Целевые атаки на банки

Фото REUTERS / Thomas Mukoya

<p>Компьютеры&nbsp;сотрудников татарстанского &laquo;Алтын банка&raquo;, казалось, сошли с ума: с экранов стала исчезать информация о транзакциях, а потом мониторы попросту погасли. 24 декабря 2015 года банк стал жертвой хакерской атаки. Накануне в сеть банка проник вирус, подменив в платежных поручениях клиентов банка получателей и их банковские реквизиты. В итоге около 60 млн рублей ушли на счета двух компаний, открытых в столичных банках, а оттуда&nbsp;&mdash;&nbsp;на счета 20 фирм в разных регионах России. После этого хакеры пытались уничтожить всю&nbsp;информацию о взломе и транзакциях.&nbsp;</p> <p>Сейчас главная мишень киберпреступников &mdash; небольшие региональные банки, замечает директор департамента сетевой безопасности Group-IB Никита Кислицин.&nbsp;Сами целевые атаки, по его словам, стали изощреннее и практически всегда происходят с использованием методов социальной инженерии: например, сотрудники одного из банков получили на рабочую почту рассылку о вакансиях в Центробанке. Многие не удержались и открыли зараженное письмо, вирус начал распространяться по внутренней сети.&nbsp;</p> <p>Социальная инженерия&nbsp;&mdash; один из самых надежных каналов для проведения целевой атаки, подверждает Юрий Сергеев, эксперт Центра информационной безопасности компании &laquo;Инфосистемы Джет&raquo;. Результаты пен-тестов (тестов на проникновение) показывают, что даже из рассылки&nbsp;на 1000 человек найдутся минимум 7% людей, которые откроют опасное вложение и дадут атакующему доступ к десяткам учетных записей, под которыми можно перейти во внутреннюю сеть. &laquo;В 90% случаев, как показывают тесты, захватить учетную запись администратора удается в первый же день&raquo;, &mdash; уверяет Сергеев.&nbsp;</p> <p>Классическая целевая атака требует огромных затрат:&nbsp;преступники собирают сведения об оргструктуре банка, вычисляют, кому отправить зараженные вирусом фишинговые письма. &laquo;Прошлый год открыл новые эффективные способы быстрой монетизации ущерба при относительно недорогих методах &laquo;работы&raquo; хакерских групп&raquo;,&nbsp;&mdash; замечает Эльман Бейбутов, руководитель направления Solar JSOC компании Solar Security, дочерней структуры &laquo;Инфосистемы Джет&raquo;.&nbsp;</p> <p>В первую очередь, хакеры заражают&nbsp;многомилионную аудиторию взломанных web-сайтов.&nbsp;Заходя на такой сайт, человек скачивает себе вредоносных агентов троянских бот-сетей. Бот-агенты без всякого сопротивления со стороны антивирусов устанавливаются на зараженном компьютере и начинают сбор информации. &laquo;Если хакерам становится понятно, что бот установлен в банковском компьютере, то атакующий захватывает управление и далее проникает в сеть до рабочего места оператора клиента Банка России (АРМ КБР)&raquo;, &mdash; говорит Бейбутов. Суть атаки на АРМ КБР в том, что осуществляется подмена файла с межбанковскими денежными транзакциями: с корреспондентского счета атакуемого банка деньги пересылают на счета в других банках, откуда выводятся.&nbsp;</p> <p>Преступных группировок, работающих по такой схеме, становится все больше. Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, то в 2015 году известно стало уже о восьми группировках, специализирующихся на компаниях конкретных отраслей. Растет и ущерб.&nbsp;</p> <p>Статистика Банка России показывает, что невнимательное отношение менеджмента кредитных организаций к вопросам информационной безопасности приводит к значимым финансовым потерям, говорит&nbsp;первый заместитель председателя Банка России Георгий Лунтовский. Такие банки сильно рискуют. &laquo;За последний квартал 2015 года лицензии лишились три кредитные организации, ранее подвергшиеся атакам&raquo;, &mdash; заметил представитель Банка России.&nbsp;</p>

Показать слайд

Кражи у клиентов банка с помощью Android-троянов

Фото REUTERS / Kim Hong-Ji

<p>&laquo;Это же очень удобно управлять своими деньгами с телефона, но Android позволяет своим пользователям и мобильным приложениям намного больше, чем другие мобильные ОС&raquo;,&nbsp;&mdash;&nbsp;замечает Андрей Брызгин, руководитель направления аудита и консалтинга Group-IB. Этим пользуются киберпреступники.&nbsp;Более 80% смартфонов в мире работает на платформе Android, неудивительно, что большинство вирусов пишутся именно под нее. &nbsp;</p> <p>&laquo;Платформа Android не является эталоном с точки зрения информационной безопасности, &mdash; замечает Даниил Чернов, руководитель направления Application Security компании Solar Security. &mdash;&nbsp;К тому же каждый производитель смартфона привносит &nbsp;свои изменения в операционную систему, и спустя какое-то время перестает выпускать обновления, которые в том числе, закрывают уязвимости. А пользователь продолжает пользоваться уязвимым устройством&raquo;.&nbsp;</p> <p>Все новые банковские трояны, написанные под Android, умеют похищать деньги автоматически. Они собирают данные банковских карт, и уже не важно, клиентом какого банка является владелец телефона. Зараженный трояном смартфон фактически шпионит за своим владельцем: передает хакерам историю звонков и смс, доступ к любым файлам на телефоне и информации в облачном хранилище, следит за геолокацией.&nbsp;</p> <p>Сама атака выглядит так:&nbsp;чаще всего, троян идет в&nbsp;&laquo;нагрузку&raquo;&nbsp;вместе с условно полезной программой, например,&nbsp;игрушкой, календарем, фитнес-приложением и т.д. &laquo;Если пользователь не глядя дает этой программе права, которые она просит, то он сам подписывает себя на потерю денег, &mdash; говорит&nbsp;Даниил Чернов из&nbsp;Solar Security.&nbsp;&mdash;&nbsp;Стоит задуматься, когда игрушка или календарь просят права, например, на чтение и отправку СМС-сообщений&raquo;.&nbsp;В последнее время также набирает популярность адресная доставка трояна. Злоумышленник обращается к пользователю, предлагая открыть что-то по ссылке, которая ведет к файлу с трояном. Например, жертва продает машину, публикует объявление. Злоумышленник высылает жертве сообщение, в котором предлагает обменять свой автомобиль на автомобиль пользователя, высылая ссылку, по которой доступна &laquo;детальная информация&raquo; о машине. &nbsp;</p> <p>После заражения деньги выводятся со счета.&nbsp;Во-первых, многие приложения мобильного банка содержат уязвимости, которые позволяют трояну получить доступ к логину, паролю, и даже данным банковской карты. Используя эти данные можно увести деньги со счета пользователя.&nbsp;Во-вторых, если у пользователя подключен СМС-банкинг, все эти операции можно провести, отправляя СМС.</p> <p>Если через СМС-банкинг невозможно отправить деньги на сторонний счет, то в этом случае настраивается автопополнение баланса счета, и отправляются смс на короткие номера, в результате чего деньги списываются со счета мобильного в пользу злоумышленника, после чего баланс пополняется. И так по кругу.&nbsp;Все операции происходят в фоновом режиме: то есть пользователь не видит входящие или исходящие СМС-уведомления о совершенных операциях. Он лишь замечает&nbsp;внезапную нехватку денег на счете, но с точки&nbsp;зрения банка это выглядит как легитимные операции, совершенные пользователем дистанционно. Обе стороны предъявляют потом друг другу взаимные претензии. Бывает, что банк компенсирует потери, но чаще всего потери несет пользователь.</p> <p>По оценкам Group-IB, ущерб от инцидентов с Android-троянами у физических лиц в прошлом году составил более 61 млн рублей, превысив ущерб от троянов для персональных компьютеров. Количество инцидентов выросло в 3 раза. &nbsp;</p> <p>&laquo;Необходим контроль в отношении разработчиков:&nbsp;так как культура написания мобильных<br /> платежных приложений пока чрезвычайно низка, особенно в России, &mdash; говорит Брызгин. &mdash; Вредит безопасности и слабый контроль приложений со стороны держателей&nbsp;платформы: даже в официальном магазине ПО мы нередко обнаруживаем фишинговые программы и программы с внедрённым вредоносным функционалом&raquo;.</p> <p>Весьма эффективны, по его словам, превентивные меры защиты, когда банки&nbsp;самостоятельно проводят или заказывают на стороне мониторинг фишинговых и&nbsp;вредоносных приложений, или внедряют антивирусные движки в сами приложения мобильного банкинга. Пользователям смартфонов с Android&nbsp;специалисты Solar Security&nbsp;советуют не совершать установку программ из непроверенных источников, поставить и регулярно обновлять антивирус, а при скачивании программ внимательно смотреть, какие права запрашивает программа.</p>

Показать слайд

Утечки, внутреннее воровство и вредительство

Фото EUTERS / Fabrizio Bensch

<p>В марте 2015 года в Казань из Москвы прилетела делегация юристов, представляющих нескольких крупных брокерских компаний. Им предстояло отстаивать интересы своих клиентов в суде против местного &laquo;Энергобанка&raquo;, подконтрольного&nbsp;брату депутата Госдумы Айрату Хайруллину. Представители банка через суд пытались доказать, что на них была совершена хакерская атака, и вернуть деньги со счетов брокеров.&nbsp;</p> <p>Случилось вот что: 27 февраля 2015 года казанский &laquo;Энергобанк&raquo; разместил на бирже пять заявок на покупку $437 млн и 2 заявки на продажу $97 млн по нерыночному курсу. Эти действия вызвали аномальную волатильность в течение 6 минут, что позволило совершить сделку на покупку долларов по курсу 59,0560 и через 51 секунду продать по курсу 62,3490&nbsp;за $1. По оценке банка, ущерб составил 244 млн рублей. Теперь банк доказывает, что деньги были потеряны из-за хакерской атаки. Впрочем, существует и версия мести уволенного сотрудника, ее придерживается, например, ЦБ. &laquo;Мы не выявили, что кто-то эти деньги получил. Это была атака, скорее всего, месть за увольнение одного из сотрудников&raquo;, &mdash; говорил первый зампред ЦБ Сергей Швецов.</p> <p>Расследование Group-IB &nbsp;показало, что во внутренней сети банка якобы был&nbsp;вирус Corkow Trojan&nbsp;Corkow (так же известный как Metel), который позволяет злоумышленникам удаленно запускать программы, управлять клавиатурой, мышкой параллельно с оператором системы. Через 14 минут после первой заявки хакер дал команду Corkow на удаление своих следов и вывода системы из строя.&nbsp;</p> <p>Вирусом Corkow&nbsp;было заражено 250 000 компьютеров и более 100 финансовых организаций по всему миру. За счет наличия доступа к популярным в России веб-сайтам ежедневно злоумышленники могли перенаправлять на свои серверы до 800 000 посетителей в сутки (это ежедневная аудитория всех сайтов, к которым&nbsp;у хакеров был доступ). Но делали они это более избирательно и не со всех сайтов одновременно.&nbsp;Установленный троян Corkow собирал данные о системе и пересылал их на свой сервер управления. После этого хакерам нужно было лишь найти среди общей&nbsp;массы ботов те, которые установлены в банках.&nbsp;&laquo;Сенсоры Bot-Trek TDS установлены в десятках финансовых учреждений и за последний год мы детектировали заражения Corkow у 80% защищаемых банков&raquo;, &mdash; говорит директор департамента сетевой безопасности Group-IB Никита Кислицин.</p> <p>В кризис банки оптимизируют численность сотрудников. Вместе с сокращениями растет риск утечек: уходя из банка, некоторые сотрудники попытаются прихватить с собой максимально возможное количество конфиденциальной информации, чтобы монетизировать ее у конкурентов или у киберпреступников.&nbsp;Не стоит забывать и о мошенничестве. Некоторые сотрудники банка снимают деньги со &laquo;спящих&raquo; счетов, например, у пожилого клиента банка, по которым давно не было активностей, говорит&nbsp;Юрий Сергеев, эксперт Центра информационной безопасности компании &laquo;Инфосистемы Джет&raquo;.&nbsp;Собрав деньги с нескольких десятков счетов, сотрудник исчезает. С помощью систем&nbsp;DLP службы безопасности банка стараются тщательнее контролировать действия сотрудников в офисе, их переписку и переговоры, чтобы минимизировать риски. &nbsp;</p> <p>Утечки и прочая &laquo;внутренняя кража данных&raquo; относится к самым &laquo;непрозрачным&raquo; для экспертов видам угроз, говорит&nbsp;Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies.&nbsp;В отличие от хакерских атак &mdash; технически сложных для понимания обывателя и руководителей компаний &mdash; сценарий &laquo;менеджер уволился с клиентской базой&raquo; очевиден и вызывает наибольшие опасения.&nbsp;</p>

Показать слайд

Атаки на банкоматы

Фото REUTERS / Luke MacGregor

<p>&laquo;Потрошение банкоматов&raquo; иногда выглядит весьма эффектно: оператор &laquo;нажимает кнопочку&raquo;, а человек, стоящий у нужного банкомата, подставляет мешок к щели выдачи и деньги сами вылетают из банкомата.&nbsp;</p> <p>Банкоматы по-прежнему беззащитны перед киберпреступниками: в отличие от надежного сейфа с банкнотными кассетами, физической защите электронных &laquo;мозгов&raquo; уделяется на порядок меньше внимания. Получив возможность подключиться к внутренним коммуникациям, злоумышленник может захватить полный контроль, в том числе, и над диспенсером &mdash; устройством выдачи купюр.&nbsp;</p> <p>&laquo;По итогам прошлого года, виден существенный рост атак на АБС и банкоматы, &mdash; рассказывает Глеб Чербов, заместитель директора департамента аудита защищенности Digital Security.&nbsp;&mdash; Есть все основания полагать, что в нынешнем году ущерб от такого рода инцидентов будет внушительным, и легко может превысить 25 млрд рублей, если банки не примут срочные меры&raquo;.&nbsp;</p> <p>Такая атака достаточно примитивна: механически производится вскрытие верхней части, потом атакующий либо подключает дополнительное устройство в разрыв управляющих линий, либо с внешнего носителя инфицирует центральный модуль. Известны так же и случаи, когда взлом банкоматов производился не физически, а из уже скомпрометированной сети банка, открывая для мошенников возможность удаленного управления и получения денег.&nbsp;</p> <p>Есть и неожиданный пример мошенничества: киберпреступники, используя методы социальной инженерии, проникли во внутреннюю сеть банка,&nbsp;внедрили вредоносное ПО, захватили контроль над рабочим местом операциониста. Другие сняли с карты несколько десятков тысяч рублей. После снятия суммы злоумышленник, завладевший рабочим местом, произвел операцию возврата денег на карту. И так много раз. В результате, с нескольких карт в разных банкоматах через снятие и возврат было похищено полмиллиарда рублей.</p>

Показать слайд

Атаки на партнеров банков

Фото REUTERS / Nacho Doce

<p>В эпоху облачных технологий и аутсорсинга у хакеров больше нет необходимости взламывать банк напрямую, чтобы заполучить финансовую информацию по конкретному клиенту или сделке. Достаточно взломать одного из многочисленных партнеров и контрагентов, у которых есть доступ к сделке: адвокатов, финансовых аудиторов, консультантов или даже ИТ-компании, обслуживающих жертву.&nbsp;</p> <p>&laquo;У&nbsp;кого-то наверняка найдется копия нужной информации на жестком диске или в почтовом ящике, а взломать небольшую компанию &mdash; в десятки раз проще и дешевле чем атаковать банк напрямую&raquo;, &mdash; говорит Илья Колошенко, основатель и гендиректор швейцарской компании High-Tech Bridge SA. По его словам, в Европе наблюдается бум взломов сайтов адвокатских контор, которые работают и с банками. &nbsp;</p> <p>Чаще всего все атаки подобного рода, начинаются со взлома веб-сайта жертвы. Безопасностью таких вот сайтов-&laquo;визиток&raquo;&nbsp;никто практически не занимается. Этим и пользуются злоумышленники.&nbsp;За 15-20 минут взламывается веб-сайт, создается легитимная страница, копирующая дизайн и содержание сайта.&nbsp;На эту страницу помещается exploit pack, или говоря проще &mdash; вирус, который заразит компьютер или мобильное устройство жертвы после захода на страницу. Заставить жертву кликнуть проще простого. Достаточно найти сотрудника адвокатской конторы в соцсетях, посмотреть на его интересы и активность. Получив письмо от старого знакомого с совершенно легитимным и логичным вопросом (например, по открытым вакансиям в компании) и легитимную ссылку на сайт своей фирмы, 99% кликнут на нее, не раздумывая. А большая часть внутренних систем безопасности легко пропускает трафик на корпоративный сайт, не видя в нем угрозы. Стоит взломать один компьютер внутри корпоративной сети&nbsp;&mdash;&nbsp;и оборона пала. При этом затраты на атаку незначительны.</p> <p>Malware для удаленной компрометации устройства и трояны,&nbsp;для систем которые давно не обновлялись,&nbsp;можно найти в интернете бесплатно. Для систем, где патчи (программы-обновления, закрывающие дыру) ставятся с небольшими задержкам, цена вопроса&nbsp;&mdash;&nbsp;$1000-2000. А для полностью обновленных систем &mdash; $10 000-50 000.&nbsp;&laquo;Это все равно в десятки раз дешевле, чем ломать банк в лоб. И куда менее рисковано для злоумышленика &mdash; шансы, что такая жертва начнет расследование, и вообще заметит атаку, равны нулю.Так что будущее за атаками на партнеров и третьих лиц обладающих нужной информацией, через их собственные веб-сайты&raquo;, &mdash; полагет Колошенко.&nbsp;</p> <p>Кибермошенники &laquo;живут&raquo; в условиях жесточайшей конкуренции, причем не только между собой, но и с правоохранительными органами, и в результате такого естественного отбора на &laquo;криминальной стороне&raquo; оказываются хорошо оплачиваемые профессионалы высочайшего класса, замечает Дмитрий Кузнецов из Positive Technologies.&nbsp;В итоге ни крупный бизнес, ни органы государственной власти пока не могут эффективно противодействовать хорошо подготовленным и скоординированным кибератакам.</p> <p>Что делать банкам? &laquo;Проводить мониторинг защищенности своих информационных систем и оперативно исправлять выявленные проблемы, &mdash; считает&nbsp;Кузнецов. &mdash;&nbsp;А во-вторых,&nbsp;быть в постоянной готовности к таким атакам, иметь и персонал, сравнимый по квалификации с атакующими, и технические средства, способные выявлять такие атаки. Правда, все это требует как серьезных затрат, так и непростого выбора между безопасностью и прибыльностью своих услуг&raquo;.</p>

Показать слайд