Об этом со ссылкой на исследование компании StopPhish пишет «Коммерсантъ».
Согласно опубликованным данным, 27 из 358 российских банков имеют уязвимости, связанные с редиректом. Иными словами, ошибка представляет собой возможность манипуляции злоумышленниками параметров в адресе сайта — мошенники могут перенаправить пользователя на любой другой сайт по своему желанию.
В качестве примера специалисты приводят ситуацию, когда клиент получает письмо со ссылкой вида «<название банка>/redirect.php?goto=https://...». Пользователь видит знакомый адрес сайта и переходит по ссылке, но после слова «redirect» находится портал, необходимый хакеру или сайт с точно таким же дизайном, как у банка клиента, где требуют авторизацию. Ничего не подозревающий клиент вводит свои логин и пароль, которые попадают в руки мошенников.
По словам экспертов, об этой проблеме узнали примерно год назад. Тогда стало ясно, что она касается тех банков, которые использовали систему управления «1С-Битрикс». Оказалось, что таких организаций в списке большинство, но после выявления проблемы многие отключили функцию redirect.