Эксперты назвали основные способы взлома российских банков
Главные уязвимости — «дыры» в приложениях и простые пароли
Хакерам требуется в среднем пять дней на проникновение во внутреннюю сеть российского банка, а если злоумышленник действует изнутри, то всего за два дня он способен получить полный контроль над инфраструктурой кредитной организации. К такому выводу пришли специалисты компании в сфере информационной безопасности Positive Technologies по итогам серии тестов на степень защищенности банков от хакерских атак. Тесты проводились в десяти кредитных организациях из топ-50 по активам, относящимся к разным размерным категориям. Их названия не раскрываются.
Специалисты, по словам представителя Positive Technologies, имитировали 18 атак: в восьми случаях атака на банк совершалась извне, то есть «хакеры» использовали только общедоступные данные, например сайт банка или неправильно настроенную базу данных, в десяти — атаковали изнутри банка, то есть хакер оказался в здании банка и получил доступ к розетке, Wi-Fi-сети и так далее или же благодаря атаке извне получил доступ к пользовательским данным банковского сотрудника. Методы социальной инженерии в тестах не использовались.
В большинстве тестов задача «похитить» денежные средства из банка не ставилась, но в трех случаях демонстрация возможности такого хищения стала дополнительной целью и она была достигнута, указывает Positive Technologies.
Проблема QWERTY и 123456
Подавляющее большинство успешно подобранных в ходе тестов паролей были составлены предсказуемым образом: при имитации атаки из интернета половина приходилась на различные комбинации месяца или времени года с цифрами, обозначающими год, например, Fduecn2019 (латинский набор слова «август») или Зима2019, на втором месте по распространенности оказались пароли типа 123456, 1qaz! QAZ, Qwerty1213.
Во внутренней инфраструктуре каждого второго банка использовались различные словарные комбинации для паролей, например, admin123, или пароли, состоящие из соседних клавиш, такие как QAZ2wsx. В рамках одного домена могло быть множество, вплоть до нескольких сотен, пользователей с одинаковым паролем, так в одном из банков было подобрано более 500 учетных записей с паролем qwerty123 для доменных учетных записей.
Что выявили атаки снаружи
Новое тестирование показало, что хакеры могут проникнуть из интернета в локальную сеть семи из восьми банков. Общий уровень защищенности шести банков от хакерских атак специалисты оценили как крайне низкий, одного банка как низкий. И только один банк получил оценку выше среднего.
Хакеры могут использовать несколько различных способов для проникновения в локальную сеть банка: в среднем злоумышленнику для этого требуется всего два шага (максимум — пять; минимум — один). В одном из банков эксперты Positive Technologies обнаружили следы более ранней реальной хакерской атаки, которую банк не смог выявить.
В большинстве случаев (44%) хакеры могут попадать во внутреннюю сеть банка через уязвимость веб-приложений. Для такой атаки, например, необходимо иметь личный кабинет в банке, доступ к которому хакер может получить путем подбора паролей реальных пользователей. В некоторых системах также можно просто зарегистрировать нового пользователя, используя встроенные механизмы приложения.
В 25% случаев хакеры попадали во внутреннюю сеть банка с помощью подбора учетной записи сотрудника организации для удаленного управления, еще в 25% использовали недостатки конфигурации с уязвимостями программного обеспечения, в оставшихся 6% — «уязвимости нулевого дня» (недостатки в ПО или вирусы, против которых еще не разработаны защитные механизмы).
В четырех банках специалистам удалось скомпрометировать учетные записи сотрудников (подключиться к почтовому ящику этого сотрудника, читать его почту и отправлять письма от его имени), еще в четырех — установить контроль над веб-приложением, в трех — провести атаки на посетителей сайтов, в двух — установить контроль над веб-сервером.
Что удалось при атаках изнутри
Семь из десяти внутренних атак по получению контроля над инфраструктурой стали успешным продолжением атак из интернета, указывается в отчете Positive Technologies. В среднем атака изнутри на банк состояла из восьми шагов (минимально — два, максимально — 15). Тестирование показало, что хакеры могут получить доступ к банкоматам, рабочим станциям топ-менеджеров, серверам карточного процессинга, центрам управления антивирусной защитой.
Большинство выявленных векторов для атак изнутри были сложны в реализации, указали эксперты, девять из них характеризовались высокой сложностью, пять — средней, а еще пять — низкой. «Для проведения сложной атаки злоумышленнику необходимо обладать высокой квалификацией и понимать, как обойти различные системы защиты. При этом в восьми банках существовал одновременно и альтернативный способ атаки, более простой в реализации, для которого нарушителю достаточно было бы обладать базовыми навыками, использовать общедоступные инструменты и эксплойты (программы, использующие уязвимости в ПО)», — подчеркивают авторы исследования.
Большинство успешных атак (49%) удалось реализовать с помощью легитимных действий в системах (разрешенные действия, которые позволяли получать несанкционированный доступ или нужную информацию). В 14% использовался подбор учетных данных сотрудников банка, в 13% — архитектурные особенности операционной системы.
Насколько защищены банки
Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов считает, что крупные российские банки «очень хорошо защищены от кибератак» и постоянно совершенствуют свои системы безопасности. Но зачастую злоумышленники используют уязвимости в бизнес-приложениях, которые разработала сама организация, а также в необновленных версиях широко использующегося ПО, объясняет он: «Например, в конце 2019 года мы расследовали серию атак, где использовалась уязвимость в VPN-решениях. Несмотря на то что брешь была обнаружена еще весной 2019 года, многие компании не установили необходимое обновление, чем и воспользовались злоумышленники». Кроме того, хакеры атакуют партнеров и поставщиков банков, где могут не соблюдаться базовые правила кибербезопасности.
В прошлом году информации об успешных целевых атаках на российские банки вообще не появлялось, не согласен с выводами исследования директор департамента информационной безопасности банка «Открытие» Владимир Журавлев. Если бы злоумышленники действительно могли бы проникать в сеть банков за пять дней, то банки регулярно теряли бы огромные деньги в результате подобных атак, говорит он.
Хакеры с большей степенью вероятности будут атаковать не банки, а напрямую их клиентов, уверен директор департамента информационной безопасности Росбанка Михаил Иванов: риски атаки на кредитные организации (даже не с самыми зрелыми системами безопасности) для злоумышленников всегда выше.
Уровень готовности банков к инцидентам в сфере кибербезопасности вырос за прошлый год, говорит глава лаборатории компьютерной криминалистики Group-IB Валерий Баулин. Отрасль «старается работать на опережение, используя инструменты раннего предупреждения кибератак», добавляет он: речь идет не только о технологической инфраструктуре, но и об уровне компетенции сотрудников.
Из-за улучшения банками систем безопасности русскоязычные группировки хакеров все чаще атакуют зарубежные кредитные организации, отмечает Голованов: они переключаются на банки в Азии, Африке и Латинской Америке. Об этом же сообщали и специалисты Group-IB: отработав техники взлома на домашних регионах, хакеры пошли дальше. С другой стороны, российским банкам стоит ждать атак от нового поколения взломщиков, отмечали в компании.
