Льву Хасису, первому заместителю председателя правления Сбербанка, прислали ссылку. Открылся сайт, точно повторяющий страницу одного из сервисов Google. Там уже был вписан логин Хасиса и ему оставалось только вбить свой пароль. «Что-то меня остановило», — вспоминает банкир. Хасис написал в техподдержку Google, где его опасения подтвердили: сайт оказался фишинговым. Киберпреступники используют их для сбора логинов и паролей, заражения вирусами компьютеров и смартфонов. Главная цель хакеров — банки и их состоятельные клиенты. По оценкам Банка России, ущерб кредитно-финансовых организаций лишь за 4 квартал 2015 года превысил 1,5 млрд рублей. К каким угрозам банкам стоит отнестись особенно серьезно, читайте в материале Forbes.
Целевые атаки на банки
Компьютеры сотрудников татарстанского «Алтын банка», казалось, сошли с ума: с экранов стала исчезать информация о транзакциях, а потом мониторы попросту погасли. 24 декабря 2015 года банк стал жертвой хакерской атаки. Накануне в сеть банка проник вирус, подменив в платежных поручениях клиентов банка получателей и их банковские реквизиты. В итоге около 60 млн рублей ушли на счета двух компаний, открытых в столичных банках, а оттуда — на счета 20 фирм в разных регионах России. После этого хакеры пытались уничтожить всю информацию о взломе и транзакциях.
Сейчас главная мишень киберпреступников — небольшие региональные банки, замечает директор департамента сетевой безопасности Group-IB Никита Кислицин. Сами целевые атаки, по его словам, стали изощреннее и практически всегда происходят с использованием методов социальной инженерии: например, сотрудники одного из банков получили на рабочую почту рассылку о вакансиях в Центробанке. Многие не удержались и открыли зараженное письмо, вирус начал распространяться по внутренней сети.
Социальная инженерия — один из самых надежных каналов для проведения целевой атаки, подверждает Юрий Сергеев, эксперт Центра информационной безопасности компании «Инфосистемы Джет». Результаты пен-тестов (тестов на проникновение) показывают, что даже из рассылки на 1000 человек найдутся минимум 7% людей, которые откроют опасное вложение и дадут злоумышленнику доступ к десяткам учетных записей, под которыми можно перейти к атакам внутри сети. «В 90% случаев, как показывают тесты, захватить учетную запись администратора удается в первый же день», — уверяет Сергеев.
Классическая целевая атака требует огромных затрат: преступники собирают сведения об оргструктуре банка, вычисляют, кому отправить зараженные вирусом фишинговые письма. «Прошлый год открыл новые эффективные способы быстрой монетизации ущерба при относительно недорогих методах «работы» хакерских групп», — замечает Эльман Бейбутов, руководитель направления Solar JSOC компании Solar Security.
В первую очередь, хакеры заражают многомилионную аудиторию взломанных web-сайтов. Заходя на такой сайт, человек скачивает себе вредоносных агентов троянских бот-сетей. Бот-агенты без всякого сопротивления со стороны антивирусов устанавливаются на зараженном компьютере и начинают сбор информации. «Если хакерам становится понятно, что бот установлен в банковском компьютере, то атакующий захватывает управление и далее проникает в сеть до рабочего места оператора клиента Банка России (АРМ КБР)», — говорит Бейбутов. Суть атаки на АРМ КБР в том, что осуществляется подмена файла с межбанковскими денежными транзакциями: с корреспондентского счета атакуемого банка деньги пересылают на счета в других банках, откуда выводятся.
Преступных группировок, работающих по такой схеме, становится все больше. Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, то в 2015 году известно стало уже о восьми группировках, специализирующихся на компаниях конкретных отраслей. Растет и ущерб.
Статистика Банка России показывает, что невнимательное отношение менеджмента кредитных организаций к вопросам информационной безопасности приводит к значимым финансовым потерям, говорит первый заместитель председателя Банка России Георгий Лунтовский. Такие банки сильно рискуют. «За последний квартал 2015 года лицензии лишились три кредитные организации, ранее подвергшиеся атакам», — заметил представитель Банка России.