Школьники и Робин Гуды: кто крадет миллиарды из российских банков

Региональный директор Trend Micro в СНГ, Грузии и Монголии Герман Позанков (Фото: Пресс-служба)

Эксперты по IT-безопасности банковской системы бьют тревогу — число кибератак на кредитные организации стремительно растет. По данным структуры Центробанка по анализу кибератак ФинЦЕРТ, в прошлом году российские банки и их клиенты потеряли в результате хакерских атак более 3 млрд руб. Причем о росте числа кибератак говорят и мелкие, и крупные кредитные организации. Например, в январе-мае 2018 года Сбербанк зафиксировал в полтора раза больше мощных DDoS-атак, чем за аналогичный период прошлого года (за весь 2017 год их было 48).

Региональный директор Trend Micro (один из мировых лидеров в области решений для кибербезопасности) в СНГ, Грузии и Монголии Герман Позанков рассказал РБК Петербург, кто сегодня стал главной мишенью хакеров и почему банки не успевают за темпами развития киберпреступности:

Чужие отпечатки пальцев

«Киберпреступность меняется вместе с самой финансовой отраслью. По мере цифровизации банковского бизнеса (развитие интернет-банкинга) у преступников появляется больше инструментов для совершения крупных атак с целью похищения денег или конфиденциальной информации, вывода из строя систем защиты или майнинга криптовалют. В результате хакерских атак банки и их клиенты в 2017 году потеряли свыше 3 млрд рублей, подсчитал ФинЦЕРТ. По нашим прогнозам, количество подобных кибератак на банки будет расти. В группе риска сейчас — средние и малые банковские организации.

Диапазон векторов атак является широким, если злоумышленники обладают необходимыми знаниями и техническими средствами. Причем доступ к банковским системам может принести им больше дохода, чем мошенничество с клиентами банка. Хотя способ кражи денег с банковских карт также никуда не уходит — методы социальной инженерии в отношении невнимательных пользователей по-прежнему эффективны.

Но интернет-банкинг дал преступникам возможность подделывать сайты, разрабатывать специальные банковские вредоносные программы, создавать фейковые мобильные приложения, ботов, перехватывать номера телефонов для аутентификации клиента. С развитием единой биометрической платформы преступники учатся подделывать и перехватывать наши биометрические данные: голос, фото, видео, отпечатки пальцев.

Портрет хакера

Портрет современного киберпреступника нарисовать сложно, т.к. их уровни отличаются. Существуют обычные мошенники, которые используют методы соц.инженерии, ищут легкие пути для получения выгоды. Таким «специалистам» не нужно разрабатывать сложные атаки, писать вредоносные программы. Они активно ищут информацию в различных блогах и форумах, закупают недорогое ПО или заказывают услугу «под ключ». Воспользоваться лазейками и нанести небольшой ущерб компании и ее клиентам при помощи вредоносного спама под силу даже школьнику.

Для профессиональных хакеров интересны глобальные и сложные задачи: кража большой суммы денег, похищение персональных и конфиденциальных данных, выведение из строя систем защиты. Попасть в одиночку в защищенную инфраструктуру банка сложно, поэтому очень часто создаются организованные группировки хакеров. Из наиболее известных — Cobalt, Carbanak, Lazarus, Lurk. Атаки профессионалов отличаются своими сценариями, которые состоят из пяти этапов: длительной подготовки (исследования), проникновения в систему (через поиск уязвимостей), самой атаки, нанесения ущерба и заметанием следов.

Фишинг и майнинг

Наиболее эффективными методами проникновения в инфраструктуру банка являются целевые атаки. Для них характерен взлом и обход защиты с более глубоким проникновением в информационную систему, которое может быть выполнено либо через электронную почту (фишинговые письма), либо через загрузку вредоносных компонентов (вирусы-вымогатели, майнеры или разновидности банковских троянов). Среди популярных мишеней хакеров: SWIFT, межбанковские переводы, процессинг, АТМ. Только за прошлый год банки потеряли 40 млн рублей из-за хищения денег из платежных терминалов.

При этом мишенью киберпреступников могут быть и деньги частных вкладчиков, и счета корпоративных клиентов. Тут все зависит от мотивации преступников. Если стоит общая цель украсть деньги у банка, то неважно, с каких счетов будут похищены деньги (и частные вкладчики, и корпоративные — это все клиенты). Где больше выгода и легче доступ — там и профит.

Если преступники стараются вести себя с позиции Робин Гудов, то предпочитают воровать со счетов крупных корпораций.

Для менее профессиональных хакеров главной мишенью будут деньги частных вкладчиков — пользователей интернет-банка и мобильных приложений, которых можно затянуть в ловушку, например, при проведении транзакций на ненадежных сайтах.

Бывают также случаи, когда главная задача преступников — вывести из строя ИТ-систему банка и таким образом нанести ущерб финансовой организации в целом. Буквально в мае этого года неизвестные злоумышленники атаковали крупнейший чилийский Banco de Chile. Они заражали жесткие диски, пытаясь вывести из строя инфраструктуру. Таким образом преступники отвлекали внимание сотрудников финансового учреждения, пока пытались вывести деньги через SWIFT.

«Под ключ»

Размер ущерба может варьироваться. Здесь важно учитывать не просто кражу денег, а также выведенную из строя инфраструктуру, потерю конфиденциальной информации, трату времени на простой работы бизнеса, ущерб репутации, возможный отток клиентов банка. День простоя из-за кибератаки может обойтись примерно банку в 50 млн рублей. В такую сумму оценивают потери большая часть кредитных организаций, опрошенных экспертами Positive Technologies. Затраты на восстановление инфраструктуры обойдутся для небольших предприятий в районе 2-5 млн руб., для средних и крупных — до 10 млн руб. По данным исследователей, общий ущерб для финансовой отрасли за первый квартал 2018 года составил более 83 млн долл.

Конечно, банки стараются отражать все эти атаки. Существуют стандартные требования регуляторов по обеспечению информационной безопасности, которым должны соответствовать все финансовые организации. Это касается наличия антивирусов, средств для предотвращения атак и т.д. Однако практика показывает, что стандартных инструментов недостаточно для того, чтобы обеспечить высокий уровень защиты от киберпреступников.

Дело в том, что банки отражают атаки почти каждый день. Такая информация не является публичной. СМИ узнают лишь о самых крупных угрозах, которые не удалось отразить сразу и если они повлекли за собой серьезный финансовый ущерб.

В сложных кибератаках на банки используется продвинутое вредоносное ПО и жесткая нацеленность на конкретную жертву. Такие программы пишутся «под ключ» и больше нигде не встречаются. Простые антивирусные продукты, которые используются на рабочем месте сотрудников низшего звена, не в силах отследить угрозы такого уровня.

По данным исследований наших партнеров и согласно нашим наблюдениям, современные решения по защите инфраструктуры используются в 10 топовых банковских организациях. К сожалению, для остальных картина очень печальная, и во многом это зависит от отсутствия достаточных инвестиций на обеспечение информационной безопасности. По нашим наблюдениям, качественный мониторинг возможных угроз и использование систем предотвращения вторжений (IDS) наблюдается лишь в каждом третьем банке.

Проблема заключается в том, что универсального решения, дающего стопроцентную защиту от хакеров, нет. Банки должны быть доступны и удобны для взаимодействия со своими клиентами и партнерами, поэтому нельзя допустить, чтобы средства защиты существенно мешали или замедляли работу организации. Банкам следует заниматься постоянным усовершенствованием своей инфраструктуры, проводить обучение и тренинги сотрудников, создать квалифицированный отдел информационной безопасности, научиться гибкому реагированию на инциденты в режиме реального времени, проводить регулярные тесты на проникновение, пользоваться надежными продуктами для защиты облачной, сетевой инфраструктуры и веб-приложений. И самое главное — нельзя недооценивать возможность атаки и последующего ущерба для бизнеса и клиентов».

Мнение спикера может не совпадать с позицией редакции.