39705
П'ять небезпек інтернет-банкінгу
Більше 75% банківських інтернет-сайтів мають як мінімум один прорахунок у дизайні, через який клієнти банку піддаються небезпеці крадіжки ідентифікаційних даних і кровно зароблених грошей.
До такого висновку прийшла група дослідників з Мічиганського університету (США) на чолі із професором Атулом Пракашем. Він і його аспіранти Лаура Фалк і Кевін Бордерс протягом 2006 року вивчили 214 веб-сайтів різних кредитно-фінансових установ.
Результати роботи будуть представлені на симпозіумі, присвяченому практичній конфіденційності та безпеці, що пройде в Університеті Карнегі Меллон 25 липня.
Згадані недоліки в дизайні сайтів не є програмними помилками, і їх не можна виправити за допомогою "латки". Їхній корінь криється в самій роботі сайту й у його плануванні. У число подібних недоліків входить розміщення полів для авторизації та контактної інформації на незахищених сторінках і нездатність утримати користувача на сайті, на який він спочатку зайшов. За словами професора Пракаша, незважаючи на те, що з момент збору даних минуло багато часу і деякі банки вже почала низку кроків для виправлення сформованої ситуації, більшості ще тільки доведеться це зробити.
"На наше здивування, недоліки дизайну, що ставлять під загрозу безпеку даних, були настільки широко поширені, що їх можна було зустріти навіть на сайтах дуже великих банків, - розповідає Пракаш. - Ми сконцентрували увагу на тих випадках, коли користувачі намагалися проявляти обережність, але структура сайту банку зробила практично неможливим прийняття правильного, з погляду безпеки, рішення під час проведення банківських операцій онлайн".
Недоліки привели до того, що в системі безпеки утворилися "діри", якими можуть скористатися хакери для того, щоб заволодіти приватною інформацією клієнтів й одержати доступ до їхніх рахунків.
Сайт Мічиганського університету перераховує п'ять основних помилок дизайну банківських сайтів, на які, за версією професора Пракаша, потрібно звернути особливу увагу.
1. Розміщення полів для авторизації на незахищених сторінках.
Подібна помилка трапилася в 47% банківських сайтів, вивчених американськими фахівцями. Використовуючи її, хакер може перенаправляти дані, що вводяться, або створити підроблену копію банківського сайту для збору інформації про клієнтів банку. Крім того, у хакера з'являється можливість проводити атаки типу "зловмисник у середині" (man-in-the-middle), коли для користувача адреса банку, що відображається в програмі перегляду, не змінюється. У результаті навіть найпильніші користувачі можуть стати жертвами злочинця. Вирішення проблеми криється у використанні протоколу SSL на тих сторінках, які запитують введення конфіденційної інформації. Користувач може довідатися захищену протоколом сторінку за адресою, що починається з букв https, а не зі звичайних http.
2. Розміщення контактної інформації банківських служб на незахищених сторінках.
Цей недолік зустрічався в 55% всіх випадків. Зловмисник має можливість змінити адресу або телефонний номер call-центру для того, щоб організувати збір приватної інформації в клієнтів банку, яким потрібна допомога. Банки проявляють недостатньо уваги до інформації, що є загальнодоступною і яку можна одержати в інших місцях. У той же час клієнти банку впевнені, що інформація, розташована на інтернет-сторінці банку, є правильною. Саме тому професор Пракаш рекомендує й у цьому випадку для захисту інформації використовувати протокол SSL.
3. Пролом у ланцюжку "довірених" партнерів.
У випадку, коли банк без попередження перенаправляє користувача на інтернет-сторінки, розташовані поза доменом, що належить банку, він тим самим демонструє свою нездатність зберегти в користувача відчуття безпеки виконання операцій. Близько 30% банківських сайтів мають подібний недолік, говорить професор Пракаш. Користувачі, бачачи, що вони опинилися на зовсім іншому сайті, що має адресу, відмінну від адреси сайту банку, змушені лише будувати здогади про те, чи можна йому довіряти. Найчастіше така ситуація виникає, якщо банк передає частину своїх операцій стороннім організаціям. У такому випадку варто інформувати користувача про те, що для продовження тієї або іншої операції вони будуть перенаправлені на сайт іншої організації.
4. Дозвіл використовувати ім'я користувача та пароль, що не відповідають вимогам безпеки.
Деякі американські банки дозволяють використовувати в якості логіна для входження в банківську систему номер картки соціального страхування або адресу електронної пошти. Безсумнівно, користувачам їх легко запам'ятати, але зловмисники так само легко можуть їх вичислити або довідатися де-небудь ще. Іншою досить поширеною помилкою є відсутність політики, що стосується створення паролів або допущення використання слабких паролів. Цим грішать 28% банківських сайтів, вивчених професором Пракашем і його колегами.
5. Розсилання по електронній пошті конфіденційної інформації в незахищеному вигляді.
Інформація, передана по електронній пошті, у більшості випадків не захищена. Проте, 31% банківських сайтів пропонує, якщо буде потреба, вислати по електронній пошті пароль або виписку з рахунку.
Що стосується виписки, користувача найчастіше не сповіщали, чи буде це безпосередньо виписка, посилання на неї чи просте повідомлення, що виписка готова. У всіх випадках, крім повідомлення, використання електронної пошти здається американським експертам поганою ідеєю.
За матеріалами:
Поділитися новиною
