В тройку лидеров рейтинга вошли сайты Kaspi Bank, Altyn Bank и Bank RBK.
Центр анализа и расследования кибер-атак провёл исследование и составил рейтинг веб-безопасности официальных сайтов банков Казахстана.
В ЦАРКА пришли к выводу, что многие банки пренебрегают даже самыми распространёнными и простыми советами по повышению безопасности своих веб-ресурсов. Достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют на некоторых сайтах, что позволяет злоумышленникам рассчитывать на успешную реализацию атак на эти финансовые организации.
Рейтинг сайтов банков сформировался следующим образом:
- Kaspi Bank
-
Altyn Bank
-
Bank RBK
-
Citi Bank
-
Capital Bank Kazakhstan
-
Tengri Bank
-
Банк Китая в Казахстане
-
Национальный банк Пакистана
-
Народный банк Казахстана
-
Альфа банк
-
Исламский банк Al Hilal
-
First Heartland Jusan Bank
-
ForteBank
-
Шинхан банк Казахстан
-
Сбербанк
-
АТФ банк
-
Евразийский банк
-
ЖССБ Казахстана
-
Хоум Кредит
-
НурБанк
-
ВТБ
-
Банк Центркредит
-
КЗИ банк
-
Банк Kassa Nova
-
AsiaCredit Bank
-
Заман банк
При составлении рейтинга учитывались 10 критериев:
Software compositions – обновление программного обеспечения. Риск: если не обновлена система управления контентом CMS или её компоненты, то, с высокой вероятностью, существуют вредоносные программы, которые позволяют эксплуатировать уязвимости старых версий. Из 26 доменов этот пункт успешно прошли только 3 (Народный банк, Национальный банк Пакистана и КЗИ банк).
Website perfomance – оценка скорости загрузки сайта. Риск: низкая производительность позволит злоумышленникам перегружать веб-ресурс, делая его недоступным для пользователей.
- Высокая скорость загрузки у 46% доменов;
-
у 46% – средняя;
-
у 8% – низкая (Евразийский банк, Банк ЦентрКредит).
IP/Domain reputation – репутация ресурса, отсутствие в чёрном списке антивирусных программ. Риск: если сайт занесён в чёрный список одной из баз репутации, он может быть заблокирован для посещения браузерами и даже может исчезнуть из результатов поисковых систем.
- 96% сайтов считаются "чистыми";
-
у 4% (домен Банка Kassa Nova) был выявлен Forcepoint ThreatSeeker. Это может означать, что он попал в чёрный список системы как потенциально вредоносный.
HTTP Security Headers and Content Security Policy Scoring – безопасность заголовков и политика защиты контента. Риск: недостаток в безопасности заголовков может привести к атакам, нацеленным на посетителей, таким как изменение контента сайта на вредоносный.
- У 23% доменов наблюдается высокая оценка;
-
58% – средняя;
-
у 19% – низкая (Сiti Bank, Capital Bank Kazakhstan, ЖССБ Казахстана, Банк Китая в Казахстане, ВТБ).
Traffic encryption – проверка криптографических протоколов (SSL/TLS). Риск – перехват данных, наличие посредника, который имеет возможность перехватить и модифицировать данные, пересылаемые между двумя абонентами системы связи. Злоумышленник пропускает через себя веб-трафик пользователя банка и получает отправляемые личные данные жертвы. Проблемы с SSL/TLS выявлены у:
- Национального банка Пакистана
-
Банка Kassa Nova
-
AsiaCredit Bank
-
КЗИ банка
-
Заман банка
-
Шинхан банка Казахстана.
Information leak – утечка информации. Риск: сотрудники банков могут использовать корпоративные e-mail-адреса для регистрации на различных сервисах, в результате взлома данных сервисов адреса электронной почты, пароли и иная персональная информация утекают в сеть. Злоумышленники могут воспользоваться чувствительной информацией для атаки на информсистемы банка, так как в 90% случаев пароли учётных записей пользователей на различных сервисах совпадают.
Утечка информации выявлена у следующих банков:
- Сбербанк
-
Банк ЦентрКредит
-
Народный банк Казахстана
-
АТФ банк
-
КЗИ банк
-
Банк Kassa Nova
-
Евразийский банк
-
AsiaCredit Bank
-
ЖССБ Казахстана
-
Заман банк
-
Хоум Кредит
-
НурБанк
-
ВТБ
Всего найдено 386 утечек.
Network Security – cетевая безопасность. Был проведен анализ портов, которые не используются напрямую самим веб-сервером. Просто наличие открытых портов не является уязвимостью, однако, с точки зрения лучших практик безопасности, веб-сервер не должен иметь открытых портов кроме тех, которые подразумевают работу с веб-сервисами.
Банки с открытыми портами:
- Альфа банк
-
Сбербанк
-
AsiaCredit Bank
-
Заман банк
-
Хоум Кредит
-
Банк Китая в Казахстане
-
ForteBank
-
First Heartland Jusan Bank
Email security – защита почты. Риск: более 90% почтового трафика содержит спам, фишинг, вредоносные программы и другие электронные угрозы. Проверка показала, правильно ли настроен почтовый сервер веб-ресурса для предотвращения этих распространённых угроз.
В "красной" зоне по этому пункту оказались сайты 11 банков:
- Исламский банк Al Hilal
-
Банк ЦентрКредит
-
ВТБ
-
Сбербанк
-
First Heartland Jusan Bank
-
AsiaCredit Bank
-
Заман банк
-
ForteBank
-
НурБанк
-
Хоум Кредит
-
КЗИ банк
Current state – проверка на предмет взлома ресурса по внешним признакам. Риск: сетевой крипто-майнинг позволяет браузеру жертвы автоматически майнить криптовалюту во время посещения. Все сайты банков успешно прошли проверку.
GDPR compliance – соответствие общему регламенту защиты персональных данных. Веб-сайты обязаны предоставлять пользователям информацию о том, как обрабатываются их персональные данные, файлы cookie и как выполняется передача пользовательских данных. Файлы cookie могут хранить множество данных достаточных для идентификации пользователя без его ведома и согласия. У всех сайтов банков выявлены проблемы GDPR.