Сайт Конверсбанка подвергся атаке

    В сети появилась информация о том, что старым доменом Конверсбанка http://conversbank.com завладели злоумышленники и разместили там информацию о якобы неплатежеспособности банка.



    «С 9 апреля мы запустили обновленную версию сайта. Старый домен остался без нашей поддержки, и на него сразу была произведена хакерская атака, в результате которой появилась информация, не соответствующая действительности. Единственным официальным сайтом банка является www.konversbank.ua», — сообщает Леся Алексеенко, специалист службы корпоративной идентификации и коммуникации Конверсбанка. В связи с распространенной информацией банк подал заявление в правоохранительные органы.


    Несмотря на то, что www.konversbank.ua является теперь официальным сайтом Конверсбанка, на нем, по-прежнему, есть ссылки на старый домен, вчастности, обратная связь на странице www.konversbank.ua/contacts/callback.htm ведет на атакованный домен conversbank.com.
    Помимо большого количества ошибок на сайте, на нем также присутствует простейшая XSS уязвимость:

    http://www.konversbank.ua/search.htm?search="><img+src%3D«http%3A%2F%2Fbud-muzhikom.ru%2Fsites%2Fdefault%2Ffiles%2Fimagecache%2F600x600%2Fbleyat.jpg»><%2Fimg><script



    Поэтому я бы, пока, предостерег клиентов банка пользоваться этим сайтом для онлайн банкинга, консультаций и обратной связи
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 69

      +13
      Мне одному логотип показался знакомым или это так задумано?



        +8
        Это банки одной группы. Инвест для России, Конверс для Укранины.
          0
          Хабраэфект накрыл хостинг банка?
          Грузится кое как.
          img
          +4
          И в кэше не они предупреждение помещали, да?
          webcache.googleusercontent.com/search?sourceid=navclient&ie=UTF-8&oe=UTF-8&q=cache:http%3A%2F%2Fconversbank.com%2F
            0
            Фу ты, несколько секунд думал, что значит «разместить предупреждение в кеше». Ну явно ж что не они.

            А еще я не понял, зачем они опровержение картинкой поставили себе на сайт… Еще и так своеобразно, с выпадающей второй частью.
          • UFO just landed and posted this here
              +3
              Если вы под админом понимаете «сисадмина», то скажите как админ поможет сайту с его дырками если он не является его разработчиком? :)
              • UFO just landed and posted this here
                  +2
                  А почему тогда не уборщица Мария Ивановна?
                  Вы не путайте профессии, как некоторые работодатели. Вэб-программист и сисадмин это разные профессии. Даже вэбкодеры могут делиться на всякие асп, питон, пхп etc.
                  Как человек не разбирающийся в устройстве и работе сайта, может его поддерживать и «ремонтировать»?
                    +1
                    как черный ящик. ids например поставить и контролировать попытки инъекции, или мониторить размер главной страницы сайта и контролировать несанкционированное изменение. Ну и бывают проблемы не только в скриптах сайта.
                      0
                      В данном случае сисадмин выступает в роли вспомогательного инструмента всё таки. Или дополнительного. Но никак не единственного.
                      Просто, ну нашёл что есть какая-то там xss уязвимость. Сисадмин должен в сорцы лезть и её закрывать?
                        0
                        а вы считаете что этот дефейс сделали через xss?
                          0
                          в данном конкретном случае, я думаю, админ должен был контролироать дату освобождения домена.
                            0
                            Он наверное проконтролировал, и даже, возможно, получил счет, который отдал своему начальству…
                            А потом к счету потребовали свежий договор, который чем-то не устроил местных юристов, потом выписку из ЕГРЮЛ ( вернее его украинского аналога ), потом визирование в отделе экономической безопасности и.т.д. А поезд в это время ушел.

                            Я знаю несколько случаев, когда админ или начальник отдела в последний момент платили свои деньги и вместо спасибо получали по шапке, т.к. этот платеж надо было все равно проводить.
                    • UFO just landed and posted this here
                        +2
                        Не нервничайте.
                        Администратор сайта это кто? Первый раз просто слышу. Да есть всякие подобии контент менеджеров с правами, которых то администраторами то модераторами называют. Но не более.

                        Про ваш перечень обязанностей да, верно, это можно на сисадмина по вешать. Но не более. Появилась вирусня в файлах движка — перезалил из бэкапа.
                        Прошёл дефейс через файлы — залил из бэкапа.
                        Упала база данных в ошибки, поднял из бэкапа? А данные устарели! Нужно восстановить повреждённую.
                        Нашлась критическая ошибка в работе служб сайта, залил из бэкапа?
                        Необходимо изменить функционал сайта, ибо выяснилось что при добавлении 1001 транзакции, её не видно. Или в минус уходит баланс. Залил из бэкапа?
                        С ростом посещаемости, начал сайт тормозить, тупить. Залил из бэкапа?
                        Найдена критическая уязвимость в обработке массивов пхп/питоне/асп/… Залил из бэкапа?

                        Я говорю что не сисадминское дело поддерживать серьёзный сайт. А отдельный человек и именно программист, широкого профиля. Который и интерпретатор на сервере поднять может, и кэш поднят, да подружить с цмс. И в любой момент пофиксить возникшую ошибку в коде.
                        В вашем же варианте, этим занимается полусисадмин отдельно нанятый для сайта. Или штатный сисадмин. При этом при возникновении серьёзных проблем, обращается к левому кодеру/компании. А это время и деньги и тот самый «хороший имидж банка».

                        :-)
                          0
                          А у левого кодера задача «по бырому слепить» и денег получить. Главное, чтобы на экране красиво было, т.к. кодера в лучшем случае контролирует начальник IT отдела, а в большинстве случаев просто местный маркетолог, ответственный за сайт.
                    0
                    да хотябы элементарно можно установить mod_secure, phpids (если это уг написано на PHP). Админ может помочь, хотябы элементарными действиями. А там уже как пойдет.
                  0
                  Телефоны директоров вывесели? По-моему ломали явно не любители. Забавно, чо.
                    +8
                    Похоже больше на инсайдерский взлом.
                    • UFO just landed and posted this here
                        +34
                        Ну да. Глагол такой.
                          +1
                          O-o, как я мог не заметить, что это глагол.
                          Вы «сделали мой день» :)
                            –1
                            Междометие, не?
                              0
                              А-а-а, я понял! Это шутка юмора такая!
                          +6
                          Покупка непродлённого домена это взлом?
                            +4
                            Для кого-то да. Тех кто не разбирается в теме. Даже на хабре таких хватает.
                            Так же как и ддос приписывают к хакерским атакам:
                            4 марта сайт ЦИК РФ подвергался 1,3 тыс. хакерских атак каждую секунду
                              +13
                              Ивлев заявил, что «специалисты определили, что речь идет об электромагнитном воздействии на сайт». Однако зампредседатель ЦИК РФ уверял, что «безопасность будет обеспечена».
                                0
                                Когда первый раз прочитал про электромагнитное воздействие на сайт (где-то месяц назад) — меня аж передернуло, бесят такие новости (высказывания)… Это все равно что, механическое воздействие на стихотворение. Им бы еще порвать мысль и заткнуть свою ерунду в прямую…
                              0
                              Вдогонку. Помните тему с ex.ua? Файловым хостингом. Что его закрывали на Украине.
                              А потом несколько ребят случайно нашли открытый ФТП в интернет, с папкой Install на сервере МВД Украины. Так тоже в новостях писали некоторые "Хакеры взломали сайт МВД и выложили все данные оттуда в Интернете(ФОТО)".
                              Проблема что не всегда люди пишущие, понимают то о чём пишут. Ну или стараются «приукрасить», чтобы поддать жару новости и быстрее выдвинуть её в топ.
                              0
                              Просто не успели продлить домен. Потом резко метнулись на другой. Смотрите в гугле и в кэше.
                                +2
                                … Даёшь ПриветБанк? :)
                                  0
                                  Украинская идеология ведения бизнеса во всей красе =/
                                    +7
                                    Как-то глупо было отказываться от старого домена com. Или для банка 400р в год неподъемная ноша?
                                      –1
                                      Дело, скорее, в законах.
                                        +2
                                        Простите, в каких? Не знаю ни одного закона в Украинском законодательстве, который бы запрещал регистрировать домены в международных зонах.
                                          0
                                          Наверное, я с Беларусью перепутал. Где-то в бывших республиках заставляли регистрировать сайты организаций в национальной зоне.
                                            0
                                            У вас паранойя, во всяком случае по отношению к Беларуси :)

                                            У нас запрещают пользоватся забугорным хостингом если ты предоставляешь услуги в Беларуси, и обязуют подробно регистрировать каждый сайт который обслуживает хостинг провайдер, но никак не запрещают регать домены :D
                                      +1
                                      Про банки. Про все банки можно слагать песни. Как-то на сайте одного банка, где у меня счет, я нашел js-вирусню. Написал им почту — нет реакции. Позвонил по телефону, навел шороху, связали с IT-департаментом, выслушали, сказали не поблагодарив, что разберутся. Часа через два убрали вредоностный js-код с главной, но — святая простота! — про все внутренние страницы забыли. Позвонил еще раз, ткнул пальцем, предложил свои услуги по поддержке/разработке сайта — но они ж гордые… Если у банка кончился SSL-сертификат, то он будет просрочен минимум месяц, пока кто-нибудь заметит. Сейчас над одним банком провожу эксперимент — не сообщаю, а жду когда заметят сами. Еще в одном банке делал/поддерживаю сайт, потому что для их IT это мучительный и тяжелый процесс. Работать приходится через самописный файловый менеджер, потому что FTP «это не секурно». Аппеляции и демонстрация, что я работая из под того же пользователя через php могу сделать что угодно — ничего не дают…
                                        +8
                                        А это все просто потому, что в банк «на престижную работу и хорошую зарплату» берут не специалистов, а «детей знакомых», которые худо-бедно закончили какой-нить КЭМ в местном политехе, но зато «свои»
                                          +2
                                          Про «хорошую зарплату» вы загнули немножечко. Так как правило, если нормально не относятся к вэбу, то это пущено на самотёк, в плоть до студентов на пол ставки берут, за беляш и коллу.
                                            +1
                                            Вы не правы. Должности специалистов не относятся к престижным, а хорошая зарплата в банках только у руководства. Меня тоже звали в банк (не очень большой правда — представительства кроме Москвы только в трех регионах) руководителем IT-департамента, но я не пошел. На фига? Меньше 150 тыс. на такой должности получать не интересно, а там предлагали что-то в районе 60 тыс. (бонусов на таких должностях обычно нет, т.к. финансовые показатели банка от функционирования этих департаментов не зависят), если я правильно помню. В любом случае явно не те суммы, чтобы тратить свою жизнь на сидение в офисе…

                                            ps: Да, небольшая ремарка: речь идет о коммерческих банках, в Сбере немного иначе. :-)
                                          0
                                          Напоминает ситуацию с ПроминвестБанком в Украине в девятом, по-моему, году.

                                          Тогда в интернете и «из уст в уста» начала распространятся подобная информация, в результате чего вкладчики в панике начали забирать деньги со счетов, в итоге «выдоив» все активы банка менее, чем за месяц, позволяя… «заинтересованному лицу из России», скажем так, купить этот «тонущий корабль»
                                            +1
                                            А на твиттере ещё смешнее
                                            @Conversbank: Адрес нашего сайта изменился: www.conversbank.info
                                              0
                                              Яркий пример несогласованности действий и беспорядка внутри банка. На сайте пишут о том, что официальный домен это www.conversbank.kiev.ua

                                              Пруф: www.konversbank.ua/news/news-detail-387.htm
                                                0
                                                Видать они уже запутались в доменах. Старый продлить забыли, зато новых пачками на делали.
                                                  0
                                                  С твиттера они удалили запись про домен в зоне ИНФО. =)
                                                  0
                                                  Немного оффтопика.
                                                  Народ местный, а какая на Украине инфляция? Зашел на сайт этого банка, увидел депозиты в гривных под 22.25% годовых. При этом, насколько я знаю, курс к рублю достаточно стабилен и болтается в районе 4р за гривну. В России депозит более 10% сильно поискать надо.

                                                  Напрашиваются определенные финансовые махинации :)
                                                    0
                                                    Госкомстат и правительство ежемесячно рапортуют, что удалось удержать месячную инфляцию на уровне около 1%, но в конце года по зомбоящику еще более победно обьявляют, что годовая инфляция рекордно низкая именно в этом году — 6%
                                                      0
                                                      Инфляция около 10%
                                                      Депозиты по 16-22% — сплошь и рядом.
                                                        0
                                                        Хм. Тогда стоит подумать о хранении денег в украинских банках в гривнах. В России реальная инфляция также около 10%, а депозиты выше 10% сильно поискать еще надо. Считать надо потери на конвертацию.

                                                        Спасибо ответившим
                                                          0
                                                          Только депозит на полгода оформляйте!
                                                          Все ожидают обвала курса гривни процентов на 25-30 в конце года, до парламентских выборов удержат, а там — хз.
                                                            +1
                                                            Привозите-привозите свои денежки, потом вместе посмеёмся, когда вы их снять со счёта попытаетесь — квест будет по-круче вашего, с регистрацией :)
                                                              0
                                                              :)
                                                              Поподробней можно? Или линк, где почитать.
                                                                0
                                                                Да ерунда. Это уже неактуально. А вот инфляция после парламентских выборов — реальная угроза. Обождите до конца года и в 2013 уже спокойно вкладывайтесь. Просто надо контролировать, чтобы банк состоял в фонде гарантирования вкладов www.fg.org.ua/ua/Uchsniki.html Наличие бакнка в этом списке даёт уверенность, что даже в случае банкротства, этот фонд вернёт 150'000 грн (порядка 600'000 рублей). Вся сумма выше этого выдаётся в том случае, если что-то останется.
                                                        0
                                                        they made it just for lulz!
                                                          +1
                                                          Классическая ситуация, когда сайт заказывали и принимали маркетологи, далекие от интернета. Причем, зачастую, чтобы не связываться с собственной СБ, заказывают хостинг на внешней площадке.

                                                          Более — менее работающая схема по безопасности банковского, да и вообще любого серьезного сайта, это в случае, когда все решения по движку и размещению сайта решают IT-шники, находящиеся под контролем IT-шника с структуре службы безопасности. Вот тогда возникает реальный конфликт интересов, не позволяющий маркетологам принимать в работу дырявые сайты.
                                                            +1
                                                            Мда, та ещё веселуха…

                                                            Единственным официальным сайтом банка является www.konversbank.ua, — сообщает Леся Алексеенко, специалист службы корпоративной идентификации и коммуникации Конверсбанка. В связи с распространенной информацией банк подал заявление в правоохранительные органы.

                                                            VS

                                                            src
                                                              0
                                                              Ох уж эти «господа»…
                                                                0
                                                                Это банк Антонова?
                                                                  0
                                                                  >> сообщает Леся Алексеенко, специалист службы корпоративной идентификации

                                                                  есть и такая?
                                                                    +3
                                                                    Конечно! Раньше эта должность «вахтер» называлась и сидел такой специалист на входе, идентифицируя входящих. Кого под документам, а кого и в лицо помнил. Начальству кланялся, новеньких пресовал — «не пущу! не велено! Пашпорт покажь! Пропуск где?!». Теперь это «специалист по коропоративной идентификации». Не иначе.
                                                                      +1
                                                                      Спасибо. Это многое объясняет
                                                                        0
                                                                        Точно, это те тётки с функцией «Слышь, ты кто? К кому? Чё?».
                                                                      0
                                                                      В шапке сайта www.konversbank.ua красуется.
                                                                      image
                                                                        0
                                                                        Как можно пользоваться услугами такого банка?
                                                                          0
                                                                          Хабраэффект видимо завалил этот сайт… Много раз пытался открыть www.konversbank.ua — бесполезно…
                                                                            0
                                                                            У меня с дома не пускает или грузится часть страницы, на работе нормально.

                                                                          Only users with full accounts can post comments. Log in, please.