В StopPhish определили, что на сайтах около 27 банков России есть небезопасная уязвимость, которая дает возможность злоумышленникам перенаправить клиентов на поддельный сайт. Уязвимость относится к ресурсам, функционирующим на СУ от «1С-Битрикс». Сами разработчики говорят, что в настройках редирект возникает при условии отключения банковским работником защиты по умолчанию. Что касается кредитных организаций, то там говорят о внедрении своих систем управления ресурсами, обладающими более высоким защитным уровнем.

По результатам проведенных StopPhish исследований, в ходе которых был осуществлен анализ 358 ресурсов банков РФ, указанных на сайте Центробанка, на наличие в них уязвимостей стало известно, что таковые имеются в 27 из них.

Имеется в виду уязвимость, способная перебросить человека на совсем другой сайт. Ю. Другач, основатель StopPhish, поясняет, что это вполне может быть использовано злоумышленниками. Он пояснил, что письмо, в тексте которого присутствует ссылка с адресом кредитной организации, приходит клиенту или работнику банка. При нажатии на нее человек перейдет на сторонний ресурс, принадлежащий мошенникам. В итоге конфиденциальность данных находится под угрозой компрометации.

Эксперт отметил, что человек кликнет на такую ссылку с вероятностью до 80 процентов. Он добавил, что уязвимости уже более 10 лет. А вот насколько она опасна, зависит непосредственно от настроек каждой отдельной СУ ресурсом.

Со слов представителя одной из крупных финансовых организаций пояснил, что большая часть участников этого рынка только год тому узнали о наличии проблемы и возникла она у банков, функционирующих на «1С-Битрикс». На этой CMS работали ресурсы подавляющего числа банков. А уже после того, как проблему обнаружили, многие из них редирект отключили. Представители МКБ рассказали, что у них работает своя система управления с защитой. В связи с этим у них данная проблема отсутствует.

Ю. Другач указал, что из перечня Центробанка в настоящее время 140 ресурсов работают на «1С-Битрикс». С. Рыжков, основатель данной CMS, подчеркнул, что стандартный вариант системы по умолчанию имеет защитную функцию, отражающую множество кибератак, среди которых и редиректы. Для возникновения угрозы специалист банка должен лично отключить эту функцию в настройках. Чтобы избавиться от проблемы, достаточно снова активировать защиту.

А. Павлов из Solar JSOC уверен, что это явление опасно, ведь в большинстве случаев фишинг достаточно успешен.

Что касается обычных пользователей, то они, как правило, не смотрят на адрес или же проверяют его лишь при нажатии на ссылку, а не после клика.

В. Васин из Group-IB говорит, что уязвимость применялась и не раз при атаках на госсайты, создавала неприятные ситуации WhatsApp.

Д. Легезо, эксперт по информационной безопасности «Лаборатории Касперского», указывает, что уязвимость хоть и малоприятная, но не самая сложная. А. Павлов солидарен с этим утверждением и добавляет, что ее можно обнаружить при помощи автоматизированного стандартного сканирования. Е. Волошин добавил, что есть способы и попроще, что и стало причиной достаточно редкого использования этих уязвимостей мошенниками.

А. Черныхов из «Крок» советует, что банкам, у которых выявлена уязвимость, необходимо более часто проводит аудит кибербезопасности при запуске систем. Ф. Музалевский из RTM-Group говорит, что поиск подобных уязвимостей путем тестирования (пентест) кредитные организации обязаны проводить каждый год. Если требования ЦБ выполняются, то проблему обнаруживают и от нее избавляются.