Опасная транзакция: пять актуальных киберугроз для банков и их клиентов
Льву Хасису, первому заместителю председателя правления Сбербанка, прислали ссылку. Открылся сайт, точно повторяющий страницу одного из сервисов Google. Там уже был вписан логин Хасиса и ему оставалось только вбить свой пароль. «Что-то меня остановило», — вспоминает банкир. Хасис написал в техподдержку Google, где его опасения подтвердили: сайт оказался фишинговым. Киберпреступники используют их для сбора логинов и паролей, заражения вирусами компьютеров и смартфонов. Главная цель хакеров — банки и их состоятельные клиенты. По оценкам Банка России, ущерб кредитно-финансовых организаций лишь за 4 квартал 2015 года превысил 1,5 млрд рублей. К каким угрозам банкам стоит отнестись особенно серьезно, читайте в материале Forbes.
Целевые атаки на банки
Компьютеры сотрудников татарстанского «Алтын банка», казалось, сошли с ума: с экранов стала исчезать информация о транзакциях, а потом мониторы попросту погасли. 24 декабря 2015 года банк стал жертвой хакерской атаки. Накануне в сеть банка проник вирус, подменив в платежных поручениях клиентов банка получателей и их банковские реквизиты. В итоге около 60 млн рублей ушли на счета двух компаний, открытых в столичных банках, а оттуда — на счета 20 фирм в разных регионах России. После этого хакеры пытались уничтожить всю информацию о взломе и транзакциях.
Сейчас главная мишень киберпреступников — небольшие региональные банки, замечает директор департамента сетевой безопасности Group-IB Никита Кислицин. Сами целевые атаки, по его словам, стали изощреннее и практически всегда происходят с использованием методов социальной инженерии: например, сотрудники одного из банков получили на рабочую почту рассылку о вакансиях в Центробанке. Многие не удержались и открыли зараженное письмо, вирус начал распространяться по внутренней сети.
Социальная инженерия — один из самых надежных каналов для проведения целевой атаки, подверждает Юрий Сергеев, эксперт Центра информационной безопасности компании «Инфосистемы Джет». Результаты пен-тестов (тестов на проникновение) показывают, что даже из рассылки на 1000 человек найдутся минимум 7% людей, которые откроют опасное вложение и дадут злоумышленнику доступ к десяткам учетных записей, под которыми можно перейти к атакам внутри сети. «В 90% случаев, как показывают тесты, захватить учетную запись администратора удается в первый же день», — уверяет Сергеев.
Классическая целевая атака требует огромных затрат: преступники собирают сведения об оргструктуре банка, вычисляют, кому отправить зараженные вирусом фишинговые письма. «Прошлый год открыл новые эффективные способы быстрой монетизации ущерба при относительно недорогих методах «работы» хакерских групп», — замечает Эльман Бейбутов, руководитель направления Solar JSOC компании Solar Security.
В первую очередь, хакеры заражают многомилионную аудиторию взломанных web-сайтов. Заходя на такой сайт, человек скачивает себе вредоносных агентов троянских бот-сетей. Бот-агенты без всякого сопротивления со стороны антивирусов устанавливаются на зараженном компьютере и начинают сбор информации. «Если хакерам становится понятно, что бот установлен в банковском компьютере, то атакующий захватывает управление и далее проникает в сеть до рабочего места оператора клиента Банка России (АРМ КБР)», — говорит Бейбутов. Суть атаки на АРМ КБР в том, что осуществляется подмена файла с межбанковскими денежными транзакциями: с корреспондентского счета атакуемого банка деньги пересылают на счета в других банках, откуда выводятся.
Преступных группировок, работающих по такой схеме, становится все больше. Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, то в 2015 году известно стало уже о восьми группировках, специализирующихся на компаниях конкретных отраслей. Растет и ущерб.
Статистика Банка России показывает, что невнимательное отношение менеджмента кредитных организаций к вопросам информационной безопасности приводит к значимым финансовым потерям, говорит первый заместитель председателя Банка России Георгий Лунтовский. Такие банки сильно рискуют. «За последний квартал 2015 года лицензии лишились три кредитные организации, ранее подвергшиеся атакам», — заметил представитель Банка России.
Кражи у клиентов банка с помощью Android-троянов
«Это же очень удобно управлять своими деньгами с телефона, но Android позволяет своим пользователям и мобильным приложениям намного больше, чем другие мобильные ОС», — замечает Андрей Брызгин, руководитель направления аудита и консалтинга Group-IB. Этим пользуются киберпреступники. Более 80% смартфонов в мире работает на платформе Android, неудивительно, что большинство вирусов пишутся именно под нее.
«Платформа Android не является эталоном с точки зрения информационной безопасности, — замечает Даниил Чернов, руководитель направления Application Security компании Solar Security. — К тому же каждый производитель смартфона привносит свои изменения в операционную систему, и спустя какое-то время перестает выпускать обновления, которые в том числе, закрывают уязвимости. А пользователь продолжает пользоваться уязвимым устройством».
Все новые банковские трояны, написанные под Android, умеют похищать деньги автоматически. Они собирают данные банковских карт, и уже не важно, клиентом какого банка является владелец телефона. Зараженный трояном смартфон фактически шпионит за своим владельцем: передает хакерам историю звонков и смс, доступ к любым файлам на телефоне и информации в облачном хранилище, следит за геолокацией.
Сама атака выглядит так: чаще всего, троян идет в «нагрузку» вместе с условно полезной программой, например, игрушкой, календарем, фитнес-приложением и т.д. «Если пользователь не глядя дает этой программе права, которые она просит, то он сам подписывает себя на потерю денег, — говорит Даниил Чернов из Solar Security. — Стоит задуматься, когда игрушка или календарь просят права, например, на чтение и отправку СМС-сообщений». В последнее время также набирает популярность адресная доставка трояна. Злоумышленник обращается к пользователю, предлагая открыть что-то по ссылке, которая ведет к файлу с трояном. Например, жертва продает машину, публикует объявление. Злоумышленник высылает жертве сообщение, в котором предлагает обменять свой автомобиль на автомобиль пользователя, высылая ссылку, по которой доступна «детальная информация» о машине.
После заражения деньги выводятся со счета. Во-первых, многие приложения мобильного банка содержат уязвимости, которые позволяют трояну получить доступ к логину, паролю, и даже данным банковской карты. Используя эти данные можно увести деньги со счета пользователя. Во-вторых, если у пользователя подключен СМС-банкинг, все эти операции можно провести, отправляя СМС.
Если через СМС-банкинг невозможно отправить деньги на сторонний счет, то в этом случае настраивается автопополнение баланса счета, и отправляются смс на короткие номера, в результате чего деньги списываются со счета мобильного в пользу злоумышленника, после чего баланс пополняется. И так по кругу.
Все операции происходят в фоновом режиме: то есть пользователь не видит входящие или исходящие СМС-уведомления о совершенных операциях. Он лишь замечает внезапную нехватку денег на счете, но с точки зрения банка это выглядит как легитимные операции, совершенные пользователем дистанционно. Обе стороны предъявляют потом друг другу взаимные претензии. Бывает, что банк компенсирует потери, но чаще всего потери несет пользователь.
По оценкам Group-IB, ущерб от инцидентов с Android-троянами у физических лиц в прошлом году составил более 61 млн рублей, превысив ущерб от троянов для персональных компьютеров. Количество инцидентов выросло в 3 раза.
«Необходим контроль в отношении разработчиков: так как культура написания мобильных
платежных приложений пока чрезвычайно низка, особенно в России, — говорит Брызгин из Group-IB. — Вредит безопасности и слабый контроль приложений со стороны держателей платформы: даже в официальном магазине ПО мы нередко обнаруживаем фишинговые программы и программы с внедрённым вредоносным функционалом».
Весьма эффективны, по его словам, превентивные меры защиты, когда банки самостоятельно проводят или заказывают на стороне мониторинг фишинговых и вредоносных приложений, или внедряют антивирусные движки в сами приложения мобильного банкинга. Пользователям смартфонов с Android специалисты Solar Security советуют не совершать установку программ из непроверенных источников, поставить и регулярно обновлять антивирус, а при скачивании программ внимательно смотреть, какие права запрашивает программа.
Утечки, внутреннее воровство и вредительство
В марте 2015 года в Казань из Москвы прилетела делегация юристов, представляющих нескольких крупных брокерских компаний. Им предстояло отстаивать интересы своих клиентов в суде против местного «Энергобанка», подконтрольного брату депутата Госдумы Айрату Хайруллину. Представители банка через суд пытались доказать, что на них была совершена хакерская атака, и вернуть деньги со счетов брокеров.
Случилось вот что: 27 февраля 2015 года казанский «Энергобанк» разместил на бирже пять заявок на покупку $437 млн и 2 заявки на продажу $97 млн по нерыночному курсу. Эти действия вызвали аномальную волатильность в течение 6 минут, что позволило совершить сделку на покупку долларов по курсу 59,0560 и через 51 секунду продать по курсу 62,3490 за $1. По оценке банка, ущерб составил 244 млн рублей. Теперь банк доказывает, что деньги были потеряны из-за хакерской атаки. Впрочем, существует и версия мести уволенного сотрудника, ее придерживается, например, ЦБ. «Мы не выявили, что кто-то эти деньги получил. Это была атака, скорее всего, месть за увольнение одного из сотрудников», — говорил первый зампред ЦБ Сергей Швецов.
Расследование Group-IB показало, что во внутренней сети банка был вирус Corkow Trojan (так же известный как Metel), который позволяет злоумышленникам удаленно запускать программы, управлять клавиатурой, мышкой параллельно с оператором системы. Через 14 минут после первой заявки хакер дал команду Corkow на удаление своих следов и вывода системы из строя.
Вирусом Corkow было заражено 250 000 компьютеров и более 100 финансовых организаций по всему миру. За счет наличия доступа к популярным в России веб-сайтам ежедневно злоумышленники могли перенаправлять на свои серверы до 800 000 посетителей в сутки (это ежедневная аудитория всех сайтов, к которым у хакеров был доступ). Но делали они это более избирательно и не со всех сайтов одновременно. Установленный троян Corkow собирал данные о системе и пересылал их на свой сервер управления. После этого хакерам нужно было лишь найти среди общей массы ботов те, которые установлены в банках. «Сенсоры Bot-Trek TDS установлены в десятках финансовых учреждений и за последний год мы детектировали заражения Corkow у 80% защищаемых банков», — говорит директор департамента сетевой безопасности Group-IB Никита Кислицин.
В кризис банки оптимизируют численность сотрудников. Вместе с сокращениями растет риск утечек: уходя из банка, некоторые сотрудники попытаются прихватить с собой максимально возможное количество конфиденциальной информации, чтобы монетизировать ее у конкурентов или у киберпреступников. Не стоит забывать и о мошенничестве. Некоторые сотрудники банка снимают деньги со «спящих» счетов, например, у пожилого клиента банка, по которым давно не было активностей, говорит Юрий Сергеев, эксперт Центра информационной безопасности компании «Инфосистемы Джет». Собрав деньги с нескольких десятков счетов, сотрудник исчезает. Многие банки, чтобы минимизировать риски, стараются тщательнее контролировать удаленный доступ и действия своих сотрудников в офисе, а также их рабочие коммуникации.
Утечки и прочая «внутренняя кража данных» относится к самым «непрозрачным» для экспертов видам угроз, говорит Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. В отличие от хакерских атак — технически сложных для понимания обывателя и руководителей компаний — сценарий «менеджер уволился с клиентской базой» очевиден и вызывает наибольшие опасения.
Атаки на банкоматы
«Потрошение банкоматов» иногда выглядит весьма эффектно: оператор «нажимает кнопочку», а человек, стоящий у нужного банкомата, подставляет мешок к щели выдачи и деньги сами вылетают из банкомата.
Банкоматы по-прежнему беззащитны перед киберпреступниками: в отличие от надежного сейфа с банкнотными кассетами, физической защите электронных «мозгов» уделяется на порядок меньше внимания. Получив возможность подключиться к внутренним коммуникациям, злоумышленник может захватить полный контроль, в том числе, и над диспенсером — устройством выдачи купюр.
«По итогам прошлого года, виден существенный рост атак на АБС и банкоматы, — рассказывает Глеб Чербов, заместитель директора департамента аудита защищенности Digital Security. — Есть все основания полагать, что в нынешнем году ущерб от такого рода инцидентов будет внушительным, и легко может превысить 25 млрд рублей, если банки не примут срочные меры».
Такая атака достаточно примитивна: механически производится вскрытие верхней части, потом атакующий либо подключает дополнительное устройство в разрыв управляющих линий, либо с внешнего носителя инфицирует центральный модуль. Известны так же и случаи, когда взлом банкоматов производился не физически, а из уже скомпрометированной сети банка, открывая для мошенников возможность удаленного управления и получения денег.
Есть и неожиданный пример мошенничества: киберпреступники, используя методы социальной инженерии, проникли во внутреннюю сеть банка, внедрили вредоносное ПО, захватили контроль над рабочим местом операциониста. Другие сняли с карты несколько десятков тысяч рублей. После снятия суммы злоумышленник, завладевший рабочим местом, произвел операцию возврата денег на карту. И так много раз. В результате, с нескольких карт в разных банкоматах через снятие и возврат было похищено полмиллиарда рублей.
Атаки на партнеров банков
В эпоху облачных технологий и аутсорсинга у хакеров больше нет необходимости взламывать банк напрямую, чтобы заполучить финансовую информацию по конкретному клиенту или сделке. Достаточно взломать одного из многочисленных партнеров и контрагентов, у которых есть доступ к сделке: адвокатов, финансовых аудиторов, консультантов или даже ИТ-компании, обслуживающих жертву.
«У кого-то наверняка найдется копия нужной информации на жестком диске или в почтовом ящике, а взломать небольшую компанию — в десятки раз проще и дешевле чем атаковать банк напрямую», — говорит Илья Колошенко, основатель и гендиректор швейцарской компании High-Tech Bridge SA. По его словам, в Европе наблюдается бум взломов сайтов адвокатских контор, которые работают и с банками.
Чаще всего все атаки подобного рода, начинаются со взлома веб-сайта жертвы. Безопасностью таких вот сайтов-«визиток» никто практически не занимается. Этим и пользуются злоумышленники. За 15-20 минут взламывается веб-сайт, создается легитимная страница, копирующая дизайн и содержание сайта. На эту страницу помещается exploit pack, или говоря проще — вирус, который заразит компьютер или мобильное устройство жертвы после захода на страницу. Заставить жертву кликнуть проще простого. Достаточно найти сотрудника адвокатской конторы в соцсетях, посмотреть на его интересы и активность. Получив письмо от старого знакомого с совершенно легитимным и логичным вопросом (например, по открытым вакансиям в компании) и легитимную ссылку на сайт своей фирмы, 99% кликнут на нее, не раздумывая. А большая часть внутренних систем безопасности легко пропускает трафик на корпоративный сайт, не видя в нем угрозы. Стоит взломать один компьютер внутри корпоративной сети — и оборона пала. При этом затраты на атаку незначительны.
Malware для удаленной компрометации устройства и трояны, для систем которые давно не обновлялись, можно найти в интернете бесплатно. Для систем, где патчи (программы-обновления, закрывающие дыру) ставятся с небольшими задержкам, цена вопроса — $1000-2000. А для полностью обновленных систем — $10 000-50 000. «Это все равно в десятки раз дешевле, чем ломать банк в лоб. И куда менее рисковано для злоумышленика — шансы, что такая жертва начнет расследование, и вообще заметит атаку, равны нулю.Так что будущее за атаками на партнеров и третьих лиц обладающих нужной информацией, через их собственные веб-сайты», — полагет Колошенко.
Кибермошенники «живут» в условиях жесточайшей конкуренции, причем не только между собой, но и с правоохранительными органами, и в результате такого естественного отбора на «криминальной стороне» оказываются хорошо оплачиваемые профессионалы высочайшего класса, замечает Дмитрий Кузнецов из Positive Technologies. В итоге ни крупный бизнес, ни органы государственной власти пока не могут эффективно противодействовать хорошо подготовленным и скоординированным кибератакам.
Что делать банкам? «Проводить мониторинг защищенности своих информационных систем и оперативно исправлять выявленные проблемы, — считает Кузнецов. — А во-вторых, быть в постоянной готовности к таким атакам, иметь и персонал, сравнимый по квалификации с атакующими, и технические средства, способные выявлять такие атаки. Правда, все это требует как серьезных затрат, так и непростого выбора между безопасностью и прибыльностью своих услуг».