Компанія ActiveCloud порівняла сайти 27 білоруських банків і визначила з них найбільш захищені для інтернет-користувачів.
Предметом дослідження стала наявність у сайту банку актуальних цифрових сертифікатів SSL, які захищають з'єднання між браузером користувача та сервером сайту. Для коректної роботи кожного сертифіката використовуються спеціальні протоколи, один з яких влітку 2015 року було оголошений небезпечним і більше не забезпечує належний захист - в нім знайдена критична уразливість.
Фахівці компанії ActiveCloud вирішили оцінити можливі ризики, оскільки SSL-сертифікати необхідні для систем інтернет-банкінгу, де потрібно забезпечувати безпеку платіжних і особистих даних клієнта. Для оцінки сайтів інтернет-банкінгу фахівці використовували інструмент перевірки Qualys SSL Labs .
За результатами тестів було виявлено, що найкращий захист своїх інтернет-банкінгів забезпечують БСБ Банк і МТБанк , Які отримали оцінку «А» в SSL Server Test . Високий рейтинг присвоєно за використання самого безпечного на даний момент протоколу TLS 1.2 і коректну захист від поширених вразливостей. Такий же протокол використовують ще 8 систем інтернет-банкінгу, однак вони отримали меншу оцінку.
«На жаль, 30% перевірених нами сайтів отримали загальну оцінку« F », оскільки мають вразливість POODLE. Вона дозволяє зловмисникам перехоплювати інформацію, передану між клієнтом і сервером », - прокоментував результати продукт-менеджер компанії ActiveCloud Євген Мороз. «При цьому переважна більшість банків використовують алгоритм хешування SHA-1, якому деякі веб-браузери з 2015 року надають сайтам статуси« небезпечно »або« безпечно, але з помилками ». У цьому випадку користувач бачить замість бажаної сторінки попередження браузера про можливі загрози. Ми рекомендуємо таким банкам перевипустити сертифікати, використовуючи новий алгоритмом шифрування ключа SHA-256. Більшість вендорів роблять це безкоштовно протягом терміну дії раніше придбаного сертифіката ».
Частина сайтів, які отримали оцінку F, також схильні до атак DH (Diffie-Hellman), при яких зловмисники можуть читати, копіювати і змінювати дані, відправлені користувачем. У цій ситуації найбільше побоювання викликають форми онлайн-заявок на кредит , За допомогою яких клієнти відправляють на попередній розгляд паспортні дані, інформацію про доходи та місце проживання, контактні номери телефонів і так далі. Ряд банків отримують дані з онлайн-форм по незахищених каналах - зі сторінок своїх сайтів без використання шифрування інформації.
Щоб захистити дані клієнтів, чотири білоруських банку - Пріорбанк , Технобанк, Альфа Банк і Ідея Банк - встановили SSL-сертифікати на своїх основних сайтах, а не тільки на сторінках інтернет-банкінгу. При цьому сайт Технобанк отримав максимальну оцінку в абсолютному порівнянні з усіма сайтами білоруських банків і систем інтернет-банкінгу. «Оцінка« А »отримана завдяки використанню сертифіката з розширеною перевіркою (EV), і правильним налаштуванням сервера, на якому розташований сайт банку», - зазначив Євген Мороз.
У ActiveCloud підрахували, що сертифікат з розширеною перевіркою (EV) використовують 11 банків. Отримати його можуть тільки ті компанії, які успішно пройшли розширену перевірку видавця сертифіката. Як правило, вендор перевіряє реєстраційні документи клієнта, наявність його в міжнародних базах DUNS , Права на використання домену та запитує додаткові документи.
При використанні такого сертифіката, сайт банку можна легко відрізнити від сайту-двійника, створеного зловмисниками для збору особистих даних клієнтів, по зеленій адресному рядку із зазначенням юрособи, якій видано сертифікат і символу закритого замка.
Що стосується сертифікаційних центрів, то найпопулярнішими серед білоруських банків є сертифікати від американської компанії Thawte. Лише кілька банків віддали перевагу сертифікатами від Geotrust і Comodo. Втім, результати тестування показують, що ступінь захисту не залежить від вибору вендора.
Фахівці ActiveCloud проаналізували рекомендації Qualys SSL Labs щодо усунення виявлених проблем і підібрали найбільш актуальні для сайтів білоруських банків:
- Усунути вразливість POODLE допоможе установка патча або відключення протоколів SSL 2 і SSL 3, замість яких слід використовувати TLS 1.2;
- Усунути вразливість FREAK можна деактивувати підтримку експорту наборів шифрів;
- Відмовитися від використання шифрування SHA-1 на користь SHA-256;
- Налаштувати Forward Secrecy і переконатися, що функція працює для більшості сучасних браузерів.
«Вибираючи SSL -сертифікати, білоруські банки в першу чергу орієнтуються на ступінь захищеності, а не на вартість, оскільки це питання безпеки і іміджу банку. Однак технології удосконалюються, зростають загрози атак, тому ми рекомендуємо своєчасно оновлювати сертифікати, а потім обов'язково звертатися до фахівців за додатковою налаштуванням SSL », - зазначив виконавчий директор компанії ActiveCloud Артем Коханевич.
Перевірити свій сайт за допомогою SSL Server Test можна тут за декілька хвилин.