Четырем из семи онлайн-банкам не удалось защитить свои сайты после получения более месяца назад предупреждения от информационно-исследовательской и издательской компании heise Security о серьезных проблемах, существующих на web-страницах онлайн-банков. 20 сентября heise Security опубликовала статью, демонстрирующую, что многие онлайн-банки предпринимают недостаточно мер предосторожности для защиты своих клиентов от фишинговых атак. Некоторые банки верным образом отреагировали на эту информацию и улучшили свои сайты, но остальные, кажется, не провели никаких изменений на своих сайтах, и ответственность за предотвращение фишинговых атак все еще целиком и полностью лежит на их клиентах. Первоначальная демонстрация heise, основанная на вставке поддельной страницы в страницу онлайн-банка, практически не оставляет пользователю шанса определить подделку.
На удивление, первоначальная проверка Cahoot, Bank of Scotland и First Direct все еще срабатывает так же как и месяц назад, то есть, видимо, в этих случаях не было предпринято никаких действий для исправления недочетов. Банк National Westminster предпринял некоторые шаги. К примеру, на сайте были удалены имена фреймов. Однако, как показывают недавно проведенные тесты heise Security, сайт все еще подвержен атакам frame spoofing, так как к фрейму можно обратиться другими способами. Возможно, принятые меры были всего лишь промежуточными. The Bank of Ireland внес коррективы в сайт, он теперь включает код скрипта, отслеживающий поддельные фреймы и направляющий на страницу ошибки. Банк The Link также исправил сайт - теперь фреймы там не применяются вовсе – это, несоменно, безошибочный способ избежать атаки с использованием frame spoofing. Из шести банков, подверженных frame spoofing, только два смогли провести должные защитные мероприятия за последний месяц. Четыре же все еще остаются подверженными фишиговым атакам. Отдельный тест был сфокусирован на уязвимости cross site scripting. Два банковских сайта первоначально оказались уязвимыми: UBS и Bank of England. Bank of England уладил проблему, а UBS, хотя и предпринял кое-какие (предварительные?) меры, все еще подвержен атакам.
Источник: Bankir.Ru.
