Системы интернет-банкинга, которыми украинцы уже привыкли пользоваться для платежей в Сети (их совершают с карточных счетов на сайтах финучреждений), протестировали на уязвимость. Причина — хакерские атаки, которые участились на наши банки этой весной.

Исследователи проекта Roomian.org проверили надежность шифрования протоколов данных — тех данных, которые люди передают банкам. И сформировали рейтинг, в котором присвоили 19 исследуемым банкам оценки от A — «отлично» до F — «неудовлетворительно» (см. ниже). Проверка банкингов на безопасность проводилась при помощи инструмента под названием Qualys SSL Labs SSL Test: он сертифицирован PCI DSS в качестве общедоступного сканера для поиска уязвимостей, может подсказать, действительно ли протокол шифрования данных является безопасным.

«Рейтинг отображает степень уязвимости процесса шифрования данных между пользователем и сервером банка и говорит о том, что злоумышленники потенциально могут получить доступ к этим данным, если сайт интернет-банка недостаточно защищен», — уточняют исследователи Roomian.org.

Атакуют чаще

Финансисты не скрывают — хакеры действительно стали чаще на них нападать. «Количество атак, проведенных в 2014 году (по сравнению с аналогичным периодом 2013 г.) выросло на 2/3. Но хочу отметить, что и банки усилили и значительно повысили уровень защищенности своих систем за этот период», — отметил в разговоре с «Вестями» начальник Центра информационной безопасности Фидобанка Олег Ковальчук.

Активизацию хакеров объясняют интересом людей к платежам в интернете. «Массовый рост популярности услуг онлайн-банкинга повлекло значительное увеличение атак на такие услуги или их пользователей. Два самых распространенных риска — это недоступность системы для пользователей в результате нападения, когда речь идет о DDOS-атаке, а также кража средств со счета клиента в результате мошеннической операции. Нередко это происходит одновременно», — сказал «Вестям» заместитель директора департамента информационной безопасности Райффайзен Банка Аваль Александр Тимошик.

Один из последних скандалов был связан с проколом в безопасности, который спровоцировал криптографический пакет OpenSSL вместе с расширением TLS heartbeat. «Он затронул очень многие компании, в том числе и банки. Уязвимость не гарантировала мошенникам конкретных результатов, поскольку давала доступ к случайным данным, ценность которых не всегда была большой, но несла для многих риски», — признал в беседе с «Вестями» заместитель начальника управления информационных технологий банка «Национальный кредит» Евгений Звиряка.

К тому же финансисты не перестают напоминать, что участившие случаи взломов связаны, в том числе и с беспечностью самих пользователей. «Причины проблем с интенет-банкингами зачастую находятся на стороне клиента. Именно компьютер пользователя с установленным ПО клиент-банк взламывается злоумышленниками путем заражения троянскими программами, что позволяет далее от имени клиента создавать внешне полностью легальные для банка, но мошеннические по сути платежи», — подчеркнул начальник управления информационной безопасности ОТП Банка Дмитрий Янишевский.

Как борются

Финансисты отдают себе отчет, что пока будут существовать системы интернет-банкингов, хакеров не будет оставлять желание их сломать. Так что новые криптографические пакеты, штурмующие системы безопасности банков, будут появляться беспрестанно. Причем, активно совершенствуясь от года к году. Все, что остается банкирам — постоянно совершенствовать свои банкинги и проверять их безопасность.

«В идеале банки должны на регулярной основе проводить тестирование на проникновение своих систем (penetration test а также соблюдение правил PCI DSS). Данное тестирование должно проводится с привлечением ведущих мировых компаний в сфере IT и IT-безопасности», — сказал «Вестям» руководитель отдела противодействия кибер-угрозам ПУМБа Александр Третьяк. После таких проверок, банки должны вносить коррективы в свои программные комплексы.

Еще один способ контролировать уязвимость интернет-банкингов к атакам извне — это организовывать собственные проверки. Не дожидаясь неожиданных нападений. «Например, у нас действует специальная программа, в рамках которой мы приглашаем хакеров со всего мира находить у нас уязвимости и получать за это деньги. За последний год мы выплатили около полумиллиона гривень таких премий. Но в 2014 году уязвимостей было обнаружено меньше, чем в прошлом», — заверил «Вести» зампредправления Приватбанка Дмитрий Дубилет.

Что делать людям

Ключевой совет украинцам от банкиров не изменился: не хотите, чтобы сломали ваш счет — пользуйтесь сложными паролями и храните их подальше от чужих глаз, а также следите за тем, чтобы на вашем компьютере не было вирусов.

Несложные меры специалисты предлагают и тем, кто хочет проверить, насколько интернет-банкинг их финучреждений уязвим к атакам хакеров. «Нужно обращать внимание на адресную строку браузера. Соединение должно быть реализовано по защищенному протоколу HTTPS, с действительным сертификатом, выданным компанией с «именем». Лидером по доле рынка среди них является Symantec (VeriSign's SSL, Thawte, Geotrust). Также сертификаты могут выдаваться Comodo Group, Go Daddy и GlobalSign. Проверить это можно кликнув мышью на выделенную зеленым цветом надпись https в адресной строке браузера. Нужно опасаться сайтов, которые в адресной строке помечаются красным», — резюмировал Евгений Звиряка.