Сайты банков Казахстана в зоне риска
Многие банки пренебрегают самыми простыми рекомендациями по обеспечению веб-безопасности.
Большая часть наших личных данных хранится в интернете, поэтому кибербезопасность имеет первостепенное значение. Особенно же вопрос защиты информации важен, когда речь идет о финансовых сервисах. Ускорение цифровизации финансовой отрасли, вызванное пандемией, будет связано с высокими угрозами кибербезопасности, причем Казахстан находится в зоне риска.
Компания Comparitech составила свежий рейтинг 76 стран мира по кибербезопасности, в котором учитывались такие факторы, как уровень заражения вредоносным ПО, количество атак финансового вредоносного ПО, готовность к кибератакам и законодательство о кибербезопасности. Согласно этому рейтингу Казахстан в 2020 году находится на 26 месте. Для сравнения, наименее кибербезопасной страной в мире является Алжир — он на первом месте рейтинга. Другие наиболее уязвимые страны — Таджикистан (2 место), Туркменистан (3), Сирия (4) и Иран (5). А вот самыми безопасными странами стали Дания (76 место), Швеция (75) и Германия (74). Хотя, как нам пояснили в Comparitech, на самом деле ни одна страна, попавшая в рейтинг, не была «лучшей в своем классе» по всем направлениям. Все проанализированные страны нуждаются в значительных улучшениях по тем или иным параметрам оценки.
Наша страна появилась в рейтинге впервые, поэтому изменение показателей кибербезопасности за год не доступно. Однако такое высокое место в рейтинге говорит о серьезных вызовах с точки зрения ИБ. Вот отдельные показатели РК из рейтинга: 4,8% мобильных телефонов, зараженных вредоносным ПО; 0,9% пользователей подвержены финансовым вредоносным атакам; 9,22% компьютеров, зараженных вредоносным ПО; 3,66% атак криптомайнеров. Это говорит о том, что те данные, которые хранятся на устройствах пользователей (мобильных и стационарных), весьма уязвимы. И учитывая тот рост онлайн-оплат, который зафиксирован в РК из-за карантинных ограничений, есть серьезные опасения касательно безопасности финансовой информации казахстанцев.
А как обстоит ситуация со стороны самих финансовых учреждений? Как рассказал Евгений Питолин, управляющий директор «Лаборатории Касперского» в странах Центральной Азии, СНГ и Балтии, для банковского сектора Казахстана самыми актуальными киберугрозами можно считать следующие: DDoS-атаки и кибератаки на региональные офисы и филиалы. А среди угроз для клиентов банков самые актуальные — атаки на интернет-банкинг, в том числе с помощью фишинговых схем, ориентированных на получение личных данных клиентов банков, а также вредоносное ПО.
О том, насколько безопасны официальные сайты банков Казахстана, рассказали в ЦАРКА. Исследование было проведено с помощью решения по мониторингу и защите WebTotem. Как пояснили авторы отчета, использованная методика оценки учитывает лучшие мировые практики, рекомендации признанных разработчиков ПО и профессиональных сообществ, а также наиболее часто применяемые стандарты. При этом в область исследования не вошли сервисы интернет-банкинга, оценивалось лишь состояние защищенности веб-ресурсов 26 банков второго уровня. Исследование включало анализ использования подходов по выполнению рекомендованных настроек для веб-серверов и связанных компонентов.
«Главной целью исследования является оценка уровня безопасности публично доступных банковских ресурсов. Речь идет об официальном сайте банка. В ходе исследования мы попытались выяснить, какие потенциальные векторы атак могут быть доступны злоумышленникам», — пояснили в ЦАРКА.
Веб-сайты банков оценивались по нескольким факторам риска.
Уязвимости старых версий CMS
Если не обновлена CMS или ее компоненты, то с высокой вероятностью существует эксплойт, который позволяет эксплуатировать уязвимости старых версий. Устаревшая версия CMS с высокой вероятностью уже не поддерживается разработчиком, а также подвержена потенциальным угрозам безопасности. Из 26 доменов банков по данному фактору «прошли» только три: АО «ДБ «Национальный Банк Пакистана» в Казахстане», АО «Народный сберегательный банк Казахстана», АО «Дочерний банк «Казахстан-Зираат интернешнл банк».
Скорость загрузки
Оценка скорости загрузки основана на данных FCP и FID, полученных методом имитации загрузки сайта. Тестирование наилучшей практики производительности выполняется для анализа устойчивости сайта к нагрузкам. При этом отмечается, что низкая производительность позволит злоумышленникам перегружать веб-ресурс, делая его недоступным для пользователей. Оказалось, что у 46% доменов банков наблюдается высокая скорость загрузки, еще у 46% — средняя и у 8% — низкая.
Репутация IP-домена
Хорошая репутация означает, что веб-ресурс безопасен, в то время как статус «черный список» антивирусов предупреждает посетителей о возможных угрозах безопасности. Если веб-ресурс занесен в черный список одной из баз репутации, он может быть заблокирован браузерами от посещения и даже исчезнуть из результатов поисковой выдачи. Это, в свою очередь, приводит к потере трафика, доверия клиентов и, следовательно, денег.
В целом, только один домен был идентифицирован Forcepoint ThreatSeeker как «потенциально вредоносный» и попал в черный список этой системы — АО «Банк Kassa Nova».
Политика защиты контента, CSP
Content Security Policy — это один из основных способов снижения рисков, возникающих при эксплуатации XSS-атак. С помощью CSP администратор сайта может определять атрибуты, разрешенные на страницах (шрифты, стили, изображения, скрипты JS, SWF и т. д.). Недостаток в безопасности заголовков может привести к атакам, нацеленным на посетителей. Среди таких атак — инъекция вредоносного кода, XSS и изменение веб-ресурса на вредоносный. Оказалось, что у 23% доменов наблюдается высокая оценка, у 58% — средняя и у 19% — низкая.
Шифрование трафика
Одной из самых важных настроек является проверка настроек SSL/TLS, поскольку сегодня эти криптографические протоколы являются самым популярным методом обеспечения защищенного обмена данными в интернете. Если эти настройки не выполнены должным образом, существует возможность перехвата данных. Это один из видов атак класса «человек посередине». Такие атаки подразумевают наличие посредника, который может перехватывать и изменять данные, пересылаемые между сайтом и пользователем. Жертвы таких атак, как правило, даже не подозревают о вмешательстве злоумышленников в процесс обмена информацией между ними. Пока жертвы уверены, что обращаются напрямую к веб-сайту, трафик проходит через промежуточный узел злоумышленника, который получает все отправляемые данные (это могут быть логины, пароли, ПИН-коды и тд).
По результатам этой проверки в нескольких банках были выявлены проблемы с SSL/TLS: АО «ДБ «Национальный Банк Пакистана» в Казахстане», АО «Шинхан Банк Казахстан», АО «Дочерний банк «Казахстан-Зираат интернешнл банк», АО «Банк Kassa Nova», АО «AsiaCredit Bank (Азия Кредит Банк)», АО «Исламский банк «Заман-Банк».
Утечка информации
Любая утечка информации несет в себе те или иные негативные последствия для компании. По результатам проверки в 13 банках были выявлены случаи утечки информации, всего же таких случаев зафиксировано 386.
Сетевая безопасность
Был проведен анализ портов, которые не используются напрямую самим веб-сервером (порты 80 и 443). Хотя само наличие открытых портов не является уязвимостью, однако с точки зрения лучших практик безопасности веб-сервер не должен иметь открытых портов кроме тех, которые подразумевают работу с веб-сервисами.
Отметим, что имеются данные об исследовании Alert Logic, в ходе которого было проанализировано более 5000 атак, совершенных с ноября 2018 года по апрель 2019 года. Оказалось, что наиболее используемыми портами для проведения атак являются 22, 80 и 443. Здесь стоит напомнить нашумевшую историю с WannaCry — взломам подверглись компьютеры с открытым TCP-портом 445. Именно отсутствие контроля за периметром стало причиной того, что атаки оказались успешными.
По данным исследования ЦАРКА, у восьми банков РК выявлены открытые порты.
Безопасность почтового сервера веб-ресурсов
Более 90% почтового трафика содержит спам, фишинг, вредоносные программы и другие угрозы. Электронная почта является основным вектором заражения для вымогателей и вредоносных программ. Так, по данным «Лаборатории Касперского», доля спама составила почти половину (48%) от всего почтового трафика Казахстана. Кроме того, за 2019 год решения «Лаборатории Касперского» заблокировали почти три миллиона попыток пользователей перейти на фишинговые сайты. А Александр Савушкин, глава представительства Check Point Software Technologies в Украине, Грузии и СНГ, рассказал еще об одной из частых схем атак на финансовый сектор — это BEC (Business Email Compromise), что дословно переводится как «компрометация деловой электронной почты». Основными целями злоумышленников обычно являются акции, венчурный капитал и бухгалтерия.
При оценке веб-ресурсов банков с точки зрения безопасности почтового сервера проводилась проверка того, правильно ли настроен почтовый сервер веб-ресурса для предотвращения подобных угроз. Было проведено несколько проверок email security, по результатам которых определен индекс для каждого из банков. В «зеленой», наиболее защищенной зоне, оказалось шесть банков: АО «Kaspi Bank», АО «Capital Bank Kazakhstan», АО «Жилищный строительный сберегательный банк Казахстана», АО «Ситибанк Казахстан», АО «Евразийский банк», «АО «Банк Kassa Nova».
Общее текущее состояние
В рамках этого параметра осуществлялась проверка на предмет взлома ресурса по внешним признакам. Они включают наличие на сайте вредоносных скриптов или сетевых майнеров, проверка скорости работы сайта, жалобы от пользователей на наличие вирусов. По этому параметру все исследованные сайты банков оказались «чисты».
Соответствие GDPR
Персональные данные должны обрабатываться таким образом, чтобы обеспечить им надлежащую безопасность, включая защиту от несанкционированной или незаконной обработки, случайной утери, повреждения или уничтожения. Согласно требованиям GDPR веб-сайты обязаны предоставлять пользователям информацию о том, как обрабатываются их персональные данные и файлы cookie, а также о том, как выполняется передача пользовательских данных. В результате проверки на соответствие GDPR у всех банков выявлены проблемы.
Выводы отчета
Ключевым выводом представленного ЦАРКА исследования стало утверждение о том, что многие банки пренебрегают даже самыми простыми и распространенными рекомендациями по обеспечению веб-безопасности. Это повышает их привлекательность для злоумышленников и увеличивает шансы на успешную атаку.
Здесь нельзя не отметить возрастающее число потенциальных угроз, с которыми могут столкнуться и пользователи, и сами банки ввиду стремительного перехода мира к цифровым реалиям. Пандемия ускорила цифровизацию финансовой отрасли, а значит — риски тоже весьма возросли. Так, аналитики Juniper Research заявили, что к 2024 году количество пользователей цифровых банковских услуг в мире превысит 3,6 миллиарда против 2,4 млрд в 2020 году, а Digital-Only банки станут катализатором рынка. Еще одно исследование говорит о том, что общее количество пользователей Open Banking (тех, кто обменивается данными через API Open Banking) достигнет 40 млн в 2021 году по сравнению с 18 млн в 2019 году. Продолжающаяся пандемия коронавируса увеличивает потребность пользователей в цифровых банковских сервисах, агрегировании информации со счетов и получении точных данных о финансовом состоянии. Представители Trend Micro тоже говорят о том, что мобильные вредоносные программы, предназначенные для онлайн-банкинга и платежных систем, будут более активными. Такой прогноз аналитики компании сделали на 2020 год еще в ноябре 2019 года. Злоумышленники могут использовать различные методы для компрометации пользователей мобильного банкинга — от поддельных приложений до атак через вредоносные сетевые подключения и злоупотребление украденными учетными данными. Более совершенными становятся и банковские трояны. Ситуацию усугубляет недостаток навыков кибербезопасности у пользователей и слабая кибер-гигиена.
Те же Juniper Research считают, что компании в сфере электронной коммерции, продажи авиабилетов, денежных переводов и банковских услуг в совокупности потеряют более 200 млрд долларов из-за мошенничества с онлайн-платежами в период с 2020 по 2024 год. Это будет обусловлено растущей изощренностью попыток мошенничества и ростом числа векторов атак. Исследование также показало, что цифровые денежные переводы являются растущей областью мошенничества с платежами, причем с 2020 по 2024 год потери возрастут на 130%. Особенно сильно мошенничество с цифровыми денежными переводами будет проявляться на развивающихся рынках. Кстати, по словам представителей Check Point, в регионе, куда входят Украина, Грузия и страны СНГ, среднее число атак на организацию — 723 в неделю, хотя в мире, для сравнения — 503. Причем больше всего атак происходит на организации в Казахстане.
Все это налагает большую ответственность на банки. Совершенно очевидно, что подход к обеспечению безопасности в финансовом секторе должен стать более взвешенным.