Поделиться
Атакованы российские авиа- и транспортные компании и онлайн-магазины. Число кибератак выросло на 40%
В России с начала 2025 г. увеличилось количество кибератак на популярные веб-приложения через вредоносные скрипты. Злоумышленники эксплуатируют уязвимости ИТ-проектов для получения доступа к пользовательским данным, что может привести к масштабным утечкам.
Рост кибератак
С начала 2025 г. количество кибератак на российские компании с использованием вредоносного кода выросло, пишет «Коммерсант». Хакеры используют уязвимости сайтов для доступа к пользовательским данным, что может привести к их утечкам.
Согласно данным «Вебмониторэкс», в I квартале 2025 г. зафиксировано 270 млн ИТ-атак на веб-приложения крупных компаний. Из них 40% составили атаки с помощью вредоносного кода (XSS), что на 10% пунктов больше, чем в 2023 г.
Кибератаки с использованием межсайтового скриптинга (Cross-Site Scripting или же XSS) представляют собой внедрение вредоносного кода на доверенные веб-сайты. В процессе ИТ-атаки происходит внедрение вредоносных скриптов в контент ИТ-проекта. Затем эти скрипты включаются в динамический контент, отображаемый в браузере жертвы. Браузер жертвы не знает, что вредоносные скрипты не являются доверенными, и выполняет их. В результате вредоносные скрипты могут получить доступ к файлам cookie (это текстовые файлы, содержащие небольшие фрагменты данных, например имя пользователя и пароль, которые браузер использует для идентификации устройства, которые в ИТ-среде их иногда называют куки-файлами), идентификаторам сеансов, и прочим конфиденциальным данным пользователя-жертвы. Хакеры также могут использовать XSS-атаки для распространения вредоносных программ, перезаписи содержимого ИТ-проектов, создания проблем в социальных сетях и фишинга с целью получения учетных данных пользователей.
В исследовании от «Вебмониторэкс» проанализирована информация о более чем 160 организаций из государственного российского сектора, ИТ, ритейла, финансов, сферы здравоохранения, промышленности и телекоммуникаций.
Жертвы и цели
XSS-атаки чаще всего направлен на сайты интернет-магазинов, авиа- и транспортных компаний, так как на их ресурсах значительно выше вероятность осуществления кражи данных пользователей, особенно банковских карт, объясняет «Коммерсант» заместитель директора ЦК НТИ «Технологии хранения и анализа больших данных» на базе Московского государственного университета имени М.В. Ломоносова (МГУ) Тимофей Воронин. «Это связано с человеческим фактором при разработке, сложности защиты от подобных атак и их эволюции за счет применения ИИ»,— отмечает эксперт.
Кроме кражи пользовательских данных, XSS-атаки могут использоваться для криптоджекинга т.е. несанкционированного майнинга криптовалюты на ресурсах пользователя-жертвы, компрометации сайта и размещения чужого контента, отмечает руководитель направления по информационной безопасности (ИБ) «Телеком биржи» Александр Блезнеков. Как писал ранее CNews, еще одной проблемой для владельцев ресурсов является риск потери данных: по 152-ФЗ ответственность за утечку персональных данных лежит на операторе. За первую утечку, согласно новым правилам, вступающим в силу с конца мая, компании грозит штраф до 15 млн руб. в зависимости от количества записей в утечке, при повторной утечке вводятся оборотные штрафы — до 3%, но не более 500 млн руб.
Вместе с тем современные фреймворки для разработки веб-приложений реализованы так, чтобы снизить вероятность появления подобных уязвимостей, считает руководитель Центра компетенций по анализу защищенности «Лаборатории Касперского» Вячеслав Васин. Разработчики браузеров внедряют защитные механизмы, усложняющие XSS-атаки . Однако пользовательские ошибки, такие как игнорирование предупреждений или использование устаревшего софта, продолжают сохранять риски в кибербезопасности ИТ-проектов.
Спрос на аудит защиты данных
Крупные оборотные штрафы за утечки персональных данных, которые начнут действовать с 30 мая 2025 г., повысили спрос бизнеса на аудит своих ИТ-систем информационной защиты, об этом информировал CNews. Операторы персональных данных рассчитывают, что проведение мероприятий и соблюдение требований регуляторов позволят им смягчить возможные штрафы в случае утечки. Однако специалисты по кибербезопасности предупреждают о рисках, связанных с попытками бизнеса переложить ответственность за сохранность данных на аудиторов или экспертов по информационной безопасности.
По данным юридической компании ЭБР, спрос на аудит ИТ-систем хранения и защиты данных вырос более чем в два раза в 2025 г. по сравнению с весной 2024 г. Советник практики интеллектуальной собственности компании Артем Евсеев отмечает, что если раньше аудит могли делать для галочки, то сейчас цена вопроса стала слишком высокой для подобного формализма. «Его проведение необходимо, чтобы заранее выявить риски и минимизировать их до привлечения к ответственности. Это актуально и на фоне снятия моратория на внеплановые проверки Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)»,— добавляет он.
Короткая ссылка
