Наступление по всем фронтам

Всеволод Иванов, исполнительный директор компании InfoWatch.

В формате «нулей и единиц»

Сейчас, когда практически все финансовые средства находятся в формате «единиц и нулей», в банках нет огромных запасов бумажных денег и золота – только необходимые для текущей работы резервы. Банки продолжают оставаться главными хранилищами и источниками передвижения денег, но финансовые потоки тоже перемещаются в виде «единиц и нулей». Соответственно, тезис «преступления совершаются там, где имеются деньги» остается справедливым, но теперь – уже в сфере киберпространства.

На протяжении последних лет мы наблюдали лавинообразный переход финансов в электронный вид. Со стороны банков этот процесс, конечно, давно завершился. А вот со стороны клиентов (физических и юридических лиц, т.е. населения и компаний) «финансовая революция» проходила в несколько этапов, и буквально в последние два года набрала максимальные обороты. Когда онлайн-банкингом стала пользоваться моя мама, я понял: все, деньги «электронизировались». Мы пришли к такому рубежу развития общества, когда практически все операции с деньгами осуществляются (или, по крайней мере, могут осуществляться) в электронном виде. И это несет с собой как удобства, так и различные угрозы.

Основная из них состоит в том, что технологии кибератак развиваются очень быстрыми темпами. В зависимости от квалификации злоумышленников атака может быть простой «двухходовкой» или сложной многоступенчатой операцией. Простая схема – заражение жертвы вредоносным ПО, которое, собственно, и ворует деньги. Например, перенаправление на сторонний счет сотой доли процента каждого платежа часто не привлекает к себе внимания офицеров безопасности банка. Более сложный вариант – воровству денег предшествует похищение информации или блокировка злоумышленниками неких важных действий банка. Как правило, для реализации таких атак требуется тщательная подготовка.

Объектами атаки могут быть клиенты банка, физические и юридические лица, а также сам банк. Для того чтобы украсть деньги в электронном виде, используется сложное вредоносное программное обеспечение. При этом главная трудность состоит не в его создании, а в том, что оно должно быть установлено там, где проходят сами финансовые операции, информация о них либо о счетах, платежных данных.

Цена доверия

Самый простой способ внедрить вредоносное ПО – воспользоваться методами социальной инженерии. Мы еще не очень хорошо научились ориентироваться в киберпространстве, поэтому доверяем некоторым электронным сообщениям так же, как когда-то печатным. Если приходит письмо из уважаемого банка, значит, на него надо ответить и сделать то, о чем нас просят. Именно таков механизм работы фишинга: имитируется доверенный источник информации, и от его имени приходит письмо клиенту, который открывает вложение или вводит на фишинговом сайте свои данные, после чего злоумышленник ворует деньги.

Другой вариант атаки – использование уязвимостей в мобильных приложениях для онлайн-банкинга. Примером является недавняя атака на клиентов «Сбербанка» (которую сам «Сбербанк», впрочем, отрицает). В СМИ появились сообщения о том, что неизвестные хакеры ограбили более 100 тыс. клиентов «Сбербанка», похитив в общей сложности свыше 2 млрд руб. Для организации атаки преступники воспользовались уязвимостью в устаревшей версии Android-приложения «Сбербанк Онлайн». Мобильное устройство пользователя заражалось (возможно, с помощью тех же методов социальной инженерии) трояном, который похищал средства с карт «Сбербанка», привязанных к телефонному номеру. При этом троян блокировал банковские SMS-сообщения о списании средств, поэтому пользователи долгое время оставались в неведении о том, что с их карт «ушли» серьезные суммы.

Если объектом атаки является юридическое лицо, цель злоумышленника – получить доступ к системе ДБО, к операциям, транзакциям либо финансовой информации. Наиболее распространенный способ атаки – как ни странно, применение методов той же социальной инженерии. Сотрудники компании-жертвы получают фишинговые письма или сообщения, содержащие вредоносное ПО во вложениях, и кто-то из них непременно попадается на удочку. Соответственно, в периметр компании проникает хакерское ПО.

На компании с серьезной системой защиты ориентированы более сложные атаки. Например, их сотрудникам засылается не сама вредоносная программа, а ПО, которое изучает инфраструктуру предприятия, применяемые средства защиты и отправляет злоумышленникам полученные данные. На их основе создается специализированное ПО, ориентированное на атаку непосредственно на эту компанию, которое учитывает все имеющиеся средства защиты и умеет их обходить.

Самые интересные объекты

Банк, конечно, несет финансовые или репутационные потери в случае любой атаки на клиентов, но его ущерб достигает пика именно тогда, когда атака направлена непосредственно на него. Ну а для злоумышленников именно банк является самым интересным объектом атаки.

Банки стараются не афишировать такие инциденты, но как компания, занимающаяся ИБ, мы знаем о многих случаях, не ставших достоянием общественности. Например, в одном небольшом банке произошло перенаправление транзакции объемом 400 тыс. долл. Операция оплаты налогов одним из клиентов была перехвачена и перенаправлена на другой счет. Нас попросили расследовать этот инцидент, и в процессе работы выяснилось следующее: на сервер ДБО была внедрена вредоносная программа, которая некоторое время «выжидала» крупную транзакцию и, выявив ее, просто подменила реквизиты получателя платежа.

Поскольку в создание банковских систем защиты вкладываются миллиарды долларов, сегодня злоумышленники редко достигают своих целей без серьезной подготовки и применения сразу нескольких методов воздействия. Внешние атаки часто сочетают в себе отвлекающие маневры, операции прикрытия, специально написанное под конкретную задачу ПО, поэтапное проникновение в систему и пр. Непосвященному такая атака кажется очень сложной, но для профессиональных хакеров это – вполне посильная задача. А в случае успеха затраты на организацию атаки возвращаются многократно.

В декабре 2014 г. был отмечен ряд атак, организованных по одной и той же схеме с учетом банковской специфики:

  • происходит хакерская атака на сеть банкоматов выбранного банка;
  • осуществляется DDoS-атака на систему Интернет-банкинга;
  • в социальных сетях распространяется паническая информация о бедственном состоянии банка, ограничениях на выдачу денег и т.п.

После этого в атаку, сами того не понимая, вовлекаются клиенты банка, и ее мощь многократно возрастает. Естественное желание клиента в такой ситуации – проверить состояние счета. Десятки тысяч клиентов заходят на сайт дистанционного банковского обслуживания и генерируют запросы, увеличивающие нагрузку на уже атакуемые ресурсы. Не получив доступа на сайт, пользователи пытаются сделать это снова и снова, что мешает ИТ-службам банка отличить запросы реальных клиентов от атакующих пакетов и восстановить работоспособность ИТ-системы. Многочисленные звонки в call-центр приводят к перегрузке линии и персонала; в очередной раз услышав «время ожидания ответа – сорок минут», клиенты бегут в банк и видят огромные очереди коллег по несчастью. Решив, что банк, действительно, находится в бедственном положении, они решают забрать деньги от греха подальше. Вот после этого банк действительно начинает испытывать трудности.

Еще одна тенденция – в последнее время проводятся постоянные атаки на банки из-за рубежа, как в случае с Центробанком. Такие атаки зачастую организуют «хактивисты» – политически мотивированные хакерские группировки, стремящиеся заблокировать работу ресурса, скомпрометировать его или похитить какую-либо важную информацию. Иногда это – действия специальных подразделений армий и разведок других государств, желающих получить секретные данные или получить контроль над информационной системой.

Противодействие сложным атакам также должно быть комплексным и всесторонним. Очевидно, что нельзя, поставив на окна решетки, не закрывать дверь в дом, и тот же принцип должен стать основой работы любого современного продукта для защиты информации. Самостоятельные решения, нацеленные на защиту только от одной угрозы (например, от DDoS-атак), неэффективны. Те или иные вторжения часто используются для сокрытия других атак, а следовательно, их отражение – не самоцель. Только комплексный подход поможет банкам справиться с современными угрозами ИБ и сохранить свои информационные, а главное, финансовые активы.

Тэги: 
Оцените материал:
Total votes: 141

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.