23.04.2021 Коммерсантъ: Совет директоров
С банковских сайтов открылся путь к мошенникам
Порядка 27 российских банков имеют опасную уязвимость на сайте, которая позволяет мошенникам перенаправить пользователей на фишинговый ресурс, выяснили в StopPhish. Уязвимость касается сайтов, работающих на системе управления от «1С-Битрикс». В разработчике утверждают, что редирект появляется в настройках, только если сотрудники банка отключат защиту по умолчанию. В банках обещают внедрить собственные системы управления сайтами с повышенным уровнем защиты.

“Ъ” ознакомился с исследованием компании StopPhish, которая проанализировала 358 сайтов российских банков, приведенных на сайте ЦБ, на наличие уязвимостей. Оказалось, что 27 кредитных организаций из списка имеют открытые редиректы.

Речь идет об уязвимости, которая путем манипуляции параметров в адресе сайта может перенаправить пользователя на сторонний ресурс. Это могут использовать мошенники, говорит сооснователь проекта StopPhish Юрий Другач. «Например, сотруднику или клиенту банка приходит письмо со ссылкой, в которой он видит знакомый адрес сайта банка: «bank.ru/redirect.php?goto=https://…». Редирект ведет на мошеннический ресурс, уточняет эксперт, после перехода на который конфиденциальная информация пользователя может быть скомпрометирована.

Вероятность клика по такой ссылке доходит до 80%, говорит Юрий Другач. Сама уязвимость, по его словам, существует более десяти лет, но будет ли она реализована, зависит от настроек конкретной системы управления сайтом.

Собеседник “Ъ” в одном из крупных банков рассказал, что большинство участников рынка узнали о проблеме год назад: она касалась тех, у кого сайт работал на системе управления (CMS) «1С-Битрикс». Таких банков было большинство, но после выявления проблемы многие редирект отключили, добавил собеседник “Ъ”. В банке «Русский стандарт» подтверждают, что отключили редирект. В МКБ говорят, что используют собственную систему управления контентом с соответствующей защитой, поэтому для банка уязвимость неактуальная.

Сейчас 140 сайтов банков списка ЦБ работают на CMS «1С-Битрикс», уточнил Юрий Другач. Но стандартная поставка «1С-Битрикс» по умолчанию содержит функцию защиты, которая ограждает от целого класса атак, в том числе от редиректов, утверждает сооснователь «1С-Битрикс» Сергей Рыжиков.

«Чтобы мошенники могли воспользоваться уязвимостью, необходимо, чтобы кто-то из сотрудников банка зашел в настройки и отключил эту защиту»,— поясняет господин Рыжиков. При этом банки, по его словам, могут устранить проблему «в считаные минуты», просто включив проактивную защиту.

Открытый редирект опасен, так как фишинг с его использованием является успешным в подавляющем числе случаев, считает директор по развитию бизнеса центра противодействия кибератакам Solar JSOC Алексей Павлов: «Рядовые пользователи проверяют адрес в лучшем случае при клике по ссылке, но не после этого». Было много случаев с использованием этой уязвимости — от атак на государственные сайты до проблем у WhatsApp, подтверждает руководитель отдела технического аудита Group-IB Вячеслав Васин.

Это неприятная, но не самая тяжелая уязвимость, считает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Выявить ее легко с помощью базового автоматизированного сканирования, соглашается Алексей Павлов. Существуют и более простые методы, поэтому возможности открытых редиректов используются редко — только в целевых атаках, добавляет директор блока экспертных сервисов Bi.Zone Евгений Волошин.

Упомянутым 27 банкам с уязвимостью стоит чаще прибегать к аудиту информбезопасности при внедрении систем, рекомендует эксперт направления «Информационная безопасность» IT-компании «Крок» Александр Черныхов. Поиск подобного рода уязвимостей проводится в рамках пентеста — тестирования на проникновение, которое банки должны проводить ежегодно, отмечает эксперт компьютерно-технического направления RTM-Group Федор Музалевский. Банки, выполняющие требования регулятора, по его словам, такие уязвимости находят и устраняют.
https://www.kommersant.ru/doc/4793816

10.04.2021 ЦБ: Концепция цифрового рубля
Концепция разработана с учетом обратной связи от респондентов и участников рынка по итогам обсуждения консультативного доклада «Цифровой рубль». Документ включает описание преимуществ цифрового рубля, целевую модель, подходы в части денежно-кредитной политики при введении цифрового рубля, а также ключевые этапы реализации проекта.

В виде целевой модели выбрана двухуровневая розничная модель, которая предусматривает, что Банк России является эмитентом цифровых рублей и оператором платформы цифрового рубля. При этом финансовые организации открывают клиентам кошельки в цифровых рублях и проводят по ним операции на платформе цифрового рубля.

Цифровые рубли доступны гражданам и бизнесу через любой банк, где они обслуживаются.

Выбранная модель даст возможность использовать преимущества сложившейся двухуровневой финансовой системы и обеспечить взаимодействие клиента с платформой цифрового рубля через мобильные приложения финансовых организаций.

Исследования и опыт пилотирования других регуляторов в области национальных цифровых валют свидетельствуют о том, что двухуровневая розничная модель является наиболее предпочтительной как с точки зрения развития инноваций, так и с точки зрения обеспечения стабильности на финансовом рынке.

Внедрение цифрового рубля будет способствовать снижению издержек для граждан и бизнеса, повышению скорости проведения платежей и появлению инновационных продуктов и сервисов в финансовой сфере и в экономике в целом.

https://www.cbr.ru

08.04.2021 ИФНС РФ: Налоги на реконструкции
Федеральная налоговая служба (ФНС) возрождает практику налоговой реконструкции, которой бизнес лишился четыре года назад. Согласно письму службы, при доначислении налогов по спорным операциям инспекторам на местах следует учитывать расходы налогоплательщика — но только если он сможет доказать реальность операций по сделке и раскроет ее действительных исполнителей. Эксперты приветствуют возвращение практики, которая может уберечь бизнес от необоснованного начисления миллиардов рублей налогов, но замечают, что предоставлять требуемые налоговиками доказательства способны скорее не обманутые контрагентами налогоплательщики, а организаторы «схем».

07.04.2021 ЦБ РФ: Ускоренный рост цен на жилье может нивелировать положительный эффект от снижения ставок
Во второй половине 2020 года в большинстве регионов России продолжилось повышение темпов роста цен на жилье, что негативно сказывалось на его доступности. Об этом говорится в четвертом выпуске аналитической записки «Жилищное строительство».

30.03.2021 Банк России: рекомендовал кредиторам продлить реструктуризацию кредитов и займов для граждан и субъектов МСП до 1 июля 2021 года
Критериями для принятия решения о реструктуризации кредитов или займов граждан являются заболевание заемщика (или члена его семьи) COVID-19 или снижение его дохода до уровня, не позволяющего обслуживать задолженность, разъяснил Банк России в информационном письме, направленном всем кредиторам.