Не зря ЦБ России с недавнего времени обязал банки подробно отчитываться о том, как работают их веб-сайты. Проведенное исследование показало, что около 90% таких сайтов содержат дыры и уязвимы для фишинга.
Специалисты британской консалтинговой фирмой Next Generation Security (NGS – http://www.ngss
ftware.com/) считают, что компании сами виноваты в расцвете кибер-мошенничества. Они значительно облегчают жизнь кибер-мошенникам, потому что абсолютное большинство коммерческих сайтов имеют дыры в безопасности.
В общей сложности около 90% финансовых и коммерческих сайтов, проверенных специалистами NGS за последние 12 месяцев, изначально содержат тривиальные программное или логические ошибки, которые можно легко использовать при фишинговой атаке. В частности, примерно 30% сайтов не защищают в достаточной степени базу данных с приватной информацией о пользователях, так что злоумышленникам не составляет никакого труда организовать массированную почтовую рассылку по всей клиентской базе. Такие “дыры” в корпоративных сайтах очень часто образуются из-за неправильной конфигурации серверов или из-за использования устаревших версий ПО.
В рамках исследования, проведенного фирмой NGS, было исследовано большое количество сайтов финансовых и коммерческих компаний, и оказалось, что почти на каждом из них работают приложения, подверженные той или иной известной уязвимости. Подробный отчет под названием “Руководство по фишингу. Понимание и предотвращение фишинговых атак” (“The Phishing Guide. Understanding & Preventing Phishing Attacks”) специалисты компании NGS выложили (http://www.ngssoftware.com/papers/NISR-WP-Phishing.pdf) в интернете (файл PDF, 2,5 МБ).
В профессиональном “Руководстве” компаниям даются практические советы, как не стать жертвами фишинга. Здесь описываются типичные методы, которые используются злоумышленниками, а также типичные дыры в системах безопасности. Приводятся рекомендации, как улучшить безопасность всей системы на стороне клиента, на серверной стороне, а также на уровне всего предприятия. Документ, составлен независимыми экспертами, и в нем не содержится рекламы конкретных программных продуктов. Советы по безопасности носят академический, системный характер, но при этом предельно конкретны.
Специалисты NGS подчеркивают, что большинство “дыр” в безопасности веб-сайтов можно легко устранить сразу же после их обнаружения. “Финансовые организации тратят огромные деньги на безопасность, – говорит Гунтер Оллман (Gunter Ollman), директор по профессинальным сервисам NGS. – Но, когда вы посмотрите на сайт обычного интернет-магазина, то ситуация намного хуже”.
Как сообщается в отчете, с каждым месяцем фишинговые атаки становятся все более изощренными. Одной из последних уловок, например, является размещение в баннерной сети фальшивого баннера, который завлекает на фальшивый банковский сайт, предлагающий уникальные услуги.