ЦАРКА составил рейтинг сайтов банков Казахстана по уровню веб-безопасности
В тройку лидеров рейтинга вошли сайты Kaspi Bank, Altyn Bank и Bank RBK.Центр анализа и расследования кибер-атак провёл исследование и составил рейтинг веб-безопасности официальных сайтов банков Казахстана.
В ЦАРКА пришли к выводу, что многие банки пренебрегают даже самыми распространёнными и простыми советами по повышению безопасности своих веб-ресурсов. Достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют на некоторых сайтах, что позволяет злоумышленникам рассчитывать на успешную реализацию атак на эти финансовые организации.
Рейтинг сайтов банков сформировался следующим образом:
- Kaspi Bank
- Altyn Bank
- Bank RBK
- Citi Bank
- Capital Bank Kazakhstan
- Tengri Bank
- Банк Китая в Казахстане
- Национальный банк Пакистана
- Народный банк Казахстана
- Альфа банк
- Исламский банк Al Hilal
- First Heartland Jusan Bank
- ForteBank
- Шинхан банк Казахстан
- Сбербанк
- АТФ банк
- Евразийский банк
- ЖССБ Казахстана
- Хоум Кредит
- НурБанк
- ВТБ
- Банк Центркредит
- КЗИ банк
- Банк Kassa Nova
- AsiaCredit Bank
- Заман банк
При составлении рейтинга учитывались 10 критериев:
Software compositions – обновление программного обеспечения. Риск: если не обновлена система управления контентом CMS или её компоненты, то, с высокой вероятностью, существуют вредоносные программы, которые позволяют эксплуатировать уязвимости старых версий. Из 26 доменов этот пункт успешно прошли только 3 (Народный банк, Национальный банк Пакистана и КЗИ банк).
Website perfomance – оценка скорости загрузки сайта. Риск: низкая производительность позволит злоумышленникам перегружать веб-ресурс, делая его недоступным для пользователей.
- Высокая скорость загрузки у 46% доменов;
- у 46% – средняя;
- у 8% – низкая (Евразийский банк, Банк ЦентрКредит).
IP/Domain reputation – репутация ресурса, отсутствие в чёрном списке антивирусных программ. Риск: если сайт занесён в чёрный список одной из баз репутации, он может быть заблокирован для посещения браузерами и даже может исчезнуть из результатов поисковых систем.
- 96% сайтов считаются "чистыми";
- у 4% (домен Банка Kassa Nova) был выявлен Forcepoint ThreatSeeker. Это может означать, что он попал в чёрный список системы как потенциально вредоносный.
HTTP Security Headers and Content Security Policy Scoring – безопасность заголовков и политика защиты контента. Риск: недостаток в безопасности заголовков может привести к атакам, нацеленным на посетителей, таким как изменение контента сайта на вредоносный.
- У 23% доменов наблюдается высокая оценка;
- 58% – средняя;
- у 19% – низкая (Сiti Bank, Capital Bank Kazakhstan, ЖССБ Казахстана, Банк Китая в Казахстане, ВТБ).
Traffic encryption – проверка криптографических протоколов (SSL/TLS). Риск – перехват данных, наличие посредника, который имеет возможность перехватить и модифицировать данные, пересылаемые между двумя абонентами системы связи. Злоумышленник пропускает через себя веб-трафик пользователя банка и получает отправляемые личные данные жертвы. Проблемы с SSL/TLS выявлены у:
- Национального банка Пакистана
- Банка Kassa Nova
- AsiaCredit Bank
- КЗИ банка
- Заман банка
- Шинхан банка Казахстана.
Information leak – утечка информации. Риск: сотрудники банков могут использовать корпоративные e-mail-адреса для регистрации на различных сервисах, в результате взлома данных сервисов адреса электронной почты, пароли и иная персональная информация утекают в сеть. Злоумышленники могут воспользоваться чувствительной информацией для атаки на информсистемы банка, так как в 90% случаев пароли учётных записей пользователей на различных сервисах совпадают.
Утечка информации выявлена у следующих банков:
- Сбербанк
- Банк ЦентрКредит
- Народный банк Казахстана
- АТФ банк
- КЗИ банк
- Банк Kassa Nova
- Евразийский банк
- AsiaCredit Bank
- ЖССБ Казахстана
- Заман банк
- Хоум Кредит
- НурБанк
- ВТБ
Всего найдено 386 утечек.
Network Security – cетевая безопасность. Был проведен анализ портов, которые не используются напрямую самим веб-сервером. Просто наличие открытых портов не является уязвимостью, однако, с точки зрения лучших практик безопасности, веб-сервер не должен иметь открытых портов кроме тех, которые подразумевают работу с веб-сервисами.
Банки с открытыми портами:
- Альфа банк
- Сбербанк
- AsiaCredit Bank
- Заман банк
- Хоум Кредит
- Банк Китая в Казахстане
- ForteBank
- First Heartland Jusan Bank
Email security – защита почты. Риск: более 90% почтового трафика содержит спам, фишинг, вредоносные программы и другие электронные угрозы. Проверка показала, правильно ли настроен почтовый сервер веб-ресурса для предотвращения этих распространённых угроз.
В "красной" зоне по этому пункту оказались сайты 11 банков:
- Исламский банк Al Hilal
- Банк ЦентрКредит
- ВТБ
- Сбербанк
- First Heartland Jusan Bank
- AsiaCredit Bank
- Заман банк
- ForteBank
- НурБанк
- Хоум Кредит
- КЗИ банк
Current state – проверка на предмет взлома ресурса по внешним признакам. Риск: сетевой крипто-майнинг позволяет браузеру жертвы автоматически майнить криптовалюту во время посещения. Все сайты банков успешно прошли проверку.
GDPR compliance – соответствие общему регламенту защиты персональных данных. Веб-сайты обязаны предоставлять пользователям информацию о том, как обрабатываются их персональные данные, файлы cookie и как выполняется передача пользовательских данных. Файлы cookie могут хранить множество данных достаточных для идентификации пользователя без его ведома и согласия. У всех сайтов банков выявлены проблемы GDPR.