Россияне всё чаще страдают от действий кибермошенников. Низкий уровень цифровой грамотности приводит к тому, что наивные пользователи многократно попадают на одну и ту же удочку, отдавая злоумышленникам заработанные деньги или предоставляя им доступ к банковскому счёту. Последней линией обороны становятся финансовые структуры, противостоящие киберпреступникам на совершенно другом уровне. Но, как гласит крылатая латинская фраза, Quis custodiet ipsos custodes («Кто сторожит сторожей»)?
Финансовые организации нередко становятся целями хакеров. И этому есть две причины — деньги и информация о клиентах. Директор по информационным технологиям Росгосстрах Банка Игорь Мушаков считает, что высокая степень автоматизации структур напрямую влияет на количество брешей в защите.
Финансовые структуры, по сути, весь свой бизнес-процесс строят на информационных технологиях. Именно здесь степень автоматизации наиболее высока, и, как следствие, больше всего уязвимостей с точки зрения информационной безопасности. Целями атакующих чаще всего становятся деньги клиентов, либо возможности получения доступа к информации о них, в отличие, кстати, от розницы, где хакеров может интересовать информация о закупках или ценах поставщиков.
Следите за развитием событий в нашем Телеграм-канале
Финансовые структуры оказываются лакомым куском для хакеров в том числе и потому, что они — агрегаторы денежных потоков в экономике. По словам управляющего директора Абсолют Банка Олега Кусерова, сейчас деньги не те, что были 20 лет назад: их уже невозможно отделить от технологий, используемых в быту.
А хакеров, как и любых мошенников, интересует легкий способ получения прибыли. Они ищут возможность встроиться в наши повседневные технологические процессы, и пока технологии это будут позволять, и такая деятельность будет рентабельна — будут желающие этим воспользоваться. Хакерство — это отнюдь не развлечение или «жизненная философия», а прежде всего бизнес, который также просчитает эффективность и издержки.
Прибыльное нелегальное предприятие не обошлось без «русского следа». По данным Group-IB, специализирующейся на предотвращении кибератак, долгое время русскоговорящая преступность создавала почти 80% сложных технологических схем в мире. Причём всё новое вредоносное программное обеспечение, шаблоны и сценарии целенаправленных атак тестировались именно на российских банках. Сегодня финансовому сектору угрожают пять групп: Lazarus (Северная Корея), SilentCards (новички из Кении) и русскоязычная тройка — Cobalt, Silence и MoneyTaker.
Однако в самой России ситуация с атаками на финансовые организации заметно улучшилась — потери от них снизились за 2019 год почти в 14 раз (до 93 млн руб.) по сравнению с 2018-ым. Тренд кардинально изменился, и теперь вышеупомянутое хакерское трио фокусируется в основном на иностранных банках и структурах.
В середине января NEWS.ru писал, что группировка Silence совершила ряд целевых атак на крупные банки нескольких стран Тропической Африки в начале 2020 года. При этом ранее злоумышленники концентрировались на организациях Восточной Европы, Азиатско-Тихоокеанского региона и Латинской Америки. Это демонстрирует опасную перспективу, которая заключается в том, что географические аппетиты хакеров растут. Под прицел могут попасть всё больше стран, которые окажутся неготовы к надвигающейся угрозе.
Человек — ахиллесова пята кибербезопасности
Одно дело — получить доступ к устройству обычного пользователя, другое — проникнуть в систему крупного банка. Это сложный, поэтапный процесс, требующий от хакера тщательного планирования как методов и инструментов атаки, так и оценки собственных затрат. Кусеров объясняет, что взлом криптостойкого алгоритма или попытка найти уязвимость в хорошо защищенном периметре станет сложной, неразумной и малорентабельной задачей, ведь злоумышленнику гораздо проще заполучить авторизационные данные конечного клиента.
Зачастую киберпреступники, по словам Мушакова, используют типовые известные уязвимости в работе операционных систем или сетевого оборудования, а также уязвимости прикладных интерфейсов пользовательских систем, которые «выставлены» в открытую сеть.
Другой вариант — это скимминг, когда через звонки или сообщения по почте у клиентов просто получают данные банковских карт или средств дистанционного банковского обслуживания. Специально проработанные схемы, так называемые APT (Advanced Persistent Threats) используются редко, из-за их сложности или дороговизны, — объяснил директор по информационным технологиям Росгосстрах Банка.
При этом, несмотря на постоянные достижения учёных и инженеров в области искусственного интеллекта, полностью поручить ему обеспечение кибербезопасности пока не представляется возможным. А значит, злоумышленники всегда могут воспользоваться зарекомендовавшей себя «отмычкой» — человеком. Поэтому во многих кибератаках первый этап направлен именно на сотрудников организаций. Мушаков подчёркивает, что большинство проблем с мошенничеством происходит из-за человеческого фактора.
Так, очень часто сотрудники организаций сами (по незнанию или по злому умыслу) открывают возможности для третьих лиц к использованию определённых уязвимостей систем, о которых известно только внутренним работникам.
Очень популярны варианты внесения чужеродного ПО, закладок через различные файлы, отправляемые через электронную почту, которые при запуске получают доступ к ресурсам организации и закрепляются сначала на рабочих станциях, а потом уже на уровне систем управления и администрирования доступа в сети, предоставляя потом «туннели» для дальнейших проникновений и передачи управления извне, — перечислил Мушаков.
Фишинговые рассылки также остаются популярным инструментом для получения важной информации. Очень часто именно они становятся первым активным этапом атаки. Рассылки активно используют как кибершпионы — прогосударственные хакерские группы (APT), так и киберкриминал для краж денег у банков, криптобирж или их клиентов, объясняет Group-IB. По прогнозам компании, киберзлоумышленники могут переключиться с фишинга на более перспективные, но в то же время более сложные направления. Например, уязвимое сетевое оборудование, с помощью которого эта сеть подключена к Интернет.
Приоритетными целями атакующих могут стать производители материнских плат и поставщики оборудования в государственные органы, — считает Group-IB.
Защищаться или нападать?
Но как же финансовые организации всё же защищаются от хакерских атак? В Росгосстрах Банке в первую очередь следят за обновлением сетевого и системного программного обеспечения и построения такой архитектуры сети и ПО, которые позволяют размещать внутренние сетевые сегменты наиболее ценных систем за сетками сетевых фильтров. Специалисты также применяют:
- специальные программы фильтрации почты;
- песочницы, открывающие и анализирующие на вирусы входящие файлы в специальном защищенном окружении до того, как письмо попадет адресату;
- системы контроля версионности;
- специальные организационно-технологические меры, позволяющие мониторить изменения в параметрах наиболее важных сегментов сетей;
- построение операционных центров безопасности;
- обучение и осведомленность пользователей и клиентов о том, как себя вести в конкретных случаях.
Кусеров из Абсолют Банка рассматривает безопасность, как процесс, а системы — как средства автоматизации этого процесса.
Существует огромное разнообразие систем в части управления доступом, мониторинга событий, антивирусы, системы контроля утечки данных, сканеры уязвимостей и т.д. Системы используют заложенные в их функционал алгоритмы, в том числе системы с компонентами машинного обучения или искусственного интеллекта. Эффективность таких систем оценивается глубиной корреляции событий, возможностью получения сигнатурных обновлений и возможностью интегрироваться с другими системами в процессе безопасности, — объяснил Кусеров.
В Group-IB выбрали агрессивную стратегию — специалисты в буквальном смысле открыли охоту на киберпреступников, осознав, что прежде чем бороться с врагом, нужно его изучить. У них есть система киберразведки Group-IB Threat Intelligence, которая позволяет быстро анализировать сетевой трафик, детектировать заражение, понимать природу угрозы и прогнозировать её развитие. Сотрудники компании следили за хакерскими группами, отдельными персоналиями, мошенниками, инфраструктурой и инструментами, которые применяли те и другие. За мониторинг Интернета, включая Даркнет, отвечают «тысячи сканеров», которые работают на основе специальных алгоритмов.
Основная магистральная тенденция в сфере предотвращения атак была сформулирована нами как «Hunt or be hunted» — охоться или охотиться будут за тобой. Её идея в том, что продукты и технологии, используемые для обеспечения кибербезопасности, должны помогать в охоте за киберпреступностью, а не в пассивной защите от нее, — рассказали в компании.
Как обезопасить себя
При наличии сложных систем кибербезопасности в банках некоторые физические и юридические лица не доверяют способам обеспечения безопасности личных данных и средств. В такие моменты они должны понимать, что являются прямыми участниками процесса обеспечения безопасности любой кредитной организации, так как сейчас атаки совершают, в основном, не на банки, а на технологии взаимодействия банка с клиентом, считает Кусеров.
Эксперты из опрошенных нами банков, в целом, придерживаются одних и тех же советов, главный из которых — клиент не должен никому раскрывать личные данные, включающие пароли, коды, одноразовые SMS-пароли и код CVV на обратной стороне карты. При этом пользователи не должны полностью перекладывать ответственность на финансовые организации — переход на сомнительные ресурсы в Сети вкупе с отсутствием антивирусных программ и актуальных обновлений может обернуться заражением устройства и дальнейшей потерей контроля над собственными денежными средствами.
Group-IB также рекомендует юзерам со всей ответственностью подходить к публикации персональной информации в Интернете: не сообщать, клиентом какого банка вы являетесь и какими банковскими услугами пользуетесь, а также не выкладывать фотографии и сканы документов и банковских карт в соцсетях. При смене номера телефона абонентам лучше сообщить об этом в банк, чтобы данные не оказались у нового владельца сим-карты (такой риск имеется).
Сама «симка» может стать ключом к интернет-банкингу, поэтому, чтобы мошенники не могли её перевыпустить и перепривязать к ней онлайн-банк, следует написать заявление у сотового оператора, ограничивающее её смену без участия абонента. А вот интернет-шопоголикам лучше завести отдельную кредитку, чтобы снизить ущерб от потенциального попадания в фишинговую ловушку.
В подготовке материала также участвовал Михаил Измайлов.