Ограбление на расстоянии: хакеры всё чаще атакуют банки ради утечки данных, а не кражи денег

В последние месяцы число кибератак на финансовую отрасль с использованием банковских троянов возросло. По оценкам экспертов интернет-безопасности из Positive Technologies, главной целью злоумышленников стали именно банки. Если же атака идет на обычных граждан, то мошенники по-прежнему представляются сотрудниками финучреждений, чтобы звучать убедительнее. По данным Bi.Zone, в первом полугодии 2024 года российскую финансовую отрасль атаковали 25% кибергруппировок (против 16% за весь 2023 год). Подробности — в материале «Известий».

Конфиденциальные деньги

По итогам первого полугодия 2024 года финансовая отрасль вошла в топ-5 наиболее атакуемых, сообщила «Известиям» руководитель исследовательской группы Positive Technologies Ирина Зиновкина. Интерес мошенников вызывает не кража денег у банка, а доступ к конфиденциальной информации. При этом 81% атак оказались успешными и привели к утечке информации.

— Эта тенденция объяснима: сложные атаки с целью кражи денег стали редкостью, ведь финансовые организации хорошо защищены. А более простых в реализации атак вымогателей и крупных утечек данных клиентов стало больше, — говорит Ирина Зиновкина.

По ее словам, злоумышленники сегодня не только продают базы данных, но и даже раздают их бесплатно, чтобы наказать банки за отказ от уплаты выкупа.

Как сообщили «Известиям» в Bi.Zone, в первом полугодии 2024 года российскую финансовую отрасль атаковали 25% кибергруппировок (против 16% за весь 2023 год).

Чаще всего в ход шли фишинговые письма, с помощью которых хакеры получали первоначальный доступ к инфраструктуре. При этом наиболее популярным вредоносным ПО по-прежнему остаются трояны удаленного доступа (RAT).

В последние годы фокус кибератак в России переместился с финансовых организаций на клиентов, сказал «Известиям» руководитель департамента Fraud Protection компании F.A.C.C.T. Дмитрий Ермаков.

— Например, в России практически прекратились целевые атаки на банки с выводом денег через сеть банкоматов, АРМ КБР, карточный процессинг или SWIFT, но вирусная активность, социальная инженерия и фишинг в финансовом секторе остаются на опасно высоком уровне, — подчеркнул эксперт.

Не стоит забывать, что во время геополитической турбулентности финансовый сектор является одной из основных целей. Такие атаки дестабилизируют бизнес, приводят к вымогательствам и наносят репутационный вред. Среди инструментов злоумышленников — DDoS, Deface, SMS-бомберы и техники различных переборов авторизационных данных.

Растущая активность мошенников влияет не только на репутационные, но и на финансовые потери банков: платежеспособные клиенты уходят в другие финорганизации, делая выбор в пользу более защищенных компаний. Кроме того, при краже часть потерь банк в определенном случае должен возместить, поясняет Дмитрий Ермаков.

— Что касается средств защиты, практически все они бессильны перед мошенниками, если жертва обмана поддается на манипуляции злоумышленников и сама отдает деньги: снимает средства со счетов, отправляет перевод, передает наличные курьеру и многократно подтверждает все операции, — добавил эксперт.

Оценочные данные по похищенным средствам публикует Центробанк. Например, в 2023 году банки предотвратили мошеннические хищения на 5,8 трлн рублей, отразив 34,8 млн попыток украсть деньги. Однако злоумышленникам удалось провести 1,17 млн успешных операций и украсть 15,8 млрд рублей.

Как хакеры крадут деньги: опыт экспертов по кибербезопасности

Главная цель хакерских группировок сегодня — создать хаос в финансовых потоках и всеми правдами и неправдами попытаться украсть деньги у физлиц и юрлиц, отметил генеральный директор компании-поставщика ПО PRO32 Игорь Мандик.

Руководитель направления информационной безопасности iTPROTECT Кай Михайлов уточняет, что целевые атаки требуют большой организованности, технической подкованности и больших финансовых вложений.

Как правило, первичное проникновение в инфраструктуру финансовых организаций происходит через внутреннего нарушителя и через фишинговый инструментарий.

Утечки, произошедшие в последние несколько лет, позволяют использовать данные из корпоративных аккаунтов: сотрудник, иногда не по своей воле, становится внутренним посредником многоступенчатых кибератак.

В то же время в России достаточно развитая законодательная база в области информационной безопасности, особенно для финансового сектора, напоминает инженер-аналитик лаборатории исследований кибербезопасности «Газинформсервис» Екатерина Едемская.

— Российские финансовые организации активно внедряют и используют современные технологии защиты информации, такие как системы обнаружения и предотвращения вторжений (IDS/IPS), антивирусное ПО, системы контроля доступа, системы мониторинга событий ИБ (SIEM) и другое, — сказала Едемская.

Генеральный директор Security Vision и эксперт АРПП «Отечественный софт» Руслан Рахметов отмечает, что хактивисты, как правило, не мотивированы в атаках финансово и поэтому, вероятно, могут применять вирусы-вайперы для удаления всей информации на зараженных устройствах (а не для продажи).

При этом описанные в отчете вирусы-вымогатели можно легко превратить в вайперы, уничтожив ключ сразу после шифрования информации на атакованном устройстве.

В целом хактивисты нацелены на вывод банковской инфраструктуры из строя и нанесение максимального ущерба, в том числе за счет простоя бизнес-процессов в результате DDoS-атак.

— Свое внимание атакующие могут переключить на смежные сектора: на страховые компании, негосударственные пенсионные фонды, финтех-компании и финансовых брокеров, — говорит Руслан Рахметов.

По его словам, потребителям по-прежнему нужно опасаться атак мошенников с применением методов социальной инженерии: именно этот способ хищения денег остается наиболее распространенным.

Заместитель гендиректора Staffcop («Атом безопасность» входит в ГК СКБ Контур) и эксперт АРПП «Отечественный софт» Юрий Драченин перечисляет, кому нужно быть настороже.

Это компании с большим количеством данных, которые используют устаревшие необновляемые системы инфобезопасности. Традиционно сфера финтеха находится в зоне повышенного риска, как и ритейл. Чем больше данных о компании, тем выше вероятность, что ее атакуют.

Руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch, эксперт АРПП «Отечественный софт» Андрей Арсентьев отмечает, что финансовая сфера России старается идти в ногу с технологическими изменениями. Банки и другие организации отрасли не только могут достаточно оперативно оценить преимущества новых технологий, но и хорошо представляют риски, связанные с использованием того или иного решения.

Натренированные

Алексей Выжанов, директор по кибербезопасности CyberFirst, объясняет, что российский финансовый сектор в последние годы существенно улучшил свои ИБ-практики, однако остаются еще направления для совершенствования. Это внедрение передовых технологий, таких как искусственный интеллект и машинное обучение, для прогнозирования и предотвращения атак; сотрудничество с правоохранительными органами; обмен информацией — в России не всегда налажен эффективный обмен сведениями о новых угрозах между финансовыми организациями.

Директор по информационной безопасности Т1 Облако Алексей Кубарев полагает, что наибольший интерес у нарушителей будут вызывать клиринговые центры для обработки банковских операций, а также крупнейшие российские финорганизации.

— Полагаю, потратив много ресурсов на поиски уязвимостей в их инфраструктуре и не найдя их, нарушители переключатся на менее защищенные средние и малые организации, у которых могут быть подобные узкие места, — говорит Алексей Кубарев. — Мощные DDoS-атаки на крупные финансовые учреждения никуда не денутся, определенный эффект от них всё равно останется (например, замедление обслуживания веб-банкинга для клиентов).

Более всего подвержены атакам потребители, пользующиеся услугой онлайн-кредитования, полагает основатель группы компаний «Анлим» Максим Овсянников. В этом случае задействуется атака классического типа — Man-in-the-middle, цель которой — сделать копию всех вводимых пользователем данных. По факту для этого не нужно ломать систему, достаточно просто поставить на сайт червя и получать информацию, пояснил эксперт.

В РКН, Росфинмониторниге, ЦБ, ФСТЭК на запросы «Известий» не ответили.