20.02.2017
Источник:
Banki.ru
Эксперты по информационной безопасности сходятся в том, что 2017 год для кредитных организаций будет не легче прошлого, однако угрозы приобретут иной характер. Попробуем разобраться, откуда банкам ждать атак и как к ним подготовиться.
Американский Центр по борьбе с хищениями персональных данных (ITRC) и компания CyberScout опубликовали доклад, согласно которому в 2016 году в США произошло рекордное число случаев массового хищения личных данных — 1 093. На 40% больше, чем в 2015 году. На банки и финансовые организации пришлось 4,8% случаев хищения, скомпрометированными оказались 72 тыс. документов. Однако эксперты отчасти связывают рост хищений персональных данных с тем, что информация о взломах сетей и кражах стала меньше скрываться местными и федеральными властями.
Но это в США. В России большинство компаний по-прежнему крайне редко афишируют инциденты, связанные с информационной безопасностью. Согласно последнему исследованию компании «СёрчИнформ», не разглашают случаи утечки данных 82% опрошенных российских организаций.
Социальная инженерия: от невинной жертвы до инсайдера
В 2017 году против банков злоумышленники все чаще будут применять приемы социальной инженерии. Эксперты фиксируют рост таргерированных атак на финансовый сектор с 2015 года. В большинстве случаев используются приемы социальной инженерии и старые уязвимости ПО. Основные «игроки», атакующие российские банки, — кибергруппы Corkow, Carbanak и Buhtrap. Все они используют схожую тактику. Атаки начинаются с фишингового письма с вредоносным документом во вложении — как правило, файлом Word с эксплойтом. Открытие файла в уязвимой системе запускает загрузку другого вредоносного ПО, что позволяет хакерам установить контроль над компьютером жертвы.
Использование «человеческого фактора» нельзя назвать принципиально новой атакой. Только ленивый не читал о фишинге, прошлогодних весенних атаках на финансовые учреждения от имени FinCERT Банка России, поддельных банковских приложениях и СМС с номера 9ОО. Тем не менее сегодня именно человек остается самым слабым звеном в системе.
У злоумышленников нет приоритетов при выборе жертвы. Атакуют и физических лиц, и юридических, и сами банки, и даже глобальные платежные системы. Разница в трудозатратах и потенциальном куше. Физлиц больше по количеству, но и «прибыль» с них редко превышает десятки тысяч рублей. Юрлица представляют уже больший интерес — обманывать их сложнее, атаки затратнее, но и в случае успеха добыча исчисляется сотнями тысяч и миллионами рублей. Наконец, банки. Атаки на них могут готовиться много месяцев и требуют немалых финансовых вливаний. Но успешная атака приносит в актив преступников десятки и сотни миллионов рублей.
Как заявлял в начале декабря 2016 года заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев, суммарные потери российских банков и их клиентов от кибератак с начала 2016-го составили 2 млрд рублей.
К концу прошлого года обозначился тренд на трансформацию приемов, применяемых социальными инженерами. Еще в июле исследователи обнаружили вредонос Delilah, главной задачей которого был сбор информации, позволяющей злоумышленникам в дальнейшем шантажировать свою жертву. Принципиальное отличие в том, что преступники вместо платы склоняли жертву к «сделке». К примеру, передать данные об учетной записи с работы, логин и пароль от корпоративного почтового ящика. Другими словами, вредоносное ПО использовалось для вербовки инсайдеров.
В августе Kaspersky Lab внесла чуть больше ясности, описав, какими способами злоумышленники вовлекают или принуждают сотрудников к сотрудничеству, на примере телекоммуникационных компаний:
Используют общественные или ранее украденные источники информации, чтобы найти компромат на сотрудников компании, которую они хотят атаковать. Затем принуждают их выдать логины и пароли к корпоративным аккаунтам, провести с них фишинговые атаки или предоставить информацию о внутренних системах.
Вербуют заинтересованных сотрудников, используя объявления, размещенные в «даркнете», или нанимают через черный рынок. Злоумышленники оплачивают услуги инсайдеров и иногда просят их найти коллег, которых можно шантажировать.
Еще одна любопытная схема появилась в декабре 2016 года. Одна из программ-криптовымогателей начала предоставлять жертвам выбор: либо заплатить за расшифровку своей зараженной машины, либо заразить (инструкции заботливо предоставлялись) два других компьютера и получить ключ расшифровки бесплатно.
Атаки с элементами социальной инженерии достаточно эффективны. А значит, злоумышленники будут прибегать к ним все чаще, говорят эксперты. Но лучшая не значит единственная. Еще одна глобальная угроза станет головной болью банков в 2017 году. И имя ей…
Смартфоны
Слова «удобно» и «безопасно» редко встречаются рядом в контексте технологий. К сожалению, смартфоны не избежали той же участи. Многофункциональные, мощные, постоянно подключенные к Интернету, хранящие огромное количество данных о своем владельце. Удобные и, увы, опасные. Со смартфона можно совершать покупки, проводить операции в мобильном банкинге. Но и подтверждающая эсэмэска с одноразовым кодом присылается на тот же смартфон. А значит, если устройство будет скомпрометировано, можно потерять все и сразу.
Пока «удобно» имеет больший вес, чем «безопасно», но некоторые компании уже оценили риски смартфонов и принимают меры для обеспечения безопасности. Так, в начале этого года Deutsche Bank запретил своим сотрудникам пользоваться мессенджерами, такими как WhatsApp, и СМС-сообщениями на корпоративных телефонах в целях повышения уровня безопасности. Это позволит компании решить сразу две задачи. Во-первых, убрать конфиденциальную информацию с потенциально уязвимых устройств. А во-вторых, усложнить жизнь инсайдерам. В отличие от электронной почты, те же сообщения WhatsApp не могут быть сохранены на сервере банка.
Этим и пользовались инсайдеры.
Применение мессенджеров в преступных целях встречалось и ранее, но не носило массовый характер. Пожалуй, самым ярким примером стали беспорядки в Лондоне в 2011 году. Тогда следователи Скотленд-Ярда заявили, что ключевую роль в быстром распространении беспорядков в столице сыграл мобильный телефон BlackBerry — организаторы акции использовали мессенджер BlackBerry для распространения зашифрованных сообщений. Лондонская молодежь для общения гораздо чаще использует мессенджер BlackBerry, чем СМС (перехватить и проанализировать которые полиция может), так как сообщения по мессенджеру зашифрованы.
Легальное ПО на службе преступников
Еще один тренд 2017 года — переход от специально созданного вредоносного программного обеспечения к легальным программам и использование их для совершения преступлений.
По данным экспертов, еще в начале 2016 года доля кибератак, осуществляемых с помощью легитимных программ и системных процессов без использования вредоносного ПО, составляла 3%. Но уже в ноябре этот показатель вырос до 15%. К концу года число таких атак достигло своего максимума, причем эксперты не исключают дальнейший рост.
Проблемой является то, что подобные программы определяются антивирусами либо как безопасные, либо как условно опасные. Это значит, что при наличии такого ПО на компьютере антивирус может не предпринимать никаких действий, так как будет думать, что все в порядке.
Верность традициям
Никуда не денутся в 2017 году и «традиционные» преступления. DDoS-атаки, установка скиммингового оборудования на банкоматы и POS-терминалы, взлом и заражение POS-терминалов, а также взлом (программный и физический) непосредственно банкоматов. Как говорится, против лома нет приема. А значит, «лом» еще долго будет фигурировать в полицейских сводках.
2017 год вряд ли станет прорывным и революционным в плане атак на банковский сектор. На данный момент, скорее, можно отметить эволюцию атак и вредоносного ПО. Зловреды перестают состоять только из «зловредных» компонентов, маскируются с помощью стеганографии (тайнопись, способ передачи или хранения информации при сохранении тайны факта такой передачи или хранения. — Прим. Банки.ру), а в качестве «точки входа» все чаще используются люди. Принципиально новые идеи (например, установление отпечатков пальцев человека по селфи) носят исследовательский характер и пока не дают настолько высокой эффективности, чтобы их применяли преступники в атаках на банки.
