Хакерская атака на банк

Хакерская атака на банк

В 2018 г. FinCERT Банка России (центр мониторинга и реагирования на компьютерные атаки) получил сведения о 687 кибератаках на банки, говорится в отчете организации. Из них 177 атак были целевыми атаками на кредитно-финансовые организации ради финансовой выгоды.

Также FinCERT насчитал 97 DDoS-атак на финансовые организации.

В прошлом году FinCERT зафиксировал 375 кампаний по распространению вредоносного ПО, из которых 71 была нацелена на кредитно-финансовые организации и их клиентов.

Множество таких атак на банки организация приписывает двум хакерским группировкам: Cobalt (также известна как Carbanak и FIN7) и Silence. По данным FinCERT, Cobalt нанесла ущерб российской финансовой сфере минимум на 44 млн руб., а Silence – на 14,4 млн руб. Впрочем, это во много раз меньше, чем в 2017 г., отмечается в отчете. В 2017 г. ущерб от атак с использованием программ Cobalt Strike превысил 1 млрд руб.

Количество кибератак в России удвоилось

Несмотря на арест в марте 2018 г. в Испании одного из лидеров Cobalt и задержание в Европе еще нескольких ее членов, группа свою деятельность не прекратила, а лишь снизила активность на некоторое время, говорится в отчете.

Также FinCERT выявил более 540 ресурсов в интернете, которые распространяют вирусное ПО или управляют серверами, отвечающими за использование вредоносного софта. Более 500 подобных ресурсов зарегистрированы за пределами России. Эти доменные зоны неподконтрольны FinCERT, что затрудняет возможность остановить их деятельность, отмечается в докладе. Сейчас прорабатывается законопроект, который позволит Банку России блокировать такие ресурсы до суда на территории России вне зависимости от географической привязки доменного имени.

В 2018 г. стало больше наиболее опасных атак на финансовые организации стран СНГ, отмечает FinCERT. Хотя атаки, как и раньше, нацелены на процессинг банковских карт – хакеры пытаются добраться до системы управления процессингом, чтобы скрытно увеличить балансы и лимиты карт, а затем вывести деньги через банкоматы. Все еще распространены атаки на устройства самообслуживания. Однако скимминг и шимминг (использование устройств, которые устанавливаются на банкомат для считывания данных карт) становятся менее распространены, но сохраняют популярность blackbox-атаки на банкоматы – используются специальные устройства, которые позволяют управлять банкоматом.

FinCERT также приводит наблюдения компаний в области кибербезопаности. Так, например, эксперты лаборатории компьютерной криминалистики Group-IB пришли к выводу, что в 2018 г. на финансовый сектор пришлось около 70% всей хакерской активности. При этом 74% банков были не готовы к атакам, отмечает Group-IB: более чем у половины банков были выявлены следы совершения атак в прошлом, они не смогли централизованно управлять сетью для локализации атаки, а также тратили на согласование работ по ликвидации атаки более четырех часов.

Эксперты Group-IB также проанализировали атаки на клиентов банков: более 80% случаев похищения у них денег происходит с использованием методов социальной инженерии. Мошенники звонят жертвам и представляются сотрудниками банка, предлагая услуги, или представителями службы безопасности, которая якобы обнаружила подозрительную активность. В 2018 г. банки ежемесячно сталкивались в среднем с 3000 атак с использованием таких методов.

За прошлый год мошенникам удалось похитить почти в 1,5 раза больше денег с карт россиян – 1,4 млрд руб., по данным ЦБ, это на 44% больше, чем годом ранее. До этого улов мошенников снижался три года подряд. Большинство случаев хищения денег связано с социальной инженерией, говорилось в отчете FinCERT за 2018 г.

Хакеры действительно неплохо зарабатывают

Итоги последней глобальной атаки WannaCry еще предстоит оценить, а пока мы предлагаем посмотреть, сколько денег уже перекочевало в карманы хакеров.

Крупнейшие киберпреступления в финансовой сфере — это не просто миллиарды убытков, это удивительные истории о том, как хакеры связаны с Госдумой и властями Северной Кореи, как «вскрывали» банки в далекие 1990-е, в эпоху модемного Интернета, как американцы выманивали хакеров из Челябинска и во сколько миллионов долларов обходится ошибка в заполнении платежки.

1 млрд долларов: новая эра хакерства

Это ограбление занимает особое место в истории хакерства. И не только из-за астрономической суммы предполагаемого ущерба — 1 млрд долларов. Но еще и из-за того, что с этого момента можно говорить о начале новой эпохи киберпреступлений: теперь преступники предпочитают красть деньги не у клиентов, а непосредственно у самих банков.

Вирус Carbanak затронул около 100 финансовых организаций по всему миру. Первой жертвой стал украинский банк, потом — российский, позже хакеры добрались до банков США, Европы, Китая и Юго-Восточной Азии, Ближнего Востока, Африки. Как минимум в половине случаев хакерам удавалось вывести деньги: от 2,5 млн до 10 млн долларов из одного банка. Вирус прятался во вложенном файле в электронных письмах. От момента заражения первого компьютера в корпоративной сети до кражи денег проходило 2—4 месяца. Впрочем, говорить об этих событиях в прошедшем времени не совсем верно: группировка хакеров работает до сих пор. Приведенные выше цифры — это то, что удалось выяснить «Лаборатории Касперского». Первые случаи заражения относятся к декабрю 2013 года, но пик активности вируса пришелся на июнь 2014 года.

Одним из способов вывода средств была удаленная команда банкомату на выдачу наличных. Сообщнику (в подобных схемах их называют «мулы» — те, кто забирают деньги в банкомате) надо было просто подойти к определенному банкомату в определенное время.

951 млн или 81 млн долларов: дорогая очепятка

В феврале 2016 года через систему международных межбанковских переводов SWIFT взломщики пытались украсть из Центрального банка Бангладеш 951 млн долларов. Они почти все сделали правильно, но.

Читайте также:  Bosch home professional way3279moe

Попытка оказалась не совсем удачной. Из-за ошибки в платежном документе (!) удалось вывести лишь 81 млн долларов. В марте этого года представители ФБР и АНБ впервые подтвердили, что за атакой на бангладешский Центробанк может стоять группа хакеров из Северной Кореи Lazarus. «Долгие годы Lazarus была известна акциями против идеологических противников КНДР — DDoS-атаками и взломами ресурсов государственных, военных, аэрокосмических учреждений в Южной Корее и США, — рассказал порталу Банки.ру руководитель направления киберразведки Threat Intelligence, сооснователь Group-IB Дмитрий Волков. — Но в прошлом году северокорейские хакеры скорректировали прицел — нападению с их стороны подверглись десятки финансовых организаций по всему миру».

480 млн долларов: усушка и утряска биткоинов

Биткоин-биржа Mt.Gox была основана в Токио в 2010 году, к 2013 году стала крупнейшей в мире — через нее проходило 70% всех операций по купле-продаже биткоинов, а в феврале 2014 года объявила о банкротстве. Причиной печального конца стало исчезновение 850 тыс. биткоинов — это 7% всех биткоинов, которые были на тот момент в обороте. В переводе на доллары — около 480 млн.

Биткоины со счетов клиентов начали утекать еще с 2011 года: тогда криптовалюта переживала первый бум в своей истории, в июне 2011 года цена на нее росла в геометрической прогрессии, что вызвало интерес хакеров. Мошенники создали фальшивые ордера и вывели несколько десятков тысяч биткоинов. После этого владелец биржи, Марк Карпелес, молодой француз 1985 года рождения, пытался усовершенствовать систему безопасности торговой платформы. И какое-то время казалось, что ему это удалось.

Однако со временем у Mt.Gox стали возникать трудности, что привело к оттоку клиентов. И тут клиенты стали обнаруживать, что вывод средств может занимать недели и даже месяцы. Ситуация накалялась, и в феврале 2014 года Карпелес объявляет о закрытии бирже, объясняя это хакерской атакой и похищением 850 тыс. биткоинов. Кто не успел вывести свои деньги — Карпелес не виноват.

Любопытно, что позже Карпелес якобы нашел 200 тыс. биткоинов в биржевом цифровом кошельке старого формата. Однако не все верят, что он про них просто забыл: поговаривают, что решил поделиться частью своей «заначки». Дело в том, что расследование по делу Mt.Gox все еще продолжается: Карпелес был арестован по обвинению в растрате средств с депозитов клиентов. Впрочем, часть экспертов обвиняют его лишь в безалаберности и не сомневаются в том, что кража совершена третьими лицами.

300 млн долларов: с русским размахом

Через месяц, в середине июня 2017 года, окружной суд Нью-Джерси (США) должен огласить приговор двум гражданам России — Владимиру Дринкману и Дмитрию Смилянцу. Их, а также их подельников, россиян Александра Калинина и Романа Котова и гражданина Украины Михаила Рытикова (правда, эти трое находятся в международном розыске) обвиняют в том, что в течение семи лет — с 2005 по 2012 год — они похитили и перепродали данные 160 млн кредитных карт, сняли средства с 800 тыс. счетов по всему миру и причинили совокупный убыток более чем в 300 млн долларов.

Список корпоративных жертв хакеров впечатляет: NASDAQ, Dow Jones, Visa, платежная компания Heartland, торговые сети Carrefour S.A. и 7-Eleven, бельгийский банк Dexia Bank, авиакомпания Jet Blue и многие другие. Как видите, нынешняя паранойя американцев по поводу российских хакеров вообще-то не лишена оснований. «Они показывают меня как лидера группировки, которая разрушала финансовую инфраструктуру США в течение десяти лет», — пожаловался Владимир Дринкман журналистам Bloomberg. Он признался, что не верит в честное разбирательство и справедливый приговор.

Говорят, что хакеров выдал американец Альберто Гонсалес, который вместе с ними «вскрывал» Heartland и в 2010 году получил приговор в 20 лет тюрьмы. О его достижениях мы расскажем ниже.

170 млн долларов: талантливый сын депутата Госдумы

27 лет тюрьмы — такой приговор вынес федеральный суд Сиэтла (США) в минувшем апреле сыну депутата Госдумы от ЛДПР Роману Селезневу. Это самый суровый приговор, когда-либо выносимый в США за киберпреступления. Депутат Валерий Селезнев и МИД РФ видят в этом недружелюбное отношение к России, но давайте посмотрим, чем так разозлил американскую Фемиду русский хакер.

3 700 финансовых учреждений, более 500 компаний по всему миру, 2 млн скомпрометированных кредиток — ущерб, причиненный Селезневым, прокуратура оценила не менее чем в 170 млн долларов.

«Но Роман Селезнев не только похищал и продавал данные кредиток, — приводит ВВС слова прокурора. — Он был криминальным предпринимателем, чьи новации преобразили индустрию кардинга». Хакер создал два пункта продажи реквизитов банковских карт — по сути, «магазины» ворованных данных. По словам прокурора, благодаря этим сервисам заниматься карточным мошенничеством стало проще, чем покупать книги на Amazon.com.

Селезнев пытался задобрить судью письмом, в котором описывал свое тяжелое детство с разведенной и много работающей матерью, но это не помогло. Арестовали хакера на Мальдивских островах. А ему действительно досталось от жизни. Несколько лет назад Роман Селезнев серьезно пострадал во время теракта: вместо трети черепа у него — титановая пластина.

65 млн долларов: биткоин-биржа пишет письмо анонимному хакеру

2 августа 2016 года гонконгская криптовалютная биржа Bitfinex сообщила о том, что биткоин-кошельки более чем 50 тыс. клиентов были взломаны и из них похищено 119 756 биткоинов. По курсу того дня это равнялось примерно 65 млн долларов.

Читайте также:  Как запускать игры через nvidia

Это крупнейшая хакерская атака на криптовалюту после случая с Mt.Gox, хотя ее последствия для курса криптовалюты оказались меньше. Прошлой осенью атака продолжилась, после чего к расследованию преступлений подключилось ФБР, а сама биржа опубликовала письмо к анонимному хакеру с просьбой рассказать об уязвимости в системе безопасности Bitfinex в обмен на крупный денежный приз и обещание снять все предъявленные обвинения.

37 млн долларов: слишком дорогой спам

Самый известный в мире спамер — бразилец Валдир Пауло де Алмейда на момент ареста в 2005 году содержал команду из 18 человек, которая рассылала 3 млн фишинговых писем в день. В рассылках был спрятан «троян», ворующий данные у посетителей онлайн-сервисов банков — преимущественно бразильских, но пострадали и зарубежные.

По оценкам, за два года спамерам удалось похитить с карт 37 млн долларов. Среди пострадавших — не только частные лица, но и несколько фондов.

25 млн долларов: суровые челябинские хакеры

Василий Горшков и Алексей Иванов, сидя за домашними компьютерами в родном Челябинске, проникли в корпоративные сети PayPal, Western Union, американского представительства корейского банка Nara Bank и украли 16 тыс. номеров кредитных карт. Причиненный ими ущерб составил 25 млн долларов.

Эта история интересна тем, как ловили челябинских парней. ФБР, которое вышло на хакеров и собрало доказательства их причастности, порывшись в их компьютерах (за что получило обвинение в несанкционированном доступе от ФСБ), решило выманить преступников из Челябинска. Для чего была создана подставная фирма Invita Computer Security, которая пригласила талантливых программистов поработать над системой безопасности. Арестовали хакеров в аэропорту Сиэтла, куда они прилетели на собеседование. Иванов в итоге получил четыре года лишения свободы, а Горшков — три, а также штраф почти в 700 тыс. долларов.

10,7 млн долларов: у истоков. Ситибанк и вирус гриппа

Скромный питерский интеллигент Владимир Левин в 1991 году защитил диплом про вирусы гриппа на территории СССР, а в 1994 году взломал внутреннюю сеть Citibank и вывел со счетов корпоративных клиентов банка 10,7 млн долларов на счета, расположенные в США, Израиле, Германии и других странах. Почти все деньги банку удалось вернуть, кроме примерно 400 тыс. долларов.

Показательно, что профессинально программированием Левин не занимался, это было его хобби. А английский язык он и вовсе знал лишь в пределах компьютерной терминологии. Общую лексику и грамматику пришлось подтягивать уже в тюрьме: сначала английской, потом американской. Хакера арестовали в Лондоне в марте 1995 года и позже приговорили к трем годам лишения свободы и штрафу в 240 015 долларов.

В 2005 году появилась информация, что у Левина не было даже хакерских талантов: якобы систему Citibank взломали другие хакеры, а Левину просто продали алгоритм всего лишь за 100 долларов. Подтверждений этим заявлениям не было, но, как бы то ни было, история молодого вирусолога показывает, что провернуть можно любое дело — главное, видеть цель и не замечать препятствия. И, кстати, судьба тех 400 тыс. долларов не известна до сих пор.

10 млн долларов: хакеры хранят свои деньги в банке. Из-под кофе

Титул крупнейшего в истории мошенника в сфере пластиковых карт принадлежит американцу кубинского происхождения Альберто Гонсалесу: в 2005—2007 годах ему удалось собрать данные 170 млн платежных карт.

Еще в 2002 году, будучи 21 года от роду, он создал «биржу хакеров» Shadowcrew, где можно было обменять, продать или купить ворованные данные по банковским картам. Через год на эту площадку вышло ФБР и предложило Гонсалесу или обвинения, или сотрудничество, предполагающее зарплату в 75 тыс. долларов. Гонсалес выбрал сотрудничество с федеральными органами, в результате чего в 2004 году было арестовано 28 хакеров. При этом сам Гонсалес вовсе не бросал любимое дело, продолжая взламывать сети крупных магазинов США и воруя там данные кредитных карт. Эксперты полагают, что всего хакер смог заработать за свою карьеру около 10 млн долларов.

Гонсалеса арестовали в 2008 году, он попался на взломе сети общественного питания Dave & Buster’s, и, уже когда он находился под стражей, ему предъявили обвинение и во взломе Heartland. Кстати, говорят, что именно Гонсалес сдал следствию имена своих сообщников в этом деле — Дринкмана и Смилянца.

Полиция изъяла у хакера 1,6 млн долларов наличными, причем 1,1 млн были спрятаны в пластиковые пакеты и закопаны на заднем дворе родительского дома. В 2010 году суд приговорил Альберто Гонсалеса к 20 годам тюрьмы.

​74% банков оказались не готовы к нападению кибермошенников. К такому выводу пришли эксперты-киберкриминалисты компании Group-IB (занимается реагированием на инциденты информационной безопасности, является партнером Interpol и Europol). Выводы приводятся в сообщении Group-IB, поступившем в РБК. У 29% финорганизаций были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом.

Почему банки оказались, по мнению экспертов, наиболее уязвимой мишенью для хакеров и как они борются с атаками, разбирался РБК.

Основные мишени хакеров

Порядка 70% хакерской активности в 2018 году пришлось на банковский сектор. Остальные 30% — в основном на компании топливно-энергетического комплекса и промышленные предприятия, ​отметил представитель Group-IB, но показатели для каждой отрасли не уточнил.

По словам руководителя лаборатории компьютерной криминалистики Group-IB Валерия Баулина, атакованными оказались финансовые организации разных категорий. «Однако по нашему опыту банки из топ-10 гораздо лучше защищены, чем мелкие банки, в том числе потому, что они чаще встречались с киберинцидентами», — отметил Баулин.

Читайте также:  Возраст по году рождения

Более уязвимыми считает небольшие банки и директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Владимир Дрюков. «Инфраструктура небольших банков при всей своей компактности достаточно редко управляется централизованно, поэтому длительность устранения сбоя существенно выше, чем при схожем охвате в крупном банке», — отметил он, добавив, что небольшой состав подразделения информационной безопасности также не позволяет оперативно реагировать на атаки.

В октябре прошлого года Group-IB оценила ущерб российской финансовой сфере от атак киберпреступников за второе полугодие 2017-го и первое полугодие 2018 года в 2,96 млрд руб. ЦБ приводил более скромные цифры: за восемь месяцев 2018 года (последний доступный период) ущерб составил 76,49 млн руб. Хотя годом ранее сумма хищений превышала 1 млрд руб. В течение прошлого года эксперты зафиксировали несколько масштабных атак на банки. В конце 2018 года злоумышленники атаковали более 50 российских банков, разослав фишинговые письма, замаскированные под официальные сообщения ЦБ. При попытке распаковать приложенный к письму файл пользователь загружал на свой компьютер вредоносное программное обеспечение.

Ключевыми способами проникновения злоумышленников в инфраструктуру остаются фишинг и социальная инженерия, то есть человеческий фактор, считает Владимир Дрюков. «Устойчивость к таким атакам никак не связана с размерами банка, а напрямую зависит от культуры повышения осведомленности в организации. Хотя стоит отметить, что большая техническая оснащенность крупных банков позволяет эффективнее выявлять атаки на более поздних стадиях и противодействовать им», — пояснил он.

Банки не готовы к атакам

По мнению Group-IB, большинство финансовых организаций, ставших жертвами хакерских атак, не имело плана реагирования на них, не могло в сжатые сроки мобилизовать работу профильных подразделений, организационно и технически противостоять действиям атакующих. Эксперты отметили низкий уровень подготовки персонала: в 70% организаций профильные навыки по поиску следов заражения и несанкционированной активности в Сети отсутствуют или недостаточны. Столько же не имеют четких процедур по самостоятельному выявлению вредоносного ПО, а в 60% пострадавших банков не способны централизованно и оперативно сменить пароли.

Халатность сотрудников — еще одна причина уязвимости банков. Не менее 17% компаний, которые среагировали на инцидент, подверглись повторной атаке в течение года после последнего заражения. «В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций по устранению последствий киберинцидента, — отмечается в сообщении Group-IB. — Кроме того, в течение 2018 года у 29% организаций финансового сектора были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала».

Впрочем, ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов считает, что российские банки «довольно хорошо» защищены от кибератак. «Исследование 2018 года показало, что в 84% финансовых организаций описаны политики безопасности и 69% уверены в компетенции своих ИТ-специалистов», — отметил он. По его словам, большое количество банков, участвующих в опросе (42%), видят опасность в атаках не на них самих, а на их клиентов, например с помощью фишинга и социальной инженерии.

Крупнейшие банки не согласны

В Сбербанке считают, что банковская отрасль «лучше готова к кибератакам по сравнению с большинством других российских отраслей», сообщил представитель этого банка. Он напомнил, что крупнейшие игроки российского рынка активно инвестируют в кибербезопасность. «Наибольший риск для клиентов банков мы видим в появлении новых способов социальной инженерии. SOC Сбербанка (центр реагирования на киберинциденты. — РБК) ежедневно фиксирует вредоносные и фишинговые рассылки. За 2018 год зафиксировано более 600 тыс. электронных писем, содержащих фишинг и вредоносные вложения. В среднем в 2018 году Сбербанк фиксировал 1-2 DDoS-атаки на свои системы каждую неделю. Всего за 2018 год отражено 96 DDoS-атак, около 20 из них — это атаки высокой мощности», — отметил он.

Представитель Промсвязьбанка также считает, что крупные и средние банки достаточно хорошо подготовлены к отражению кибератак и имеют хорошо организованную систему обеспечения информбезопасности. Активность кибермошенников остается стабильно высокой, уверен директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. По его словам, основная цель хакеров — это платежные системы и шлюзы, в которых обрабатываются платежи. «Достаточно создания одной нелегитимной транзакции, чтобы обеспечить огромные потери для кредитной организации, именно поэтому мы тратим большое количество усилий, чтобы сохранять деньги как клиентов, так и наши», — добавил Касимов.

Директор департамента информационной безопасности банка «Открытие» Владимир Журавлев отметил, что чаще всего киберпреступники проводят целевые атаки с использованием рассылок вредоносного программного обеспечения.

Начальник управления по обеспечению информационной безопасности банка ВТБ Сергей Пазизин сообщил, что наибольшую угрозу для банков представляют целевые атаки, при проведении которых злоумышленники собирают информацию о системах защиты банка, создают специальные инструменты для их взлома и ищут сообщников внутри персонала. «В этих условиях риски взлома имеются даже при наличии высокоорганизованной и технически оснащенной системы защиты», — подчеркнул он.

Аналитик группы компаний InfoWatch Сергей Хайрук указал, что банковская сфера в России традиционно считается лидером в части применения технологий информационной безопасности. «Банки, как никто другой, понимают ценность хранимой и обрабатываемой информации, готовы инвестировать в технические средства защиты и внедрение лучших организационных практик», — сказал он. Хайрук не согласен с тезисом, что банки слабо защищены, однако отметил, что «вектор угроз и атаки постоянно эволюционируют, поэтому эффективность существующих систем надо повышать постоянно».

Ссылка на основную публикацию
Adblock detector