Хакеры идут по скрипту
Количество атак на российские организации с использованием вредоносного кода растет
С начала года в России нарастает число кибератак через внедрение вредоносных скриптов в популярные веб-приложения. Используя уязвимости сайтов, злоумышленники могут получать доступ к пользовательским данным. Такие атаки могут привести к утечкам данных, за которые уже с конца мая бизнесу грозят крупные штрафы. Эксперты считают, что это «вечная» уязвимость и владельцам веб-сервисов нужно постоянно обновлять свои средства защиты.
Фото: Иван Водопьянов, Коммерсантъ
Фото: Иван Водопьянов, Коммерсантъ
“Ъ” ознакомился со статистикой веб-угроз в первом квартале 2025 года компании «Вебмониторэкс», из которой следует, что из 270 млн зафиксированных в этот период атак на веб-приложения крупных компаний 40% пришлись на межсайтовый скриптинг (XSS-атака), что на 10 п. п. больше, чем за аналогичный период прошлого года. Была проанализирована информация о более чем 160 крупных организациях из различных отраслей, включая госсектор, IT, ритейл, финансы, здравоохранение, промышленность, телеком и др.
XSS (Cross-Site Scripting) — кибератака, при которой злоумышленник внедряет вредоносный код (обычно JavaScript) на уязвимый сайт, веб-приложение или в API (Application Programming Interface, позволяет получать информацию с сайта в обход пользовательского интерфейса). Когда пользователь заходит на такой сайт, скрипт автоматически выполняется в его браузере, что может привести к краже данных, подмене страниц или другим атакам.
Тренд на увеличение межсайтового скриптинга подтверждает основатель компании «Интернет-Розыск» Игорь Бедеров: XSS-атаки остаются в числе наиболее распространенных угроз для веб-приложений. Межсетевой скриптинг чаще всего направлен на сайты интернет-магазинов, авиа- и транспортных компаний, так как на их ресурсах значительно выше вероятность осуществления кражи данных пользователей, особенно банковских карт, объясняет замдиректора ЦК НТИ «Технологии хранения и анализа больших данных» на базе МГУ Тимофей Воронин. Из последних крупных таких атак Игорь Бедеров приводит утечку данных клиентов крупной логистической компании: тогда злоумышленники с помощью вредоносных скриптов получали доступ к cookies и учетным записям.
Кроме кражи пользовательских данных, межсетевой скриптинг может использоваться для криптоджекинга (несанкционированного майнинга криптовалюты на ресурсах жертвы), компрометации сайта и размещения чужого контента, отмечает руководитель ИБ-направления «Телеком биржи» Александр Блезнеков. Еще одной проблемой для владельцев ресурсов является риск потери данных: по 152-ФЗ ответственность за утечку персональных данных лежит на операторе. За первую утечку, согласно новым правилам, вступающим в силу с конца мая, компании грозит штраф до 15 млн руб. в зависимости от количества записей в утечке, при повторной утечке вводятся оборотные штрафы — до 3% (но не более 500 млн руб.).
Большинство опрошенных “Ъ” экспертов сходятся во мнении, что XSS останется «вечной» уязвимостью. «Это связано с человеческим фактором при разработке, сложности защиты от подобных атак и их эволюции за счет применения ИИ»,— отмечает господин Бедеров. Вместе с тем современные фреймворки для разработки веб-приложений реализованы так, чтобы снизить вероятность появления подобных уязвимостей, считает руководитель Центра компетенций по анализу защищенности «Лаборатории Касперского» Вячеслав Васин, а разработчики браузеров, в свою очередь, внедряют защитные механизмы, затрудняющие эксплуатацию злоумышленниками. Но из-за ошибки пользователей уязвимости будут продолжать появляться, заключает он.