Новая сторона банков
Как подсчитала ведущая международная компания по предотвращению и расследованию киберпреступлений — Group-IB, за год зафиксировано 35%-е снижение объема киберхищений средств у банков, но злоумышленники повышают эффективность своих атак, и они становятся все более совершенными. Если год назад большинство атак приходилось на этап передачи сведений от банка регулятору, то теперь у хакеров все чаще появляется доступ к счетам через взлом банковской инфраструктуры и переписку между его менеджерами.
Как показали итоги прошлого года, основное направление хищений в банках - атаки через подмену данных АРМ КБР (автоматизированное рабочее место клиента Банка России). Поступившие в банк от клиентов платежи собирают в реестры в автоматизированной банковской системе, далее их передают в АРМ КБР, где их шифруют и отправляют в ЦБ. Когда данные АБС передавали в АРМ КБР, происходила подмена мошенниками реестров на фиктивные, которые подом зашифровывались и отправлялись на карточные счета в другие банки для последующего обналичивания. По словам руководителя отдела расследований и сервиса киберразведки компании Group-IB Дмитрия Волкова, этот способ используется для единовременного вывода крупных денежных сумм, но из-за длительного процесса их прохождения до банкоматов, все похищенное можно было задержать.
Центробанком были приняты меры по борьбе с проблемой и, как результат, в 2017 году киберворы предприняли всего лишь одну успешную атаку, похитив около 24 млн руб.
Тренд последнего года - хищения, в ходе которых злоумышленники сперва пользуются уязвимостями в ПО банка преимущественно в Microsoft Office), а также легальной программой Cobalt Strike, которая помогает внедриться в инфраструктуру банка, а затем контролировать карточный процессинг, чтобы похитить деньги. Но вывести средства можно и иначе. Характерный пример такой атаки связан с нападением на банк «Союз» минувшим летом. Хакеры получили доступ к процессингу, произвели «замену» дебетовых карт на безлимитные кредитные и сняли деньги в банкоматах сторонних банков. Оказавшись в системе, хакеры разослали фишинговые письма, одно из которых было открыто операционистом банка. Добычей киберворов стало 400 млн руб.
По словам руководителя экспертного центра безопасности Positive Technologies (PT ESC) Алексея Новикова, как показывает практика, в России далеко не все банки сообщают об инцидентах, тогда как на Западе такая информация разглашается публично. Ведь наличие недоработок в системе информзащиты может вызвать претензии со стороны надзорного органа, а обращение к правоохранительным органам не всегда дают результат, нужный банкам. Поэтому дать объективную оценку реальному объему хищений сложно.
Другой тренд нового времени, как сказал Волков, представлен атаками, цель которых - саботировать работу банков. И они, как правило, не сводятся к хищению средств. Цель такого вида внедрения в банковскую инфраструктуру - остановить работу его систем, при этом преступники часто дополнительно распространяют негативные сведения, например, о том, что у банка скоро отзовут лицензию. Эти нападки часто носят политический оттенок и порой осуществляют их из других стран. Они могут отразиться на национальной экономике или дистабилизировать финансовую систему страны и курсы валют. При этом, по словам экспертов, они куда более опасны, чем обычные хищения, они способны нанести существенный вред репутации банков, в т.ч. и крупных игроков и довести до краха средние и небольшие банки. Ярким примером тому стали шифровальщики WannaCry и Petya.
