Вечерняя смена Личные кабинеты и веб-приложения оказались плохо защищены
Веб-приложения, то есть личные кабинеты пользователей на сайтах и интернет-банки, остаются слабым местом в Рунете, выяснили в Positive Technologies. Ситуация улучшается, но, по данным компании, злоумышленники все равно могут атаковать пользователей в среднем в девяти из десяти веб-приложений, а хуже всего защищены сайты госучреждений и компаний из сферы телекоммуникаций.
Веб-приложения – это то, что у нас в смартфонах по большей части сегодня стоит? Об этом идёт в первую очередь речь? Или же о компьютерных программах?
Александр Вураско: Не совсем. В широком смысле веб-приложение – это те же личные кабинеты на сайтах различных организаций, с которыми мы имеем дело.
Это онлайн-банкинг?
Александр Вураско: В том числе.
И это мобильные операторы, где мы производим оплату Интернета или телефонной связи?
Александр Вураско: Да, они тоже могут попадать в эту категорию.
А что ещё попадает?
Александр Вураско: Это всевозможные личные кабинеты в разных сервисах, начиная от интернет-магазинов и закачивая различными порталами, предоставляющими различные виды услуг.
Согласно опубликованной сегодня статье в "Коммерсанте" хуже всего защищены сайты госучреждений. 68 процентов из них обладают низким уровнем защиты. У остальных она ниже среднего. С чем это связано? И насколько мы в этом смысле защищены? Потому что на сайтах госучреждений у многих из нас есть личные кабинеты.
Александр Вураско: Cуществуют два основных вектора угроз. Первый вектор связан с уязвимостью подобных сайтов и веб-приложений. Второй серьёзный вектор угроз связан в принципе с достаточно низкой компьютерной грамотностью пользователей. Этим активно пользуются злоумышленники. Они создают, например, клоны сайтов, сайты, имитирующие сайты различных государственных организаций, и используют их, например, для получения сведений о банковских картах, для получения паролей доступа в личные кабинеты и т.д. Оба этих вектора важны и серьёзно влияют на ситуацию с безопасностью в целом.
Есть всевозможные сайты крупных магазинов как иностранные, например, китайские, так и отечественные. На этих площадках продают всё: начиная от чайников и заканчивая одеждой. И там тоже есть личные кабинеты и к ним тоже привязаны банковские карты их владельцев для простоты оплаты. Вот оттуда какая-то опасность может прилететь?
Александр Вураско: Конечно, может. Во-первых, очень распространённая ситуация, когда люди используют один и тот же пароль для доступа к личным кабинетам различных интернет-магазинов, для доступа к государственным порталам, к электронной почте и соцсетям. Таким образом, если этот пароль будет скомпрометирован хотя бы на одном сайте, злоумышленники автоматически получат возможность доступа и к другим ресурсам. Поэтому, если есть возможность настроить двухфакторную аутентификацию, то есть, когда авторизуетесь на сайте не только через пароль, но и дополнительно через код, который приходит в СМС на телефон, это уже повышает защищённость. Следующий этап – использовать достаточно сложные, нестандартные пароли и не использовать один пароль на многих ресурсах. Это очень важно.
Но это же будет взрыв головного мозга. Если разобраться, то сейчас где только человек ни зарегистрирован. И где хранить сложные пароли со звёздочками, решётками и прочими знаками?
Александр Вураско: Существует специальная программа "Менеджер паролей". Я сам пользуюсь подобной программой. Вы запоминаете один пароль для доступа к базе данных, а оттуда уже копируете и вставляете необходимые вам пароли для конкретных ресурсов и сервисов.
Эта программа есть только для десктопов?
Александр Вураско: Нет, я использую и мобильную версию подобной программы с единой базой данных. Пользоваться ею предельно просто.
Программу ведут Ольга Максимова и Дмитрий Чернов.
Вечерняя смена. Все выпуски
- Все аудио
- "День кинопремьер"
- "Переспите с этим"