ЦАРКА составил рейтинг сайтов банков Казахстана по уровню веб-безопасности

Центр анализа и расследования кибер-атак провёл исследование и составил рейтинг веб-безопасности официальных сайтов банков Казахстана.

В ЦАРКА пришли к выводу, что многие банки пренебрегают даже самыми распространёнными и простыми советами по повышению безопасности своих веб-ресурсов. Достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют на некоторых сайтах, что позволяет злоумышленникам рассчитывать на успешную реализацию атак на эти финансовые организации.

Рейтинг сайтов банков сформировался следующим образом:

1. Kaspi Bank
2. Altyn Bank
3. Bank RBK
4. Citi Bank
5. Capital Bank Kazakhstan
6. Tengri Bank
7. Банк Китая в Казахстане
8. Национальный банк Пакистана
9. Народный банк Казахстана
10. Альфа банк
11. Исламский банк Al Hilal
12. First Heartland Jusan Bank
13. ForteBank
14. Шинхан банк Казахстан
15. Сбербанк
16. АТФ банк
17. Евразийский банк
18. ЖССБ Казахстана
19. Хоум Кредит
20. НурБанк
21. ВТБ
22. Банк Центркредит
23. КЗИ банк
24. Банк Kassa Nova
25. AsiaCredit Bank
26. Заман банк

При составлении рейтинга учитывались 10 критериев:

Software compositions – обновление программного обеспечения. Риск: если не обновлена система управления контентом CMS или её компоненты, то, с высокой вероятностью, существуют вредоносные программы, которые позволяют эксплуатировать уязвимости старых версий. Из 26 доменов этот пункт успешно прошли только 3 (Народный банк, Национальный банк Пакистана и КЗИ банк).

Website perfomance – оценка скорости загрузки сайта. Риск: низкая производительность позволит злоумышленникам перегружать веб-ресурс, делая его недоступным для пользователей.

• Высокая скорость загрузки у 46% доменов;
• у 46% – средняя;
• у 8% – низкая (Евразийский банк, Банк ЦентрКредит).

IP/Domain reputation – репутация ресурса, отсутствие в чёрном списке антивирусных программ. Риск: если сайт занесён в чёрный список одной из баз репутации, он может быть заблокирован для посещения браузерами и даже может исчезнуть из результатов поисковых систем.

• 96% сайтов считаются "чистыми";
• у 4% (домен Банка Kassa Nova) был выявлен Forcepoint ThreatSeeker. Это может означать, что он попал в чёрный список системы как потенциально вредоносный.

HTTP Security Headers and Content Security Policy Scoring – безопасность заголовков и политика защиты контента. Риск: недостаток в безопасности заголовков может привести к атакам, нацеленным на посетителей, таким как изменение контента сайта на вредоносный.

• У 23% доменов наблюдается высокая оценка;
• 58% – средняя;
• у 19% – низкая (Сiti Bank, Capital Bank Kazakhstan, ЖССБ Казахстана, Банк Китая в Казахстане, ВТБ).

Traffic encryption – проверка криптографических протоколов (SSL/TLS). Риск – перехват данных, наличие посредника, который имеет возможность перехватить и модифицировать данные, пересылаемые между двумя абонентами системы связи. Злоумышленник пропускает через себя веб-трафик пользователя банка и получает отправляемые личные данные жертвы. Проблемы с SSL/TLS выявлены у:

• Национального банка Пакистана
• Банка Kassa Nova
• AsiaCredit Bank
• КЗИ банка
• Заман банка
• Шинхан банка Казахстана.

Information leak – утечка информации. Риск: сотрудники банков могут использовать корпоративные e-mail-адреса для регистрации на различных сервисах, в результате взлома данных сервисов адреса электронной почты, пароли и иная персональная информация утекают в сеть. Злоумышленники могут воспользоваться чувствительной информацией для атаки на информсистемы банка, так как в 90% случаев пароли учётных записей пользователей на различных сервисах совпадают.

Утечка информации выявлена у следующих банков:

• Сбербанк
• Банк ЦентрКредит
• Народный банк Казахстана
• АТФ банк
• КЗИ банк
• Банк Kassa Nova
• Евразийский банк
• AsiaCredit Bank
• ЖССБ Казахстана
• Заман банк
• Хоум Кредит
• НурБанк
• ВТБ

Всего найдено 386 утечек.

Network Security – cетевая безопасность. Был проведен анализ портов, которые не используются напрямую самим веб-сервером. Просто наличие открытых портов не является уязвимостью, однако, с точки зрения лучших практик безопасности, веб-сервер не должен иметь открытых портов кроме тех, которые подразумевают работу с веб-сервисами.

Банки с открытыми портами:

• Альфа банк
• Сбербанк
• AsiaCredit Bank
• Заман банк
• Хоум Кредит
• Банк Китая в Казахстане
• ForteBank
• First Heartland Jusan Bank

Email security – защита почты. Риск: более 90% почтового трафика содержит спам, фишинг, вредоносные программы и другие электронные угрозы. Проверка показала, правильно ли настроен почтовый сервер веб-ресурса для предотвращения этих распространённых угроз.

В "красной" зоне по этому пункту оказались сайты 11 банков:

• Исламский банк Al Hilal
• Банк ЦентрКредит
• ВТБ
• Сбербанк
• First Heartland Jusan Bank
• AsiaCredit Bank
• Заман банк
• ForteBank
• НурБанк
• Хоум Кредит
• КЗИ банк

Current state – проверка на предмет взлома ресурса по внешним признакам. Риск: сетевой крипто-майнинг позволяет браузеру жертвы автоматически майнить криптовалюту во время посещения. Все сайты банков успешно прошли проверку.

GDPR compliance – соответствие общему регламенту защиты персональных данных. Веб-сайты обязаны предоставлять пользователям информацию о том, как обрабатываются их персональные данные, файлы cookie и как выполняется передача пользовательских данных. Файлы cookie могут хранить множество данных достаточных для идентификации пользователя без его ведома и согласия. У всех сайтов банков выявлены проблемы GDPR.