Как банки «защищают» доступ к нашим деньгам
Предположим, вы захотели войти в личный кабинет на сайте своего банка – проверить остатки по счетам, а вам подсовывают адрес типа moybank.faktura.ru и говорят, что это и есть настоящий сайт банка.
Предположим, вы все еще хотите войти, но сертификат безопасности на этом сайте недействительный.
Предположим, вы все равно хотите войти, но соединение с сайтом не защищено от перехвата от слова совсем.
Предположим, у вас напрочь отсутствует инстинкт самосохранения, и вы все равно хотите войти, хотя открывающаяся страница загружает код рекламной сети и прочую дрянь.
Поздравляю, ваши деньги все равно в безопасности (нет), ведь вы действительно зашли на настоящий сайт своего банка!
Все это примеры из доклада «Информационная безопасность сайтов систем дистанционного банковского обслуживания», согласно которому крупнейшие российские банки – в глубокой жопе по уровню защиты своего интернет-банкинга.
Из вкусного:
- сайт «Сбербанка» - 12 место с конца рейтига, соединение с сайтом слабо защищено, имеются существенные ошибки в защите (нет денег на нормального админа, бедный банк);
- сайт ВТБ – допускает загрузку стороннего кода с десятков левых сайтов, включая Яндекс.Такси и ФНС (использовали шаблон от другого сайта, с кем не бывает);
- сайт Тинькофф-банка – худшая защита от XSS, 1 место с конца.
На первом месте по защищенности HTTPS-соединения (по другим критериям у него жопа): некий «Вайлдберриз-банк», о котором мало кто слышал.
Проверьте, что пишут о вашем банке, каких успехов он достиг на почве защиты ваших денег.
