ИЛЛЮЗИЯ КОНТРОЛЯ

Хакеры меняют стратегию. Среди них все меньше искателей истины, и все больше — денег. Как банкам защититься от этой угрозы?

Хакеры меняют стратегию. Среди них все меньше искателей истины, и все больше — денег. Как банкам защититься от этой угрозы?

Именно целевые атаки сейчас представляют для банков наибольшую опасность — ущерб финансовых организаций от целевых атак в прошлом году вырос почти на 300%. Одна из таких атак стоила российскому банку 150 млн рублей, а общая сумма хищений выросла до 2,5 млрд рублей, посчитали в Group-IB — компании, занимающейся предотвращением и расследованием киберпреступлений. В этом году тенденция продолжится. Готовы ли к этому наши банки?

«Первые масштабные целевые атаки на российские банки мы зафиксировали еще в 2013 году, — говорит руководитель направления киберразведки Threat Intelligence, со-основатель Group-IB Дмитрий Волков. — Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, проводивших целевые атаки, то в 2015 году их было три, а в 2016 году — уже четыре».

Киберпреступники все чаще стали использовать международную банковскую систему SWIFT для перевода украденных денег. Первая атака случилась несколько лет назад, но за это время хакеры наработали практику, обросли опытом и теперь подобные удары стали происходить все чаще. Именно SWIFT был задействован при взломе Центрального банка Бангладеш. А в прошлом году 10 млн. долларов были похищены через SWIFT в одном из банков Украины. Информацию об инциденте распространила Information Systems Audit and Control Association (ISACA), однако название банка и подробности атаки не раскрывались.

Изобретательность хакеров развивается по двум направлениям: можно повышать cвои технические возможности, а можно правильно подойти к выбору жертвы. В качестве второго подхода в «Лаборатории Касперского» вспоминают группу хакеров, которые грабили компании, занимающиеся содействием в уходе от налогов. «В точности следуют лозунгу «грабь награбленное» — крадут деньги со счетов таких организаций, и при этом ведь никто не пойдет жаловаться. Находчиво», — говорит руководитель глобального подразделения по исследованию и анализу мошенничества «Лаборатории Касперского» Денис Горчаков.

Хакеры активно работают не только над тем, как больше украть, но и над тем, чтобы как можно дольше оставаться незамеченными. «Недавно мы расследовали дело о мистическом исчезновении денег из банкоматов, — рассказывает Горчаков. — Деньги исчезли, а следов физического повреждения банкомата или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома». В начале расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО.

Получив контроль над банкоматом, хакеры могли снять из него деньги в любой момент — буквально, нажав одну клавишу. Выпотрошить банкомат удавалось за считаные секунды, а по окончании операции вирус самоудалялся из банкомата.

Почти два года назад, в июне 2015 года, Банк России создал новое профильное подразделение — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, или FinCERT. К сожалению, Банк России оставил без ответа запрос Банки.ру об оценке защищенности финансовых компаний в стране и об устойчивости российской банковской системы перед киберпреступностью. «В целом видно, что к сложным вызовам большая часть банков не готова», — оценивает состояние российской банковской системы со-основатель Group-IB Дмитрий Волков.

Сами банкиры оценивают ситуаци. по-другому: нельзя сказать, что российские банки менее защищены от хакерских атак, чем их коллеги из-за рубежа. «Дело в том, что российские банки куда чаще сталкиваются с хакерскими атаками, чем банки Европы, правда масштабы бывают куда менее заметными, — говорит председатель наблюдательного совета АО Банк «Воронеж» Мурад Салихов. — Если банки ЕС и США тут же отсчитываются перед регуляторами от атаках, даже самых небольших, российские банки предпочитают не выдавать всю информацию сразу, поскольку в текущих условиях любой негативный информационный повод может стать причиной массового оттока вкладов». Именно поэтому хакеры часты используют банки РФ как полигон для испытаний, уверен Салихов.

Считается, что корпорации и банки вроде бы хорошо защищены, они тратят большие деньги на информационную безопасность, покупают новые технологии. Но зачастую начинают действовать, когда у них уже происходят инциденты. Почему так происходит?

«Основная причина подобной халатности — плохая осведомленность самих банков о шаблонах и тактике проведения целевых атак на финансовый сектор, — говорит Волков. — Они не понимают, как именно реализуются атаки, и поэтому не могут выработать адекватные меры противодействия. Вторая причина успеха целевых атак — излишняя вера компаний в то, что стандартные средства защиты, такие как лицензионный и обновленный антивирус, последняя версия операционной системы, использование межсетевых экранов (Firewall) или средств предотвращения утечек (DLP), остановят злоумышленников на одном из этапов развития атаки».

В Group-IB подчеркивают: расследования инцидентов показывают, что на зараженном компьютере практически всегда была установлена антивирусная защита популярных антивирусных производителей, а инфраструктура организации защищена системами обнаружения вторжений.

Куда движется хакерский мир? В компании Group-IB ожидают, что количество целевых атак на банки будет расти, и выделяют следующие ключевые тенденции в киберпреступности.

1. Профессиональные преступные группы, занимавшиеся атаками на юридических лиц, будут переориентироваться на банки. А проправительственные хакеры, как это было в истории с северокорейскими хакерами из Lazarus, станут атаковать финансовые институты для кражи денег.

2. Вырастет число инцидентов с участием русскоязычных хакеров. Получив успешный опыт в атаках на банки России и Украины, хакеры будут уходить в другие регионы мира.

3. Появятся новые сервисы и инструменты для целевых атак, в том числе те, что оказались в открытом доступе в результате утечек в ЦРУ и АНБ. Инструменты, которые будут использоваться для кражи из банков, будет сложно детектировать стандартными средствами.

4. Кроме систем управления банкоматами, киберпреступники будут стремиться получить более широкий доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

5. Преступники продолжат искать инсайдеров в банках для сбора информации и организации первичного заражения.

Денис Горчаков из «Лаборатории Касперского» полагает, что банкам следует ожидать атак на сегменты, связанные с удаленным обслуживанием клиентов: это направление сейчас активно развивается и там много уязвимых мест. «Благо, есть поле для разной компетенции атакующих: безопасность сервисов и мобильных приложений, неграмотность пользователей при работе с новыми технологиями, уязвимости бизнес-процессов на стыке традиционного и цифрового обслуживания», — перечисляет Горчаков.

И еще один важный момент, на который обращают внимание в «Лаборатории Касперского». Рынок киберпреступности растет не только вглубь, но и вширь. Сегодня средства взлома доступны даже неподготовленному человеку: достаточно заплатить процент за хищение или принять участие в группировке. «Киберпреступность хорошо развита и в регионах, где злоумышленники вполне успешно обчищают банкоматы, не обладая вообще никакими техническими навыками, используя готовые инструменты и руководства», — говорит Денис Горчаков.

Что делать банкам? Более тщательно отбирать сотрудников, советуют в Group-IB. А еще — устраивать «боевые учения» — самим периодически имитировать целевые атаки, фишинговые рассылки, в общем, доводить навыки реагирования до автоматизма.

Критически важно выстраивать свою безопасность равномерно, без оглядки на то, что сейчас ломают хакеры, убеждены в «Лаборатории Касперского». Эксперты компании говорят о том, что тренды в хакерском бизнесе меняются быстро: какое-то направление атаки может быстро пойти в рост, поскольку одна группа хакеров создаст новый вирус и начнет его распрстранят среди других хакеров. А может и пойти на резкое сокращение, если правоохранительным органам удасться арестовать преступников: это вынудит остальных залечь на дно.