стандартной практике повышения уровня защищенности – поиск и закрытие уязвимостей – приносит свои плоды и позволяет минимизировать риски. Однако, большинство разработчиков банковских веб-приложений забывают о самых простых рекомендациях и методах, способных существенно снизить опасность или затруднить эксплуатацию уязвимостей (таких как, например, сокрытие от сервера заголовков с информацией об используемым ПО или установка CSP). Польза от применения таких технологий видна не сразу, а может и вовсе быть неявной: столкнувшись с ними, злоумышленник не сможет осуществить атаку, и его действия останутся вне поля зрения тех, кто отвечает за безопасность.

Рассмотрев веб-ресурсы российских банков с разных сторон, мы выяснили, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют в них. Это позволяет злоумышленникам рассчитывать на успешную реализацию атак на данные финансовые организации. И чем больше проблем, тем выше финансовые и репутационные риски банков.
Ситуация в мире в целом не особо отличается. Среди явно отстающих в плане безопасности можно выделить банковские онлайн-ресурсы следующих стран: Китай, Япония, Бразилия, Израиль, Испания. Как ни парадоксально, в большинстве случаев зарубежные банки уделяют больше внимания безопасности основных страниц, нежели ДБО. Стоит отметить, что доля анализа зарубежных банков в исследовании является не столь обширной и носит, скорее, ознакомительный характер.

За год с апреля 2014 года по апрель 2015 года со счетов россиян через интернет-банки украли почти 100 млн. рублей, говорится в отчете Groip IB (компания занимается расследованием кибер-преступлений). Большую часть этой суммы — 61 млн руб. — преступникам удалось похитить с помощью вирусов для мобильных телефонов на Android. А оставшиеся 38 млн руб. вывели со счетов с помощью вирусных программ на персональных компьютерах.

Чтобы ответить на этот вопрос аналитическое агентство Markswebb Rank&Report провело первое публичное исследование безопасности интернет-и мобильных банков. В него вошли 20 банков с наибольшим количеством пользователь онлайн-версии банка по данным e-Finance User Index за 2015 год. Еще одна кредитная организация — Интерактивный банк — подала заявку на участие в рейтинге самостоятельно.

Во всех банках сотрудники агентства сначала действовали как клиенты, а потом — как мошенники. То есть, сперва заводили дебетовые карты, регистрировались в соответствующих интернет-банках и пытались совершить покупки. А затем — пробовали подобрать пароль, перевыпускали sim-карту, привязанную к счету и тд. Действия банка оценивали по 43 критериям и на их основе выставляли итоговую оценку.

Результаты

В целом у российских банков не очень жесткие требования к безопасности. К примеру, 5 банков из 21 вообще не используют одноразовые пароли для идентификации пользователя, в двух банках СМС-пароль от одной операции можно использовать для подтверждения другой, а подтвердить номер телефона после перевыпуска сим-карты требует только 4 банка, остальные продолжают присылать пароли на новый номер, рассказывает гендиректор Markswebb Rank&Report Алексей Скобелев.

Наибольшее количество баллов получили Ситибанк и небольшой Интерактивный банк (496 место по размеру активов), который летом 2015 года купил партнер инвестиционного фонда Deep Knowledge Ventures Дмитрий Каминский. Новый владелец заявил, что планирует сделать ставку на онлайн-услуги.

В Ситибанке, которому досталось первое место среди 20 крупнейших банков по количеству пользователей в онлайн-версии, ставку делают на одноразовые пароли, рассказывает руководитель электронного бизнеса Citi Россия Елена Скурятина. Поэтому все операции в мобильном и интернет банке Ситибанка клиентам приходится подтверждать с помощью мобильного телефона.

Последние строчки в рейтинге достались МТС-банку и Бинбанку. В чем недостатки банков, замыкающих список, авторы исследования разъяснять не стали. «Мы не должны давать подсказки мошенникам», — говорит Скобелев. Сами Бинбанк и МТС-банк также не смогли прокомментировать результаты исследования.

Высокая безопасность интернет- и мобильных банков зачастую снижает удобство их использования. Так, самые надежные банки по версии Markswebb Rank&Report, одновременно являются наименее удобными. Например, Ситибанк занимает 25 место из 32 возможных в рейтинге эффективности интернет-банков, проведенного в апреле 2015 года. Это неудивительно: чем меньше действий нужно совершить для идентификации пользователя, тем проще и клиентам и мошенникам.

Как защитить свой онлайн-банк

1. Продумайте пароль

Очевидное правило, о котором не стоит забывать: пароль должен состоять из разных символов — прописных и строчных букв, цифр, значков (например, % или $), напоминает Скобелев из Markswebb Rank&Report. Он советует избегать очевидных цифровых (12345) и буквенных («qwerty», «пароль») комбинаций. Например, первый вариант уже несколько лет лидирует в топе худших паролей по версии американской компании Splash Data. Пароли, состоящие из данных, которые легко ассоциируется с вами (фамилия, дата или город рождения), также небезопасны.

Чтобы не забыть сложную комбинацию, можно использовать аббревиатуру, «разбавив» ее дополнительными символами: например, a1w0n1i0L1 (all we need is love), подсказывает Скобелев. Еще один вариант — воспользоваться менеджером паролей — специальной программы, которая генерирует сложные пароли и потом их хранит. Конечно, 100% гарантии безопасности не будет, но вы максимально усложните задачу мошеннику.

2. Не пренебрегайте антивирусом

3. Почаще обновляйте программы

Очень распространенная схема мошенничества заключается в том, что шпион «встраивается» в действующую программу. Поэтому, чем реже вы обновляете программное обеспечение, тем больше шанс стать жертвой, рассказывает Никитин. Все программы Microsoft Office (Word, Exel и так далее) обновляются сами, если Windows «старше» седьмой версии, отмечает Никитин. Все остальное — браузеры, Adobe Acrobat и Photoshop — надо обновлять вручную, как только появляется такая возможность (обычно программы сами об этом сообщают).

4. Будьте осторожны с Android

В отличие от IOS, система Android позволяет скачивать приложения не только из официального магазина (Google Play), а, например, по прямой ссылке, отправленной в СМС. Делать этого ни в коем случае не стоит, предостерегает руководитель направления по развитию продукта Group-IB Павел Крылов. Так на смартфоне может появиться приложение, считывающее ваши данные для входа в мобильный банк, или другая опасная программа. К слову, таким образом в апреле украли деньги у 20-30 тыс. клиентов Сбербанка. На всякий случай лучше убрать галочку «разрешить установку приложений из неизвестных источников» в настройках смартфона, подсказывает Крылов.

Таблицу к статье можно посмотреть на сайте источника.

\n \n\t\t\t \n\t\t\t \n\t\t \n\t","content":"\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

Автор статьи

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: