На сайтах российских банков нашли опасную уязвимость
Специалисты по кибербезопасности обнаружили опасную уязвимость на сайтах 27 российских банков. С её помощью мошенники перенаправляют пользователей на липовые ресурсы с целью получения доступа к конфиденциальным данным.
Исследование 358 сайтов российских банков на наличие уязвимостей провели эксперты компании StopPhish, с его результатами ознакомился «Коммерсантъ». На 27 ресурсах обнаружили открытые редиректы — уязвимость, которая позволит перенаправить пользователя на сторонний ресурс.
Её специфику объяснил сооснователь проекта Юрий Другач. К примеру, сотруднику или клиенту банка может прийти письмо со ссылкой, в которой содержится адрес сайта и указание редиректа («bank.ru/redirect.php?goto=https://…»). Такая ссылка, скорее всего, будет вести на фишинговый сайт, после перехода на который мошенники могут получить доступ к конфиденциальным данным пользователя.
По словам собеседника издания, обычно на такую ссылку кликают в четырёх случаях из пяти. Уязвимость существует свыше 10 лет, но способы её реализация зависят от настроек системы управления интернет-страницей.
Источник в одном из крупных российских банков отметил, что большинство кредитных организаций узнали о проблеме с сайтами примерно год назад. Она затрагивала тех участников рынка, страницы которых работали на системе управления «1С-Битрикс».
После выявления проблемы многие банки отключили редирект на сайтах. В частности, об этом рассказали в банке «Русский стандарт». В МКБ сообщили, что используют свою систему управления, поэтому уязвимость для них не актуальна.
Другач из StopPhish отметил, что сейчас на «1С-Битрикс» работают около 140 сайтов банков из списка ЦБ. Стандартная поставка системы содержит функцию защиты от редиректов, поэтому мошенники могут воспользоваться уязвимостью только в случае её ручного отключения, рассказал сооснователь «1С-Битрикс» Сергей Рыжиков. Устранить проблему банки способны «в считанные минуты», вновь включив защиту.
В марте 2021 года стало известно, что уязвимыми к кибератакам являются тысячи камер видеонаблюдения по всей России. По словам экспертов, ненадёжные устройства установлены на электростанциях, заправках, промышленных предприятиях и в системах умных домов. К большинству таких камер можно подключиться без логина и пароля.
Фото: depositphotos.com
Откроем важный секрет: всё самое интересное — в нашем телеграме.