новости

ЦАРКА составил рейтинг веб-ресурсов банков Казахстана по уровню безопасности

Новостная редакция

2 min read

Центр анализа и расследования кибератак оценил уровень защищенности веб-ресурсов банков второго уровня в Казахстане. И на основе данных составил рейтинг веб-безопасности, который указывает на обнаруженные уязвимости. Ни один из банков в Казахстане не продемонстрировал максимальный уровень защищенности. Но при этом они улучшили свои показатели по сравнению с прошлым годом почти на 20%.

Эксперты ЦАРКА использовали неинвазивные методы сканирования, изучая основной домен банка, его главную страницу и почтовый сервер. Само исследование проведено с помощью решения по мониторингу и защите веб-ресурсов WebTotem. А тестирование проводили через отправку «легких» HTTP и DNS-запросов и анализ ответов с сервера без какого-либо технического ущерба.

Работу по выявлению и анализу уязвимостей проводили с помощью данных независимых исследователей, среди которых наибольшей активностью отметились Григорович А., Перов В., Кульпеисов А.

Только пять банков показали максимальные результаты оценки уровня безопасности: Альфа-Банк, Citi Bank, Freedom finance Bank, First Heartland Jysan Bank, Bank RBK. Все веб-ресурсы банков оценивали по десяти критериям, среди которых репутация домена, безопасность передачи данных, настройки безопасности, шифрование и многое другое.

Перехватить логины и пароли и завладеть личными данными могут у клиентов Банк Китая в Казахстане, ВТБ, АТФ Банк, Отбасы банк, Исламский банк Al Hialal, Freedom finance Bank. Их ресурсы слабо шифруют данные при передаче между сервисами.

Риск утечки данных выявили сразу у девяти банков:

  • Kaspi Bank;
  • Евразийский банк;
  • Альфа-Банк;
  • КЗИ Банк;
  • Хоум Кредит;
  • Заман банк;
  • НурБанк;
  • Народный банк Казахстана;
  • Отбасы банк.

Вредоносным ПО могут заразить ресурс через Email security, и перед ним незащищенными остаются «Народный Банк Казахстана» и Altyn Bank.

Площадка Bugbounty.kz помогла обнаружить угрозы и оценить риски в организации. С помощью нее выявили 17 уязвимостей с различными уровнями критичности. И большая часть веб-ресурсов банков подвержены уязвимостям с высоким уровнем критичности.

Также чаще всего на ресурсах встречается такая проблема, как отсутствие security.txt, а именно контактов отдела ИБ, которые позволят пользователям на прямую обращаться в отдел ИБ банка в случае выявления нарушений в работе веб-ресурса.

ЦАРКА отмечает, что подобный анализ поможет отделам информационной безопасности банков обратить внимание на выявленные уязвимости. Ведь их потенциально могут использовать злоумышленники.

Подписывайтесь на наш Telegram-канал и читайте новости первыми!