Подмена имеет значение: около 70% сайтов банков и предприятий уязвимы
Около 70% сайтов банков, госструктур и промышленных предприятий критически уязвимы для кибератак. К такому выводу пришли специалисты «Ростелеком-Солар» по итогам исследования. Как пояснили «Известиям» в компании, злоумышленники могут получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать различные операции. Частота атак на веб-ресурсы во время пандемии выросла на 30% вне зависимости от отрасли.
Далеко идущие последствия
Эксперты «Ростелеком-Солар» проанализировали защищенность более 30 сайтов государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности. Они выявили, что почти 70% веб-приложений оказались подвержены IDOR-уязвимостям. Для этого компания проводила пентесты: моделировала атаки на ресурсы предприятий и выясняла, насколько легко злоумышленнику их взломать, а также анализировала защищенность сайтов. С исследованием ознакомились «Известия».
IDOR-уязвимости (Insecure direct object references — небезопасные прямые ссылки на объекты) позволяют злоумышленникам получить несанкционированный доступ к страницам и файлам, к которым он должен быть запрещен. Это делается, например, с помощью замены буквы или цифры в адресной строке — один новый знак может позволить мошенникам попасть, например, в чужой профиль.
Выяснилось, что угрозе подвержены как интернет-порталы компаний, так и системы дистанционного банковского обслуживания и CRM-системы.
— Как показывает наша практика, логические уязвимости класса IDOR встречаются чаще других. Но они же являются и одними из самых критичных — ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация, — пояснил «Известиям» руководитель отдела анализа защищенности «Ростелеком-Солар» Александр Колесов.
Опрошенные «Известиями» специалисты по информационной безопасности из профильных компаний и банков подтвердили высокую долю IDOR-уязвимостей. По данным Positive Technologies, они есть в каждом третьем (37%) веб-ресурсе и в каждой третьей системе дистанционного банковского обслуживания (31%).
Руководитель проектов по информационной безопасности BPS Кристина Анохина предупредила, что последствия могут быть самыми разными: от смены адреса доставки товара до хищения средств с банковской карты. По ее словам, это связано в первую очередь с отсутствием фильтрации поступающих данных на стороне веб-сервера. Это означает, что при запросах к сайту не проверяется принадлежность данных конкретному посетителю.
IDOR-уязвимости грозят раскрытием технической информации, утечкой документации о структуре и принципах работы ресурса и паролях, отметил эксперт лаборатории практического анализа защищенности компании «Инфосистемы Джет» Анатолий Коваленко. Такое может быть связано с недостатками в процессах тестирования перед финальным выпуском приложения.
Нередко IDOR-уязвимости возникают тогда, когда компания из малого или среднего предприятия вырастает в крупный бизнес, говорит исполнительный директор «Акронис Инфозащиты» Елена Бочерова. Растут отделы, появляются филиалы, а модернизация системы и политики информационной безопасности в соответствии с новым масштабом не заложена.
Наличие риска подтвердил и директор департамента информационной безопасности банка «Открытие» Владимир Журавлев. Он связал это с современными тенденциями в области разработки ПО и ускорением процессов развития программных продуктов, из-за которого сроки ввода в эксплуатацию нового функционала становятся более критичными для бизнеса.
Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд допускает, что такой тип уязвимости может возникать, так как вендорам не хватает опыта или они используют готовые бесплатные решения, в которых не могут распознать уязвимости или ошибки реализации. Поэтому специалист рекомендует компаниям проводить стороннюю экспертизу ПО на информационную безопасность.
Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин советует строго разграничивать привилегии пользователей для доступа к страницам на сайте. Он также рекомендует использовать сложно угадываемые идентификаторы в адресной строке, чтобы их труднее было подделать.
COVID-манипуляция
В целом, по данным InfoWatch, частота атак на веб-ресурсы во время пандемии выросла на 30% вне зависимости от отрасли.
— Мы считаем, что это связано с увеличением функциональности защищаемых объектов — трафик на них стал больше, поскольку многие компании теперь обслуживают клиентов в основном через интернет, — сказал «Известиям» вице-президент ГК InfoWatch, генеральный директор Attack Killer Рустэм Хайретдинов.
Алексей Дрозд указывает на то, что никуда не делись методы, используемые злоумышленниками и до пандемии. Например, фишинг и социальная инженерия. В подтверждение этому МТС Банк зафиксировал в апреле рост количества схем мошеннических обзвонов. Чаще всего поступали звонки якобы от сотрудников службы безопасности банка, которые пытались «спасти» средства от хищения. Также злоумышленники часто беспокоили по поводу возврата средств за путевки и авиабилеты, проведения теста на COVID-19, оказания помощи в оформлении пропусков и оплате штрафа за нарушение самоизоляции.
Злоумышленники действительно очень часто используют COVID-19 в своих манипуляциях, подтверждает Кристина Анохина. После того как Владимир Путин объявил о выплатах семьям с детьми, злоумышленники создали несколько фейковых ресурсов и предлагали оформить эти выплаты там. Например, на созданном злоумышленниками ресурсе covid-viplati.ru (сейчас сайт уже не работает) пользователи вводили свои данные, информацию о ребенке, банковские реквизиты. При этом официальных ресурсов сегодня только два — портал госуслуг gosuslugi.ru или сайт ПФР pfrf.ru.
На страже безопасности
Большими потерями грозят атаки на банковские системы. В BPS рекомендуют кредитным организациям регулярно перепроверять настройки личных кабинетов пользователей во избежание утечки конфиденциальной информации.
В МТС Банке «Известиям» сказали, что активно предупреждают и информируют клиентов о новых видах кибермошенничества и правилах по защите личных средств через официальные каналы коммуникации.
Для защиты веб-приложений банк применяет мультиэшелонную защиту. Управление информационной безопасности выявляет любую подозрительную активность в течение 5–15 минут и обрабатывает ее в режиме 24/7, добавили в кредитной организации.
В Райффайзенбанке используют комплексный подход и многоуровневые проверки для того, чтобы исключить наличие критичных уязвимостей в своих веб-сервисах.
— Среди используемых нами практик — требования по безопасности на этапе проектирования, статический анализ кода, динамическое сканирование, тесты на проникновение и обучение разработчиков, — отметил руководитель отдела информационной безопасности Райффайзенбанка Денис Камзеев.
ВТБ со своей стороны уделяет серьезное внимание проектированию и тестированию собственных продуктов, построению эшелонированной защиты инфраструктуры и ИТ-систем банка, внедрению антифрод-процессов, выявляющих попытки мошеннических действий в отношении клиентов, сказали «Известиям» в банке.
В Росбанке также заявляют о наличии комплексной системы противодействия киберугрозам. В ситуации с пандемией коронавируса кредитная организация фиксирует рост числа внешних сканирований.
— Но, по нашему мнению, большую актуальность в настоящее время представляют атаки на клиентов банков с использованием социальной инженерии, — добавили в Росбанке.
Алексей Дрозд считает, что нынешний контекст как никогда благоволит злоумышленникам, чтобы атаковать как пользователей госуслуг и кредитных организаций, так и самих сотрудников. Новостная повестка меняется очень быстро: люди пытаются разобраться в ней — в быту и по работе — и чаще становятся жертвами мошенников. Поэтому любые атаки, которые задействуют элементы социальной инженерии, в перспективе будут на передовой.
