Деньги: Названы самые уязвимые для хакеров украинские банки

Системы интернет-банкинга, которыми украинцы уже привыкли пользоваться для платежей в Сети (их совершают с карточных счетов на сайтах финучреждений), протестировали на уязвимость. Причина - хакерские атаки, которые участились на наши банки этой весной, пишут Вести. 

Исследователи проекта Roomian.org проверили надежность шифрования протоколов данных - тех данных, которые люди передают банкам. И сформировали рейтинг, в котором присвоили 19 исследуемым банкам оценки от A - 'отлично' до F - 'неудовлетворительно' (см. ниже). Проверка банкингов на безопасность проводилась при помощи инструмента под названием Qualys SSL Labs SSL Test: он сертифицирован PCI DSS в качестве общедоступного сканера для поиска уязвимостей, может подсказать, действительно ли протокол шифрования данных является безопасным.

'Рейтинг отображает степень уязвимости процесса шифрования данных между пользователем и сервером банка и говорит о том, что злоумышленники потенциально могут получить доступ к этим данным, если сайт интернет-банка недостаточно защищен', - уточняют исследователи Roomian.org.

Атакуют чаще

Финансисты не скрывают - хакеры действительно стали чаще на них нападать. 'Количество атак, проведенных в 2014 году (по сравнению с аналогичным периодом 2013 г.) выросло на 2/3. Но хочу отметить, что и банки усилили и значительно повысили уровень защищенности своих систем за этот период', - отметил в разговоре с 'Вестями' начальник Центра информационной безопасности Фидобанка Олег Ковальчук.

Активизацию хакеров объясняют интересом людей к платежам в интернете. 'Массовый рост популярности услуг онлайн-банкинга повлекло значительное увеличение атак на такие услуги или их пользователей. Два самых распространенных риска - это недоступность системы для пользователей в результате нападения, когда речь идет о DDOS-атаке, а также кража средств со счета клиента в результате мошеннической операции. Нередко это происходит одновременно', - сказал 'Вестям' заместитель директора департамента информационной безопасности Райффайзен Банка Аваль Александр Тимошик.

Один из последних скандалов был связан с проколом в безопасности, который спровоцировал криптографический пакет OpenSSL вместе с расширением TLS heartbeat. 'Он затронул очень многие компании, в том числе и банки. Уязвимость не гарантировала мошенникам конкретных результатов, поскольку давала доступ к случайным данным, ценность которых не всегда была большой, но несла для многих риски', - признал в беседе с 'Вестями' заместитель начальника управления информационных технологий банка 'Национальный кредит' Евгений Звиряка.

К тому же финансисты не перестают напоминать, что участившие случаи взломов связаны, в том числе и с беспечностью самих пользователей. 'Причины проблем с интенет-банкингами зачастую находятся на стороне клиента. Именно компьютер пользователя с установленным ПО клиент-банк взламывается злоумышленниками путем заражения троянскими программами, что позволяет далее от имени клиента создавать внешне полностью легальные для банка, но мошеннические по сути платежи', - подчеркнул начальник управления информационной безопасности ОТП Банка Дмитрий Янишевский.

Как борются

Финансисты отдают себе отчет, что пока будут существовать системы интернет-банкингов, хакеров не будет оставлять желание их сломать. Так что новые криптографические пакеты, штурмующие системы безопасности банков, будут появляться беспрестанно. Причем, активно совершенствуясь от года к году. Все, что остается банкирам - постоянно совершенствовать свои банкинги и проверять их безопасность.

'В идеале банки должны на регулярной основе проводить тестирование на проникновение своих систем (penetration test а также соблюдение правил PCI DSS). Данное тестирование должно проводится с привлечением ведущих мировых компаний в сфере IT и IT-безопасности', - сказал 'Вестям' руководитель отдела противодействия кибер-угрозам ПУМБа Александр Третьяк. После таких проверок, банки должны вносить коррективы в свои программные комплексы.

Еще один способ контролировать уязвимость интернет-банкингов к атакам извне - это организовывать собственные проверки. Не дожидаясь неожиданных нападений. 'Например, у нас действует специальная программа, в рамках которой мы приглашаем хакеров со всего мира находить у нас уязвимости и получать за это деньги. За последний год мы выплатили около полумиллиона гривень таких премий. Но в 2014 году уязвимостей было обнаружено меньше, чем в прошлом', - заверил 'Вести' зампредправления Приватбанка Дмитрий Дубилет.

Что делать людям

Ключевой совет украинцам от банкиров не изменился: не хотите, чтобы сломали ваш счет - пользуйтесь сложными паролями и храните их подальше от чужих глаз, а также следите за тем, чтобы на вашем компьютере не было вирусов.

Несложные меры специалисты предлагают и тем, кто хочет проверить, насколько интернет-банкинг их финучреждений уязвим к атакам хакеров. 'Нужно обращать внимание на адресную строку браузера. Соединение должно быть реализовано по защищенному протоколу HTTPS, с действительным сертификатом, выданным компанией с 'именем'. Лидером по доле рынка среди них является Symantec (VeriSign's SSL, Thawte, Geotrust). Также сертификаты могут выдаваться Comodo Group, Go Daddy и GlobalSign. Проверить это можно кликнув мышью на выделенную зеленым цветом надпись https в адресной строке браузера. Нужно опасаться сайтов, которые в адресной строке помечаются красным', - резюмировал Евгений Звиряка.