FAQ
Личный кабинет
RU
BY
EN

Исследование ActiveCloud: как защищены веб-сайты белорусских банков?

Компания ActiveCloud, занимающая в Беларуси лидирующие позиции на рынке облачных решений и виртуального хостинга, сравнила сайты 27 белорусских банков и определила из них наиболее защищенные для интернет-пользователей.

Предметом исследования стало наличие у сайта банка актуальных цифровых сертификатов SSL, защищающих соединение между браузером пользователя и сервером сайта. Для корректной работы каждого сертификата используются специальные протоколы, один из которых летом 2015 года был объявлен небезопасным и больше не обеспечивает должную защиту – в нем найдена критическая уязвимость.

Специалисты компании ActiveCloud решили оценить возможные риски, поскольку SSL-сертификаты необходимы для систем интернет-банкинга, где требуется обеспечивать безопасность платежных и личных данных клиента. Для оценки сайтов интернет-банкинга специалисты использовали инструмент проверки Qualys SSL Labs.

Исследование ActiveCloud: SSL у сайтов белорусских банков

По результатам тестов было выявлено, что наилучшую защиту своих интернет-банкингов обеспечивают БСБ Банк и МТБанк, получившие оценку «А» в SSL Server Test. Высокий рейтинг присвоен за использование самого безопасного на данный момент протокола TLS 1.2 и корректную защиту от распространенных уязвимостей. Такой же протокол используют еще 8 систем интернет-банкинга, однако они получили меньшую оценку.

«К сожалению, 30% проверенных нами сайтов получили общую оценку «F», поскольку имеют уязвимость POODLE. Она позволяет злоумышленникам перехватывать информацию, передаваемую между клиентом и сервером», – прокомментировал результаты продукт-менеджер компании ActiveCloud Евгений Мороз. «При этом подавляющее большинство банков используют алгоритм хеширования SHA-1, которому некоторые веб-браузеры с 2015 года присваивают сайтам статусы «небезопасно» либо «безопасно, но с ошибками». В этом случае пользователь видит вместо желаемой страницы предупреждение браузера о возможных угрозах. Мы рекомендуем таким банкам перевыпустить сертификаты, используя новый алгоритмом шифрования ключа SHA-256. Большинство вендоров делают это бесплатно в течение срока действия ранее приобретенного сертификата».

Исследование ActiveCloud: SSL у сайтов белорусских банков

Часть сайтов, получивших оценку F, также подвержены атакам DH (Diffie-Hellman), при которых злоумышленники могут читать, копировать и изменять данные, отправленные пользователем. В этой ситуации наибольшее опасение вызывают формы онлайн-заявок на кредит, с помощью которых клиенты отправляют на предварительное рассмотрение паспортные данные, информацию о доходах и месте проживания, контактные номера телефонов и так далее. Ряд банков получают данные из онлайн-форм по незащищенным каналам – со страниц своих сайтов без использования шифрования информации.

Чтобы защитить данные клиентов, четыре белорусских банка – Приорбанк, Технобанк, Альфа-Банк и Идея Банк – установили SSL-сертификаты на своих основных сайтах, а не только на страницах интернет-банкинга. При этом сайт Технобанка получил максимальную оценку в абсолютном сравнении со всеми сайтами белорусских банков и систем интернет-банкинга. «Оценка «А» получена благодаря использованию сертификата с расширенной проверкой (EV), и правильным настройкам сервера, на котором расположен сайт банка», – отметил Евгений Мороз.

Исследование ActiveCloud: SSL у сайтов белорусских банков

В ActiveCloud подсчитали, что сертификат с расширенной проверкой (EV) используют 11 банков. Получить его могут только те компании, которые успешно прошли расширенную проверку издателя сертификата. Как правило, вендор проверяет регистрационные документы клиента, наличие его в международных базах DUNS, права на использование домена и запрашивает дополнительные документы.

При использовании такого сертификата, сайт банка можно без труда отличить от сайта-двойника, созданного злоумышленниками для сбора личных данных клиентов, по зеленой адресной строке с указанием юрлица, которому выдан сертификат и символу закрытого замка.

Что касается сертификационных центров, то самыми популярными среди белорусских банков являются сертификаты от американской компании Thawte. Лишь несколько банков отдали предпочтение сертификатам от Geotrust и Comodo. Впрочем, результаты тестирования показывают, что степень защиты не зависит от выбора вендора.

Специалисты ActiveCloud проанализировали рекомендации Qualys SSL Labs по устранению выявленных проблем и подобрали наиболее актуальные для сайтов белорусских банков:

  • Устранить уязвимость POODLE поможет установка патча или отключение протоколов SSL 2 и SSL 3, вместо которых следует использовать TLS 1.2;
  • Устранить уязвимость FREAK можно деактивировав поддержку экспорта наборов шифров;
  • Отказаться от использования шифрования SHA-1 в пользу SHA-256;
  • Настроить Forward Secrecy и убедиться, что функция работает для большинства современных браузеров.

«Выбирая SSL-сертификаты, белорусские банки в первую очередь ориентируются на степень защищенности, а не на стоимость, поскольку это вопрос безопасности и имиджа банка. Однако технологии совершенствуются, растут угрозы атак, поэтому мы рекомендуем своевременно обновлять сертификаты, а затем обязательно обращаться к специалистам за дополнительной настройкой SSL», – отметил исполнительный директор компании ActiveCloud Артем Коханевич.

Проверить свой сайт при помощи SSL Server Test можно здесь за несколько минут.


Способы оплаты (счет-фактура за 1 минуту)
Ваше сообщение успешно отправлено!
Выполнено

Спасибо, ваше сообщение принято.

Мы используем файлы cookie.

Для реализации основных функций сайта, а также для сбора данных о том, как посетители взаимодействуют с сайтом, мы используем cookies-файлы. Информация, содержащаяся в таких файлах, может касаться вас, ваших предпочтений или вашего устройства. Такая информация не идентифицирует вас прямо, однако может дать вам более персонализированный опыт работы в Интернете. Вы можете запретить использование некоторых типов файлов cookies.
Подробнее

Принять Настроить cookie
Ваши параметры конфиденциальности

На сайте activecloud.by мы используем различного рода cookie, включая технические cookie, которые нужны для корректной работы сайта. Вы можете изменить настройки файлов cookie в любое время. Обратите внимание, что блокировка некоторых типов файлов cookie может повлиять на вашу работу с сайтом activecloud.by.

Маркетинг Определяют предпочтения пользователей. Позволяют хранить историю посещений страниц сайта в целях повышения качества его функционирования, чтобы определить наиболее и наименее популярные страницы, помогают улучшить сайт для вас.
Поддержка Позволяют хранить историю переписки при общении в онлайн-чатах.
Технические Необходимы для нормальной работы сайта и не могут быть отключены. В данных файлах куки личная информация не хранится.

Мы свяжемся с вами в ближайшее время.

Или Вы можете самостоятельно обратиться
в отдел продаж:

+375 17 30822 77 или sales@activecloud.by .