Что следует сделать для безопасного дистанционного банковского обслуживания с помощью браузера

Обновлено: 05.01.2025

Интернет-банкинг - это управление банковскими счетами посредством сети интернет, которое охватывает практически весь спектр банковских услуг, доступных клиенту в банковском офисе, исключая операции с денежной наличностью. Он является очень перспективным инструментом, оставаясь очень простым в использовании.

Какие операции можно совершать в интернете?

- оплачивать различные услуги (коммунальные, услуги операторов сотовой связи, интернет-провайдеров)

- получать информацию о состоянии своих счетов, отслеживать свои операции по ним и получать счета-выписки за любой период

- управлять остатком денежных средств на карт-счете (пополнять или уменьшать счета пластиковой карты)

- управлять банковским вкладом

- совершать внутрибанковские операции (например, оплачивать комиссии за банковское обслуживание) и межбанковские платежи (расчеты с физическими и юридическими лицами, обслуживающимися в других банках)

- совершать валютно-обменные операции (покупка, продажа, конверсия валюты в безналичном порядке)

Преимущества интернет-банкинга

1. Экономия времени. Можно проводить банковские операции из дома. Система интернет-банкинга обычно проверяет правильность заполнения реквизитов, что исключает ошибки клиента. Платеж совершается несколькими нажатиями клавиш.

2. Удобство. Услуга интернет-банкинга доступна круглосуточно семь дней в неделю, что позволяет клиенту осуществлять операции в удобное время, в выходные дни. В целом, интернет-банкинг - это наиболее эффективный, на сегодняшний день, инструмент контроля по любым банковским счетам.

3. Дешевизна. Стоимость банковской операции в интернете существенно ниже той, которую проводит операционист, что делает эти операции более выгодными для населения. Как правило, большинство основных операций - оплата коммунальных услуг, мобильного телефона, кабельного телевидения или интернете – совершаются бесплатно. За проведение других операций возможны небольшие комиссии.

4. Автоматизация отдельных операций. Развитые системы позволяют автоматизировать оплату некоторых видов операций, например, телефона, коммунальных платежей. Клиенту не надо помнить об этом - система это сделает сама.

5. Системы интернет-банкинга позволяют банку оперативно доносить до клиентов самую актуальную информацию, ознакомившись с которой, клиенты могут мгновенно ею воспользоваться.

Условия для подключения к услуге интернет-банкинга

Обязательное условие - это открытие банковской карты или текущего счета в банке. Подключение к системе интернет-банкинга как правило производится бесплатно. Для этого необходимо один раз прийти в офис банка и оформить заявку. Вы получите логин (имя) и пароль – коды для вашей авторизации. Одновременно могут использоваться электронные ключи, хранящиеся на дисках, флеш-картах. Абонентская плата за пользование интернет-банкингом не взимается.

Для доступа к системе подходит любой ПК, ноутбук, КПК или коммуникатор с подключением к глобальной сети. Клиент сам управляет услугой SMS и E-mail-информирования, получая возможность указывать, по каким счетам он хочет получать информацию на почтовый ящик или на мобильный телефон. Как правило, у любого банка операционная система выведена на специальную страницу или веб-сайт. В российской практике интернет-банкинг – это одна их форм дистанционного банковского обслуживания (ДБО).

Работа в сети интернет

Работа ведется через интернет-сайт банка. Начиная работу в системе, прежде всего, следует пройти процедуру доступа, которая включает в себя ввод логина, пароля, кодов.

При грамотном и правильном использовании работа в системе интернет-банкинга – самый удобный инструмент управления своими финансами. При этом он не требует особых знаний и умений.

Стандартное рабочее окно интернет-банкгинга, как правило, имеет следующие разделы:

· Общая информация. Раздел предназначен для просмотра информации об открытых в банке счетах. Например, об остатке средств по счету, размере возможного овердрафта, если он предусмотрен, о проведенных транзакциях и др.

· Платежи. В данном разделе можно совершать безналичные операции: вводится информация о номере счета, получателе платежа, сумме и прочих реквизитах. Обычно система запоминает последние оплаченные клиентом платежи и сохраняет введенные реквизиты. Перечень таких платежей находится здесь же.

· Справочная и сервисная информация. Здесь клиент может ознакомиться с общей справочной информацией. Задать вопрос работнику банка, изменить пароль доступа и т.д.

· Выход из системы. Позволяет выйти из системы интернет-банкинга после всех операций.

Правила безопасности

Обязательно учтите следующие моменты!

1. Никогда и ни при каких обстоятельствах не разглашайте свой пароль, коды входа в систему, пароль по своей карте, не отправляйте их по электронной почте. Об этом клиенту банком доводится в обязательном порядке при подключении к системе интернет-банкинга.

2. Не отвечайте на электронные письма, содержащие запрос вашей конфиденциальной информации либо предложение перейти по ссылке.

3. Избегайте работы в системе интернет-банкинга в интернет-кафе, офисах и других общедоступных местах. Они наиболее подвержены риску электронных мошеннических схем.

4. Проверяйте наличие пиктограммы закрытого замка на панели инструментов в браузере. Глядя на страницу, на которой требуется сообщить конфиденциальные сведения, найдите крошечный рисунок замка (справа от адресной строки) и убедитесь, что замок закрыт.

5. Внимательно вводите реквизиты и другие данные при совершении платежей и других переводов по интернету, перепроверяйте информацию, убедитесь в отсутствии ошибок. Имейте в виду: банк перекладывает на клиента функции операциониста. То есть, если клиент приходит в банк с платежным поручением, ввод всех реквизитов и проведение платежа совершает сам работник банка. В системах интернет-банкинга клиенту приходится совершать платежи самостоятельно. Введение неверных данных может повлечь ошибочные операции.

6. В случае, если все-таки вы ошибочно набрали реквизиты несуществующего счета, платеж вернется обратно. Но в случае, когда ошибочным явился существующий номер (телефона, интернет-договора и т.п.), об этом необходимо сообщить в службу поддержки банка! Его номер телефона, как правило, указан на сайте банка и на банковской карте.

7. Всегда обновляйте антивирусную защиту на компьютере, с которого вы чаще всего ведете работу с интернет-банкингом.

8. Имейте в виду, платежки и выписки по счетам становятся документами только после посещения банка и проставлении на них печати. При проведении виртуальных операций, подтверждение в виде чеков не предусмотрено.

Внимание! При работе с интернет -банкингом клиент сам несет ответственность за свои действия.

Будьте бдительны! Самым распространенным видом мошенничества на сегодняшний день является фишинг. Он подразумевает выманивание у клиентов номера счета, ПИН-кода, пароля и т.д. Происходит это путем создания сайтов, полностью копирующих сайты банков, и псевдо-информационных рассылок по электронной почте, где клиенту предлагается пройти по ссылке на эти сайты. Все это требует от клиента бдительности и аккуратности при проведении расчетов в сети интернет.

Правила информационной безопасности при работе с системой дистанционного банковского обслуживания

1. Введение

Анализ выявленных в Российской Федерации за последнее время попыток хищения денежных средств с расчетных счетов корпоративных клиентов, путем совершения платежей с использованием систем электронного банкинга показал, что хищения денежных средств с расчетных счетов осуществляются, как правило:

ответственными сотрудниками предприятия, имевшими доступ к секретным (закрытым) ключам ЭП, в том числе работающими или уволенными (директорами, бухгалтерами и их заместителями);
штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными (закрытыми) ключами ЭП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе "Интернет-банк";
нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе "Интернет-банк";
злоумышленниками путем заражения компьютеров клиентов или взятия под контроль с использованием уязвимостей системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных (закрытых) ключей ЭП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным (закрытым) ключам ЭП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.

В связи с этим Банк настоящим документом еще раз информирует Вас о необходимости строгого соблюдения приведенных в данном документе правил информационной безопасности.

2. Общие понятия

Информационная Безопасность – совокупность организационных и технических мер, направленная на повышение безопасности использования ИТ технологий. Далее по тексту ИБ.

Система Дистанционного Банковского Обслуживания – совокупность сервисов дистанционного обслуживания клиентов таких как: «Интернет-Банк», «Банк-Клиент», «Выписка OnLine» и т.п. Далее по тексту используется сокращение ДБО.

ПО – программное обеспечение.

Вредоносное ПО - это разного рода программы (в том числе троянские). Такие программы могут регистрировать последовательность нажимаемых на клавиатуре клавиш, другие делают снимки экрана при посещении пользователем сайтов, предлагающих банковские услуги, третьи загружают на компьютер дополнительный вредоносный код, предоставляют хакеру удаленный доступ к компьютеру и т.д. Все эти программы объединяет то, что они позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее в том числе для кражи денег у пользователей.

ЭП – электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) и которая используется для определения лица, подписывающего информацию.

3. Важные замечания

Важно понимать, что:

Банк не имеет доступа к секретным ключам ЭП и паролям Клиентов для доступа в систему дистанционного банковского обслуживания (далее ДБО).
Банк не может от имени Клиента сформировать корректную ЭП под электронным платежным поручением.
Вся ответственность за конфиденциальность секретных (закрытых) ключей ЭП полностью лежит на Клиенте, как на единственном владельце секретных (закрытых) ключей ЭП.
Банк не рассылает по электронной почте и не озвучивает по телефону секретный ключ ЭП или пароль Клиента.
Банк не запрашивает по электронной почте и по телефону секретный ключ ЭП или пароль, а также номер банковской карты Клиента и ПИН-коды.
Если Клиент сомневается в конфиденциальности своих секретных (закрытых) ключей ЭП или есть подозрение в их компрометации (копировании), Клиент должны заблокировать свои ключи ЭП обратившись в Банк.

4. Меры ИБ

4.1. Организационные меры предприятия.

Для снижения риска неправомерного доступа к системе(ам) ДБО предприятия , необходимо определить:

• ограниченный перечень лиц имеющих доступ к системе ДБО и ЭП;

• правила хранения и использования носителей ЭП (п. 4.4.2. документа);

• перечень событий, наступление которых должно повлечь за собой немедленную замену или изъятие ключей ЭП (п. 4.5. документа).

Так же необходимо предупредить ответственных сотрудников об увеличении риска хищения и дальнейшего неправомерного использования ЭП при доступе к системе «Интернет-банкинга» с гостевых рабочих мест в местах общего пользования (например: интернет – кафе).

4.2. Правила безопасного использования сети Интернет.

4.3. Доступ к компьютеру и его защита.

Необходимо ограничить доступ к компьютеру, на котором установлен Интернет-банк. Доступ к компьютеру должны иметь только уполномоченные сотрудники. Рекомендуется регулярно менять пароль на вход в операционную систему, на которой установлен Интернет-банк.
При обслуживании компьютера ИТ-сотрудниками – обеспечивать контроль за выполняемыми ими действиями.
Необходимо убедится, что компьютер с установленной системой ДБО не поражен какими-либо вирусами. Необходимо установить и активировать антивирусные программы, обеспечить возможность автоматического обновления антивирусных баз, а так же еженедельно проводить антивирусную проверку. Обратите внимание, что действие вирусов может быть направлено на запоминание и передачу третьим лицам информации о вашем пароле и ключах ЭП.
Рекомендуется установить и использовать персональный брандмауэр (firewall) на компьютерах с доступом в интернет, это позволит предотвратить несанкционированный доступ к информации на компьютере.
Необходимо использовать лицензионное программное обеспечение (в том числе антивирусное), межсетевые экраны и средства защиты от несанкционированного доступа.
При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой "Интернет-банк", необходимо принять меры для обеспечения отсутствия вредоносных программ на компьютерах.
При увольнении сотрудника, имеющего доступ к паролям и ключам ЭП, необходимо произвести смену паролей, блокировать ЭП с которой работал старый сотрудник и получить ЭП для нового сотрудника.

4.4. Правила работы в системах ДБО.

4.4.1. Пароли.

4.4.2. Ключи Электронной подписи.

Необходимо серьезно отнестись к вопросу хранения ключей Системы «Клиент-Банк». Наличие ключа позволяет заверить от имени владельца документ и передать его на исполнение в Банк. Для повышения безопасности рекомендуется:

Не хранить ключи на жестком диске компьютера! Использовать для хранения файлов с секретными (закрытыми) ключами ЭП ТОЛЬКО отчуждаемые носители: флеш-диски и eToken, к которым исключен доступ третьих лиц.
Использовать устройства защищенного хранения закрытых ключей ЭП - E-Token PRO (безопасность обеспечивается наличием защищенного хранилища данных, доступ к которому возможно только владельцем E-Token PRO, знающим PIN-код ключа).
Не передавать ключи ЭП ИТ-сотрудникам для проверки работы системы "Интернет-банк", проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только владелец ключа ЭП, лично, должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского части системы ДБО, и лично ввести пароль, исключая его подсматривание.
Выходить из Интернет-банка и отключать носитель ЭП, даже если надо отойти от компьютера на несколько минут.

4.4.3. Контроль подключения (для сервиса «Интернет-Банк»).

Внимание!

В случае обнаружения подозрительных веб-сайтов, доменные имена и стиль оформления которых сходны с именами и оформлением, просьба сообщить об этом в Банк

Необходимо контролировать посещения системы, проверяя дату последнего посещения и IP-адрес, отображаемые на главной странице
Регулярно проверять состояние счетов и движение документов по выпискам.
Не вводить конфиденциальные данные, если окно для ввода отличается от стандартных окон Системы «Клиент-Банк» (другие надписи, шрифт и тому подобное) или отображается не так как всегда (нарушен порядок работы в системе). О появлении подобных сайтов немедленно сообщите в Банк по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать доступ в систему ДБО можно в офисе банка, написав соответствующее уведомление.
После окончания работы в системе ДБО надо всегда использовать пункт меню «Выход».

4.5. Случаи, требующие немедленного обращения в банк.

ПРИМЕЧАНИЕ!

Обратиться в банк клиенты могут по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать ключ ЭП и/или доступ в систему ДБО можно в офисе банка, написав соответствующее уведомление.

Незамедлительно надо обратиться в Банк, если:

Возникло подозрение, что пароль или секретные ключи были скомпрометированы, а также, если была обнаружена иная подозрительная активность в системе ДБО.
За сменой секретных ключей, в случае увольнения/ухода уполномоченных сотрудников или сотрудников IT клиента, которые имели доступ к ним.
При возникновении любых подозрений на компрометацию (копирование) секретных (закрытых) ключей ЭП или компрометацию среды исполнения (наличие в компьютере вредоносных программ). В случае выявления подозрительной активности на компьютере с установленной системой Интернет-банк (самопроизвольные движения мышью, открытие/закрытие окон, набор текста) немедленно надо выключить компьютер и сообщить в Банк о возможной попытке несанкционированного доступа к системе.

Заключительные положения

5.1. Настоящие Правила вступают в силу с момента их утверждения Председателем Правления Банка и действуют до их отмены.

5.2. В настоящие Правила могут быть внесены изменения, дополнения в установленном в Банке порядке.

Интернет-банкинг российских банков является одним из самых безопасных. Мы предлагаем вам несколько советов о том, как сохранить ваши деньги в еще большей безопасности.

Вводите адрес сайта банка вручную

Главным правилом, которое надежно вас защищает от фишинг-атак - это ввод URL-адреса вашего банка напрямую. Также, никогда не переходите на сайт банка по ссылке, которую вы получите по электронной почте. Для удобства вам помогут обычные закладки в вашем веб-браузере.

Если вы заметили, что вход в систему, не похож на привычный - позвоните в свой банк.

Используйте уникальные пароли

Очень важно использовать уникальный пароль, особенно такой пароль, который вы не используете нигде, ни в другом банке, ни для входа в электронную почту, просто нигде!

Не входите на сайт банка в присутствии незнакомцев

Важная мера безопасности также заключается в том, чтобы вы не вводили свои учетные данные для входа в интернет-банк в присутствии незнакомцев. Они могут легко запомнить ваши регистрационные данные и использовать ее позже. Как правило, без подтверждающих SMS-кодов они обычно получают доступ только к пассивному доступу к информации, например о движениях средств и состояние баланса на вашем банковском счете.

Не входите на сайт банка из общественных мест, где могут быть камеры наблюдения

Очень опасно входить в интернет-банк в общественных местах, где могут быть установлены камеры. Из записей современных цифровых камер с высоким разрешением можно проследить какие кнопки на клавиатуре вы набираете и что у вас отображается на мониторе вашего смартфона. Таким образом, кафе, рестораны, вокзалы, универмаги или офисы, безусловно, не самое подходящее место для операций с интернет-банкингом.

Не входите на сайт банка с иностранных компьютеров и устройств

Еще большим риском для безопасности является доступ к учетным записям с иностранных компьютеров. Они могут содержать так называемый "кейлоггер" - программу, записывающую определенные нажатия клавиш.

Регулярно меняйте пароль для входа в систему

Для повышения безопасности, без сомнения, необходимо регулярно менять свои учетные данные, даже до того, как сам банк предложит вам это сделать.

Используйте блокировку телефона для SMS-авторизации

Большинство российских банков используют SMS-код или подтверждение в мобильном приложении для авторизации всех исходящих платежей. Однако мобильный телефон, который вы используете для этой цели, должен быть надежно защищен паролем, отпечатком пальца или другим безопасным "замком".

На этой неделе в рамках проекта COMSS.GURU мы просим пользователей поделиться своим опытом безопасного осуществления электронных платежей и выполнения финансовых операций в Интернете.

Основные угрозы для онлайн-операций

Несмотря на защищенность систем интернет-банкингов и онлайн-магазинов - используются такие методы защиты, как двойная аутентификация, системы одноразовых динамических SMS-паролей, дополнительные список одноразовых паролей или аппаратные ключи, защищенное протоколом SSL-соединение и так далее - современные методы атак позволяют обходить даже самые надежные защитные механизмы.

На сегодня у злоумышленников можно выделить три наиболее распространенных подхода для атаки на финансовые данные интернет-пользователей:

- заражение компьютера жертвы троянским программами (кейлоггеры, скринлоггеры и т.д.), использующими для перехвата вводимых данных;
- использование методов социальной инженерии - фишинговые атаки через электронную почту, веб-сайты, социальные сети и т.д;
- технологические атаки (сниффинг, подмена DNS/Proxy-серверов, подмена сертификатов и т.д.).

Как защитить интернет-банкинг?

Пользователь не должен надеяться только на банк, а использовать защитные программы для усиления безопасности электронных платежей в Интернете.

Современные решения Internet Security помимо функций антивируса предлагают инструменты безопасных платежей (изолированные виртуальные среды для онлайн-операций), а также сканер уязвимостей, веб-защиту с проверкой ссылок, блокировку вредоносных скриптов и всплывающих окон, защиту данных от перехвата (антикейлоггеры), виртуальную клавиатуру.

Среди комплексных решений с отдельной функцией защиты онлайн-платежей можно выделить Kaspersky Internet Security и компонент "Безопасные платежи", avast! Internet Security с avast! SafeZone и Bitdefender Internet Security с Bitdefender Safepay. Данные продукты позволяют не беспокоиться о дополнительной защите.

Если у вас другой антивирус, можно присмотреться к средствам дополнительной защиты. Среди них: Bitdefender Safepay (изолированный веб-браузер), Trusteer Rapport и HitmanPro.Alert для защиты браузера от атак, плагины и приложения Netcraft Extension, McAfee SiteAdvisor, Adguard для защиты от фишинга.

Не стоит забывать о фаерволе и VPN-клиенте, если приходится выполнять финансовые операции при подключении к открытым беспроводным Wi-Fi сетям в общественных местах. Например, CyberGhost VPN использует шифрование трафика AES 256-bit, что исключает использование данных злоумышленником, даже в случае перехвата.

А какие методы защиты онлайн-платежей используете вы? Поделитесь своим опытом в комментариях.

Мы решили повторить масштабную исследовательскую работу 2015 года и проанализировали безопасность веб-ресурсов ведущих банков мира. Онлайн-банкинг с тех пор стал не просто более распространённым, а даже повсеместным явлением. Действительно, это быстро и удобно, но насколько безопасно? Следуют ли банки best practices?

В этот раз мы расширили область исследования, добавив в скоуп онлайн-ресурсы зарубежных банков. Это позволяет сравнить отношение к веб-безопасности в России и в других странах мира.

Забегая вперёд, с сожалением констатируем: классические приёмы повышения уровня защищенности часто игнорируются банками, хотя не требуют глобальных финансовых и технических ресурсов. Упускать имеющиеся возможности — дело добровольное, но совершенно другое дело — использовать их неправильно. Например, в случае с Content Security Policy, настройки присутствуют у одной пятой всех рассмотренных ресурсов, и практически у каждого из них есть ошибки конфигурации. В рамках исследования мы постарались подробно рассмотреть, как работать с данным типом настроек правильно, и какие ошибки допускаются чаще всего.

Главная цель исследования — оценить уровень безопасности публично доступных банковских ресурсов: официального сайта и ДБО, в соответствии с лучшими практиками по настройке веб-ресурсов. Мы выбрали ряд пунктов, соответствие которым можно проверить, исключая какой-либо технический ущерб и не вмешиваясь в работу банка. Важно отметить, что вся собранная нами информация находится в открытом доступе, а манипуляции с этими данными не требуют углубленных навыков: при желании к подобным результатам может прийти любой заинтересованный пользователь.

Также мы выбрали по 20 банков из еще 30 стран (список)

Австрия
Беларусь
Бельгия
Болгария
Босния и Герцеговина
Бразилия
Великобритания
Венгрия
Германия
Дания
Израиль
Ирландия
Испания
Италия
Канада
Китай
Лихтенштейн
Люксембург
Мальта
Нидерланды
Норвегия
ОАЭ
Польша
Португалия
США
Финляндия
Франция
Швейцария
Швеция
Япония

Настройки SSL — дают возможность реализовать одну из многих атак, связанных с SSL;
Настройки DNS — позволяют получить информацию о поддоменах компании.

Далее приводим описание и результаты некоторых проверок. Особое внимание обратим на раздел, посвященный Content Security Policy: в нём мы постарались выделить основные ошибки и рассказать, как их можно избежать. Полное описание и результаты всех проверок — в исследовании.

SSL/TLS

Одним из важнейших пунктов является проверка настроек SSL/TLS, т.к. на сегодняшний день эти криптографические протоколы – самый популярный метод обеспечения защищенного обмена данными через Интернет. Главная потенциальная угроза – использование атак по перехвату трафика.
Были выбраны следующие проверки:

Название проверки	Краткое описание
Рейтинг	Общий рейтинг настройки SSL, согласно ресурсу Qualys SSL Labs. Зависит от многих факторов, среди них: корректность сертификата, настройки сервера и алгоритмов, которые поддерживает сервер. Градация от F до A+.
Поддержка слабых ключей DH	Для обмена ключами Диффи — Хеллмана могут быть использованы слабые параметры, что снижает безопасность ресурса.
Уязвимость POODLE	Позволяет расшифровать данные пользователя. За более подробной информацией можно обратиться к публикации исследователей.
Уязвимость FREAK	Заключается в том, что злоумышленник может заставить пользователя и сервер при установлении соединения и обмене данными применять “экспортные” ключи, длина которых сильно ограничена.
Подверженность атаке Logjam	Так же, как и FREAK, Logjam основана на понижении уровня шифрования до “экспортного” уровня, где длина ключа составляет 512 бит. Отличие состоит в том, что Logjam атакует алгоритм Диффи — Хеллмана.
Уязвимость DROWN	Позволяет дешифровать TLS-трафик клиента, если на серверной стороне не отключена поддержка протокола SSL 2.0 во всех серверах, оперирующих одним и тем же приватным ключом.
Уязвимость ROBOT	Полностью нарушает конфиденциальность TLS при использовании RSA.
Уязвимость Beast	Злоумышленник может расшифровать данные, которыми обмениваются две стороны, использующие TLS 1.0, SSL 3.0 и ниже.
Уязвимость CVE-2016-2107	Удаленный злоумышленник может использовать эту уязвимость для извлечения текста из зашифрованных пакетов, используя сервер TLS/SSL или DTLS в качестве padding oracle.
Уязвимость Heartbleed	Получение доступа к данным, которые находятся в памяти клиента или сервера.
Уязвимость Ticketbleed	Удаленный атакующий может эксплуатировать уязвимость с целью извлечения сессионных ID SSL, возможно извлечение других данных из неинициализированных областей памяти.
SSL Renegotiation	Без безопасного пересогласования SSL риск DoS- или MITM-атаки будет увеличен.
Поддержка RC4	Обнаружена возможность за короткое время расшифровать данные, которые были скрыты при помощи шифра RC4.
Поддержка Forward Secrecy	Это свойство определенных протоколов согласования ключей, которое дает гарантии того, что сеансовые ключи не будут скомпрометированы, даже если скомпрометирован закрытый ключ сервера.
Версия TLS	Протокол TLS шифрует интернет-трафик всех видов, тем самым делая безопасным общение в интернете. Однако более ранние версии TLS 1.0 и 1.1 опираются на ненадежные алгоритмы хеширования MD5 и SHA-1 и рекомендуются к отключению
Поддержка SSL 2.0 и SSL 3.0	Оба протокола считаются устаревшими и имеют множество уязвимостей, поэтому рекомендуются к отключению на стороне сервера.
Поддержка NPN и ALPN	Позволяет указать, какой протокол использовать после установления безопасного соединения SSL/TLS между клиентом и сервером.

Рейтинг

На карту вынесен процент оценок ниже “А”. Чем выше этот процент, тем хуже в стране обстоят дела с веб-безопасностью.

Заголовки в ответе веб-сервера позволяют определить поведение браузера в тех или иных ситуациях. Их наличие помогает избежать некоторых атак или усложнить их проведение, при этом добавление заголовка не требует каких-либо сложных действий или настроек. Однако, некоторые настройки, например, CSP, отличает слишком большое количество опций, некорректное использование которых может создать иллюзию безопасности или даже повредить некоторый функционал сайта. Нами были рассмотрены следующие заголовки:

Если первые десять заголовков имеют “положительный” характер, и их желательно (правильно!) использовать, то последние три “сообщают” злоумышленнику о том, какие технологии применяются. Естественно, от подобных заголовков следует отказаться.

Рейтинг

Рейтинг от “D” до “A+”, где “A+” – это лучший результат, который может быть достигнут с точки зрения защищенности. Наихудший результат встречался довольно редко, впрочем, как и наилучший.

Распределение рейтинга

Content Security Policy

“Политика защиты контента” или CSP – это один из основных способов уменьшения рисков, возникающих при эксплуатации XSS-атак. Данный инструмент позволяет администратору сайта определить, какие веб-ресурсы разрешены к использованию на страницах — шрифты, стили, изображения, JS-скрипты, SWF и так далее. Узнать, какие браузеры поддерживают CSP, можно здесь.

Благодаря CSP можно как полностью запретить браузеру подгружать, например, флэш-объекты, так и отрегулировать белый список доменов — в таком случае браузер отобразит лишь те SWF, которые размещены на разрешенном домене. Еще одно преимущество, которое предоставляет политика CSP – возможность оперативно узнавать о появлении новых XSS на просторах контролируемого ресурса. За счет применения опции “report-uri”, браузер злоумышленника или пользователя-жертвы отправляет отчет на указанный URL, как только срабатывает CSP.

Среди основных ошибок, связанных с CSP-политикой, можно выделить следующие категории:

Более подробную информацию, конкретные примеры ошибок и способы их избежать можно найти в полном тексте исследования.

Основная цель CSP — снизить вероятность эксплуатации XSS-атак, но, как показало исследование, немногие справляются с корректной настройкой этой политики: всего 3% использующих CSP.
На графике представлены наиболее частые ошибки в CSP рассмотренных сайтов.

Strict-Transport-Security

Set-cookie

Среди российских банков статистика следующая:
Официальный сайт банка — 42%;
ДБО для физ. лиц — 37%;
ДБО для юр. лиц — 67%.

Server header

Данный заголовок сообщает, на каком ПО работает веб-сервер, и может иметь следующее значение, например:

Раскрытие данной информации не несет прямой угрозы, но может сократить время проведения атаки. Вместо того, чтобы проверять ту или иную уязвимость, можно сразу начать искать данные по определенной версии ПО. Например, в ходе исследования удалось найти следующие данные:

Как показало исследование, 64% сайтов банков сообщают версию сервера, в то время как 24% этих серверов уязвимы.

Заключение

Получив общее представление о защищенности веб-ресурсов банков, мы пришли к главному выводу: многие банки пренебрегают даже самыми распространенными и простыми в реализации советами по повышению безопасности своих веб-ресурсов.

Обнаруженные нами уязвимости и ошибки позволяют злоумышленникам реализовать атаки на ресурсы, не затратив при этом много усилий. А вот последствия этих атак довольно серьезные: денежные потери клиентов, финансовые и репутационные потери банка, в том числе и в долгосрочной перспективе. Немногие доверят свои деньги банку, репутация которого запятнана инцидентами безопасности.

Конечно, следование стандартной практике повышения уровня защищенности – поиск и закрытие уязвимостей – приносит свои плоды и позволяет минимизировать риски. Однако, большинство разработчиков банковских веб-приложений забывают о самых простых рекомендациях и методах, способных существенно снизить опасность или затруднить эксплуатацию уязвимостей (таких как, например, сокрытие от сервера заголовков с информацией об используемым ПО или установка CSP). Польза от применения таких технологий видна не сразу, а может и вовсе быть неявной: столкнувшись с ними, злоумышленник не сможет осуществить атаку, и его действия останутся вне поля зрения тех, кто отвечает за безопасность.

Рассмотрев веб-ресурсы российских банков с разных сторон, мы выяснили, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют в них. Это позволяет злоумышленникам рассчитывать на успешную реализацию атак на данные финансовые организации. И чем больше проблем, тем выше финансовые и репутационные риски банков.
Ситуация в мире в целом не особо отличается. Среди явно отстающих в плане безопасности можно выделить банковские онлайн-ресурсы следующих стран: Китай, Япония, Бразилия, Израиль, Испания. Как ни парадоксально, в большинстве случаев зарубежные банки уделяют больше внимания безопасности основных страниц, нежели ДБО. Стоит отметить, что доля анализа зарубежных банков в исследовании является не столь обширной и носит, скорее, ознакомительный характер.

Читайте также: