Новости Сайты 27 российских банков уязвимы для мошенников

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.646
Репутация
9.166
Реакции
22.710
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
5.jpg


Работающая в области кибербезопасности компания StopPhish в ходе исследования сайтов всех 358 российских банков из реестра ЦБ обнаружила в 27 из них опасную уязвимость. Она позволяет злоумышленникам отправить утратившего бдительность клиента банка на поддельный сайт.

Как пишет со ссылкой на исследование, уязвимость затрагивает сайты, работающие на отечественной системе управления контентом "1С-Битрикс", и представляет собой открытый редирект.

Это значит, что, если злоумышленники пришлют пользователю ссылку вида "bank.ru/redirect.php?goto=https://…" и тот, увидев в начале адреса реальный сайт банка, кликнет на нее, то уязвимый сайт, выполнив команду о переадресации, откроет любой другой сайт, указанный в адресе после команды "goto".

Этот мошеннический ресурс может в точности копировать сайт банка, что создает риск ввода пользователем логина и пароля от личного кабинета и попадания этих сведений к злоумышленникам. По оценке сооснователя StopPhish Юрия Другача, вероятность перехода по такой ссылке доходит до 80 процентов. А рядовые пользователи, как правило, если и проверяют адрес, то только до первого клика по ссылке.

Как рассказал изданию источник в одном из крупных банков, об уязвимости большинство участников рынка узнали около года назад, после чего почти все банки функцию редиректа в системе управления контентом "1С-Битрикс" отключили. Сооснователь "1С-Битрикс" Сергей Рыжиков сказал, что в стандартной поставке системы активирована функция защиты, предотвращающая помимо прочего и атаки через редирект.Так что уязвимость возникнет лишь в том случае, если сотрудники банка отключат защиту по умолчанию.
 
Сверху Снизу