Порядка 27 российских банков имеют опасную уязвимость на сайте, которая позволяет мошенникам перенаправить пользователей на фишинговый ресурс, выяснили в StopPhish. Уязвимость касается сайтов, работающих на системе управления от «1С-Битрикс». В разработчике утверждают, что редирект появляется в настройках, только если сотрудники банка отключат защиту по умолчанию. В банках обещают внедрить собственные системы управления сайтами с повышенным уровнем защиты.

“Ъ” ознакомился с исследованием компании StopPhish, которая проанализировала 358 сайтов российских банков, приведенных на сайте ЦБ, на наличие уязвимостей. Оказалось, что 27 кредитных организаций из списка имеют открытые редиректы.

Речь идет об уязвимости, которая путем манипуляции параметров в адресе сайта может перенаправить пользователя на сторонний ресурс. Это могут использовать мошенники, говорит сооснователь проекта StopPhish Юрий Другач. «Например, сотруднику или клиенту банка приходит письмо со ссылкой, в которой он видит знакомый адрес сайта банка: «bank.ru/redirect.php?goto=https://…». Редирект ведет на мошеннический ресурс, уточняет эксперт, после перехода на который конфиденциальная информация пользователя может быть скомпрометирована.

Вероятность клика по такой ссылке доходит до 80%, говорит Юрий Другач. Сама уязвимость, по его словам, существует более десяти лет, но будет ли она реализована, зависит от настроек конкретной системы управления сайтом.

Собеседник “Ъ” в одном из крупных банков рассказал, что большинство участников рынка узнали о проблеме год назад: она касалась тех, у кого сайт работал на системе управления (CMS) «1С-Битрикс». Таких банков было большинство, но после выявления проблемы многие редирект отключили, добавил собеседник “Ъ”. В банке «Русский стандарт» подтверждают, что отключили редирект. В МКБ говорят, что используют собственную систему управления контентом с соответствующей защитой, поэтому для банка уязвимость неактуальная.

Сейчас 140 сайтов банков списка ЦБ работают на CMS «1С-Битрикс», уточнил Юрий Другач. Но стандартная поставка «1С-Битрикс» по умолчанию содержит функцию защиты, которая ограждает от целого класса атак, в том числе от редиректов, утверждает сооснователь «1С-Битрикс» Сергей Рыжиков. «Чтобы мошенники могли воспользоваться уязвимостью, необходимо, чтобы кто-то из сотрудников банка зашел в настройки и отключил эту защиту»,— поясняет господин Рыжиков. При этом банки, по его словам, могут устранить проблему «в считаные минуты», просто включив проактивную защиту.

Открытый редирект опасен, так как фишинг с его использованием является успешным в подавляющем числе случаев, считает директор по развитию бизнеса центра противодействия кибератакам Solar JSOC Алексей Павлов: 

Рядовые пользователи проверяют адрес в лучшем случае при клике по ссылке, но не после этого».

Было много случаев с использованием этой уязвимости — от атак на государственные сайты до проблем у WhatsApp, подтверждает руководитель отдела технического аудита Group-IB Вячеслав Васин.

Это неприятная, но не самая тяжелая уязвимость, считает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Выявить ее легко с помощью базового автоматизированного сканирования, соглашается Алексей Павлов. Существуют и более простые методы, поэтому возможности открытых редиректов используются редко — только в целевых атаках, добавляет директор блока экспертных сервисов Bi.Zone Евгений Волошин.

Упомянутым 27 банкам с уязвимостью стоит чаще прибегать к аудиту информбезопасности при внедрении систем, рекомендует эксперт направления «Информационная безопасность» IT-компании «Крок» Александр Черныхов. Поиск подобного рода уязвимостей проводится в рамках пентеста — тестирования на проникновение, которое банки должны проводить ежегодно, отмечает эксперт компьютерно-технического направления RTM-Group Федор Музалевский. Банки, выполняющие требования регулятора, по его словам, такие уязвимости находят и устраняют.