На сайтах 27 российских банков нашли уязвимость
В 27 российских банках специалисты по кибербезопасности обнаружили уязвимость, которая поможет мошенникам в краже персональных данных. Банковские сайты могут перенаправить клиентов на фишинговый ресурс. Об этом сообщает «Коммерсант» со ссылкой на данные компании StopPhish.
Специалисты проанализировали 358 сайтов российских банков, приведенных на сайте ЦБ РФ, на наличие уязвимостей. Выяснилось, что 27 кредитных организаций из списка имеют открытые редиректы. Это позволяет мошенникам перенаправить пользователя на сторонний ресурс, после перехода на который конфиденциальная информация клиента банка может быть скомпрометирована.
По словам экспертов, ссылка содержит знакомое название банка, например, «bank.ru/redirect.php?goto=https://…». Вероятность клика по такой ссылке доходит до 80%. При этом рядовые пользователи проверяют адрес в лучшем случае при клике по ссылке, но не после этого.
Сама уязвимость существует более десяти лет, но большинство участников рынка узнали о проблеме год назад. Она касалась тех, у кого сайт работал на системе управления (CMS) «1С-Битрикс». Таких банков было большинство, но после выявления проблемы многие редирект отключили.
Чтобы мошенники могли воспользоваться уязвимостью, необходимо, чтобы кто-то из сотрудников банка зашел в настройки и отключил эту защиту, поясняют специалисты. Было много случаев с использованием этой уязвимости – от атак на государственные сайты до проблем у WhatsApp.
Москва, Зоя Осколкова
© 2021, РИА «Новый День»