Информационная безопасность в банках
 
2018/07/03 11:14:11

Информационная безопасность в банках

Мошенничество по текущим счетам не только подразумевает использование полного лимита овердрафта держателя счета, но и зачастую открывает двери для последующей мошеннической деятельности. Преступники могут использовать информацию, полученную в результате успешной кражи ваших персональных данных, для последующих махинаций с другими финансовыми продуктами, такими как потребительские кредиты или кредитные карты.

Содержание

Политика ЦБ в сфере защиты информации в банках

Основная статья: Политика ЦБ в сфере защиты информации в банковской системе

Какие стандарты по информационной безопасности затрагивают компании финансового сектора в РФ?

  • СТО БР ИББС-1.0-2014
  • Письмо Банка России от 24 марта 2014 г. №49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
  • Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств …»
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».
  • Закон о Критической информационной инфраструктуре
  • 152-ФЗ «О персональных данных»
  • PCI DSS
  • ПП № 1119 `Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных`
  • Положение Банка России от 24 августа 2016-го года №552-П "О требованиях к защите информации в платежной системе Банка России"

А также

  • Требования ФСБ (для обладателей лицензий на криптографию)
  • 149-ФЗ «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ»
  • 63-ФЗ «Об электронной цифровой подписи»
  • 98-ФЗ «О КОММЕРЧЕСКОЙ ТАЙНЕ»
  • Гражданский кодекс
  • Уголовные кодекс
  • КоАП РФ

Потери банков от киберпреступности

Основная статья: Потери банков от киберпреступности

Единая биометрическая система (ЕБС)

Основная статья Единая биометрическая система идентификации

Страхование кибер-рисков

Основная статья Страхование кибер-рисков

2018

Минюст обязал банки проводить пентесты и аудит кибербезопасности

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного оборудования. Документ подписало летом 2018 года Министерство юстиции Российской Федерации. Само собой, соответствие этим требованиям ляжет финансовым грузом не только на плечи банков, но также и на плечи их клиентов. Таким образом, поправки в положение ЦБ 382-П наконец приобрели завершенный вид и были зарегистрированы Минюстом. 26 июня, два дня назад, ЦБ направил банкам этот документ. Теперь кредитным организациям придется использовать программное обеспечение, сертифицированное ФСТЭК.

Специалисты считают, что в некоторых случаях банки не уделяют сертификации должного внимания, что приводит к последующему обнаружению уязвимостей в программах. Анализ защищенности могут себе позволить лишь те финансовые организации, в штате которых имеются сильные ИБ-специалисты. Пентесты теперь, согласно документу, будут проводиться ежегодно, а раз в два года кредитным организациям придется осуществлять внешний аудит кибербезопасности. Основная озабоченность в данной ситуации — рост расходов. Центробанк же считает, что расходы не будут чрезмерными.

Банки РФ получили возможность блокировать операции по снятию средств через системы ДБО

Госдума РФ 5 июня 2018 года одобрила в третьем чтении правительственный законопроект, направленный на противодействие хищению денежных средств при совершении операций с использованием систем дистанционного банковского обслуживания (ДБО).

Документ устанавливает порядок действий банков при выявлении признаков нелегитимных транзакций — то есть, переводов средств, совершаемых без ведома и согласия владельца счёта. За банком или оператором по переводу денежных средств закрепляется обязанность приостановить на срок не более двух рабочих дней исполнение распоряжения, а также заблокировать на такой же срок электронное средство платежа, если обнаружены признаки совершения перевода денежных средств без согласия клиента.

Эти признаки определяются Центральным банком РФ. Наряду с этим, банку предлагается предоставить право совершать аналогичные действия при выявлении дополнительных признаков совершения перевода денежных средств без согласия плательщика — их банки будут вправе устанавливать самостоятельно в соответствии с требованиями ЦБ.

После приостановки перевода денежных средств и блокировки электронного средства платежа банк будет обязан незамедлительно запросить у клиента подтверждение о возможности исполнения платежного поручения (возобновления использования электронного средства платежа). При получении подтверждения клиента банк обязан будет исполнить распоряжение (возобновить использование электронного средства платежа) незамедлительно, при неполучении — совершить аналогичные действия по истечении двух рабочих дней.

Кроме того, вводится особый порядок действий банка, нацеленных на возврат денежных средств законному владельцу в случае осуществления несанкционированного списания со счета клиента. Указанный порядок предназначен только для защиты юридических лиц: для физических лиц процедура возврата средств была закреплена более ранним законом.

Законопроект закрепляет полномочия ЦБ по формированию и ведению базы данных о случаях совершения перевода денежных средств без согласия клиента и определению порядка направления и получения операторами по переводу денежных средств, операторами платежных систем и операторами платежной инфраструктуры информации из указанной базы данных.

«
Банковская система во всём мире несёт колоссальные убытки из-за действий кибермошенников, крадущих средства со счетов физлиц и организаций, — отметил Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Злоумышленники постоянно совершенствуют свои инструменты, используемые для хищений, однако нелегитимные транзакции всегда имеют определённые индикаторы, по которым их можно выявить. Предлагаемый законопроект регламентирует процедуры, которые необходимо предпринимать, если происходит подозрительная транзакция. Вопрос пока только в том, насколько грамотно будут составлены списки признаков таких транзакций — на уровне ЦБ и отдельных банков.
»

Документ вступит в силу по истечении 90 дней после дня его официального опубликования; по-видимому, осенью 2018 года он уже будет действовать.[1]

ЦБ готовит стандарт обеспечения ИБ для финорганизаций

Центробанк России 3 мая 2018 года опубликовал проект стандарта «Обеспечение информационной безопасности финансовых организаций Российской Федерации. Технология подготовки, направления и форматы электронных сообщений для информационного обмена с Банком России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (СТО БР ИБФО-1.5-2018). Как указывается в пояснительной записке к документу, проект стандарта разработан с целью повышения достоверности данных о подобных событиях. Подробнее здесь.

ЕЦБ привлечет хакеров для проверки кибербезопасности финансового сектора

Европейский Центробанк (ЕЦБ) объявил в мае 2018 года о запуске программы проверки на кибербезопасность банковской системы. Как сообщает «Коммерсантъ» со ссылкой на заявление банка, тестировать системы на прочность будут штатные сотрудники, а также специально нанятые команды хакеров, которые попытаются обнаружить недочеты, моделируя реальные попытки взлома.

Соответствующий проект называется «Европейская программа по отражению угроз с использованием специальных экспертов, атакующих систему извне» (European Framework for Threat Intelligence-based Ethical Red Teaming — TIBER-EU). Программа носит рекомендательный характер — в ЕЦБ подчеркивают, что страны-члены ЕС могут сами решать, когда и как проводить проверки своих финансовых учреждений.

В ходе тестов предлагается использовать «полный спектр приемов, которые применяют реальные хакеры». В частности, ЕЦБ предлагает подвергнуть условным кибератакам критически важные системы финансовых учреждений.

По итогам проверок будут даны рекомендации по совершенствованию конкретной системы безопасности того или иного финансового учреждения, уточнили в ЕЦБ. При этом в пояснениях к программе TIBER-EU говорится, что «власти будут признавать прохождение тестов только в том случае, если в них будут участвовать не только внутренние специалисты, но и внешние стороны».

Хищение с банковских карт стало уголовно наказуемым преступлением: Госдума

Законопроект, ужесточающий наказание за кражу средств с банковских карт, Госдума приняла во втором, окончательном чтении. Кража средств с банковских карт отныне будет считаться мошенничеством — соответствующие поправки появятся в Уголовном кодексе РФ. За такое преступление нарушителям грозит до 6 лет тюрьмы[2].

Чтобы избежать сурового наказания до сего дня злоумышленники списывали деньги небольшими суммами, однако, общая сумма хищения становится сопоставимой с тяжкими преступлениями , в связи с чем депутаты решили ужесточить наказание и сделать его уголовным.

Кроме того, если мошенники при краже средств воспользуются чужим электронным средством платежа, за подобное деяние им будет грозить до трех лет лишения свободы.

Positive Technologies: веб-приложения банков наиболее уязвимы

Специалисты Positive Technologies подготовили статистику по уязвимостям веб-приложений, которые были исследованы в рамках работ по автоматизированному анализу защищенности с применением PT Application Inspector в 2017 году.

По результатам автоматизированного анализа исходного кода было установлено, что все веб-приложения имеют уязвимости, причем всего лишь в 6% исследованных систем отсутствуют уязвимости высокой степени риска.

Наибольшему риску, как и следовало ожидать, подвержен финансовый сектор (его доля составляет 46% от общего количества исследованных веб-приложений). Во всех приложениях банков и других финансовых организаций были найдены уязвимости высокой степени риска.

Финансовые, а также государственные организации, отмечают эксперты Positive Technologies, наиболее заинтересованы в анализе исходного кода, так как их веб-ресурсы являются приоритетными целями для злоумышленников, что подтверждается регулярными аналитическими отчетами компании.

Автоматизированный анализ защищенности с применением PT AI показал, что все протестированные веб-приложения содержат уязвимости различной степени риска. При классификации уязвимостей по степени риска было установлено, что большая их часть (65%) относится к среднему уровню опасности, 27% — к высокому.

Самой распространенной уязвимостью, выявляемой при автоматизированном анализе исходного кода приложений, является «Межсайтовое выполнение сценариев», с помощью которой злоумышленник может проводить фишинговые атаки на клиентов веб-приложения или заражать их рабочие станции вредоносным программным обеспечением (встречается в 82% протестированных систем).

На основании анализа последствий от эксплуатации выявленных в веб-приложениях уязвимостей специалисты Positive Technologies составили рейтинг угроз безопасности. Самая распространенная угроза — это возможность проведения атак на пользователей веб-приложения (ей подвержены 87% банков и все без исключения государственные учреждения).

Как подчеркнули в Positive Technologies, большинство пользователей таких веб-ресурсов очень плохо осведомлены в вопросах информационной безопасности и легко могут стать жертвами злоумышленников. Кроме того, среди веб-ресурсов госучреждений распространены и другие критически опасные уязвимости. Например, при исследовании веб-приложения администрации одного из муниципальных образований была обнаружена уязвимость высокой степени риска «Внедрение SQL-кода», с помощью эксплуатации которой возможно получить чувствительную информацию из базы данных.

Уязвимости, проводящие к отказу в обслуживании, представляют наибольшую проблему для интернет-магазинов, так как сбой в работе веб-приложения для организации, занимающейся электронной торговлей, напрямую связан с финансовыми потерями. Кроме того, чем популярнее интернет-магазин, тем больше клиентов посещают его каждый день и тем вероятней, что злоумышленник попытается использовать уязвимости данного веб-ресурса для атак на его пользователей.

«
Веб-приложения являются одной из основных мишеней для злоумышленников, потому что большое число неисправленных уязвимостей и простота их эксплуатации помогают атакующим успешно достигать своих целей — от кражи чувствительной информации до доступа к внутренним ресурсам локальной вычислительной сети, — отметила Анастасия Гришина, аналитик Positive Technologies. — Важно понимать, что большинство уязвимостей можно выявить задолго до атаки, а анализ исходного кода веб-приложений позволяет обнаружить в несколько раз больше критически опасных уязвимостей, чем тестирование систем без исследования кода.
»

FinCERT: главные факты о финансовом мошенничестве в России

Как стало известно в феврале 2018 года, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ выпустил обзор мошеннических финансовых операций в России за 2017 год.

Первая удачная атака через SWIFT

Согласно обзору, в 2017 году хакерам впервые удалось успешно атаковать российский банк через систему SWIFT и похитить при этом 339,5 млн рублей. По информации "Ведомостей" и "Коммерсанта", жертвой атаки стал банк "Глобэкс". Президент финансовой организации Валерий Овсянников подтвердил, что "была попытка атаки", но отметил, что средства клиентов не пострадали. Сумму хищения банк раскрыл в конце декабря 2017 года: хакеры смогли вывести около $1 млн, но большую часть средств удалось заблокировать и вернуть.

В целом, по словам экспертов, использование канала SWIFT необычно для России. Как правило, хакеры используют для вывода средств карты. В мировой практике эту систему используют намного чаще.

Мошенничество со счетами юрлиц

В 2017 году со счетов компаний пытались похитить средства 841 раз. При этом объем таких операций за 2017 год снизился на 17,4% до 1,57 млрд рублей. Вернуть удалось чуть больше половины этой суммы.

Наибольший интерес для мошенников представляют суммы от 100 тысяч до 1 млн рублей. На этот сегмент приходится половина мошеннических операций со счетами компаний. Чуть более трети — на сегмент от одного до десяти миллионов.

Самым популярным способом похищения денег является внедрение вредоносного кода, так как операции в большинстве своем совершаются со стационарных компьютеров.

Атаки на карты

Согласно данным обзора FinCERT, средняя сумма мошенничества с картами в 2017 году в России составила 3 тысячи рублей. Этот показатель снизился, как и объем операций злоумышленников с картами, выпущенными в России, который в 2017 году составил около 1 млрд рублей.

Чуть менее половины операций по российским банковским картам проходит за пределами России. При этом абсолютный лидер по количеству и объему мошеннических операций с использованием банковских карт в России — Москва, отмечается в обзоре.

Возможным объяснением снижения интереса к хищениям с банковским карт, по мнению экспертов, могло бы стать все более активное развитие криптовалют и, как результат, переключение внимания мошенников на них. Однако такая тенденция может оказаться недолгой. Законодательное регулирование рынка криптовалют может привести к росту мошеннических операций, полагают в FinCERT.

«
Законодательное регулирование соответствующего рынка (криптовалют — прим. TAdviser) может снизить его привлекательность для злоумышленников, что, возможно, повлечет за собой повышение их активности в области дистанционных платежных сервисов и, как следствие, увеличение количества и объема несанкционированных операций, — говорится в обзоре.
»

Как оказалось, многие россияне и компании предпочитают не обращаться в правоохранительные органы в случае мошенничества с их банковской картой. Так, в случае с 97% несанкционированных операций с использованием карт либо точно известно, что обращения в правохранительные органы не было, либо о таком обращении нет никаких данных.Только 20% юрлиц, сталкивающихся с мошенничеством, обращались в правоохранительные органы.

Атаки на банкоматы и терминалы

Согласно статистике, интерес мошенников к ним снижается. Так, объем незаконных операций с ними сократился на треть до 230,7 млн рублей. А ущерб от действий мошенников составил 42 млн рублей.

По информации FinCERT, в основном используются несколько способов взлома банкоматов: подключение к аппаратам устройств, позволяющих ими управлять, удаленное управление после заражения вирусом и физическое воздействие на них (например, взрыв).

Внимание злоумышленников переключилось на CNP-транзакции (англ. Card not present transaction), при которых держатель карты физически может не присутствовать во время и в месте проведения оплаты. Объем последних несущественно (примерно на 1,5%), но вырос, составив 726,4 млн рублей.[3]

Хакерская атака на банкоматы

Киберпреступники атакуют американские банкоматы при помощи так называемой техники «jackpotting» (от англ. jackpot — самый крупный выигрыш в лотерее, джекпот). Об этом в конце января 2018 года предупредили компании Diebold Nixdorf и NCR, крупнейшие в мире производители банковских автоматов (АТМ). Подробнее здесь.

2017

Исследование TAdviser и VMware

Компания VMware представила в декабре 2017 года результаты исследования крупнейших финансовых организаций, проведенного совместно с аналитическим центром TAdviser. Согласно отчету, больше половины (52%) банков и страховых компаний России и СНГ увеличили бюджет на информационную безопасность в 2016-17 г. в связи с ростом киберугроз и активности вредоносных программ[4].

Исследование еще раз подтвердило, что за последний год количество угроз информационной безопасности для корпоративного сектора выросло значительно — это подтверждают 80% опрошенных финансовых организаций. Лишь 16% зафиксировали сохранение прежнего уровня киберпреступности. Репутационные и финансовые потери (в том числе, упущенная выгода) — наиболее критические последствия от инцидентов ИБ в финансовых организациях, считают около 50% опрошенных. Поэтому в условиях роста киберугроз более половины (52%) компаний увеличили бюджет на средства защиты.

Почти треть респондентов (28%) также опасаются мер со стороны регуляторов (например, отзыва лицензий) в результате успешной атаки или утечки данных. Однако какими бы ни были последствия, ни у кого нет сомнений в том, что они неизбежны.

Банки активно предлагают своим клиентам возможность онлайн-взаимодействия, например, через онлайн-банкнинг и мобильные приложения. Поэтому неудивительно, что среди наиболее распространенных угроз компании финансового сектора отметили DDoS-атаки (28%). Недоступность мобильного или онлайн-банка даже в течение нескольких часов может значительно испортить репутацию банка или привести к прямым финансовым потерям. Среди других угроз респонденты отметили фишинг (26%) и атаки шифровальщиков (10%).

Цифровая трансформация банковского бизнеса также подразумевает перевод вычислений в облако. Например, по данным исследования VMware[5], в США 81% респондентов из банков с активами в 100 млрд долларов и более и 68% банков с активами от 15 до 100 миллиардов долларов в настоящее время осваивают облачные вычисления. Однако у финансовых компаний в России есть серьезные опасения в связи с облачной моделью. Так, более двух третей (70%) считают потеряю или хищение данных главными рисками при миграции в облачную среду. С большим отрывом респонденты отметили простои по вине провайдера (26%).

Использование мобильных устройств для решения рабочих задач становится нормой и для самих сотрудников банков. Однако больше половины финансовых организаций (53%) не используют никаких решений по управлению мобильными устройствами (MDM/EMM), что в результате может привести к утечке корпоративных данных.

Опасность для бизнеса состоит в том, что растет не просто количество и масштаб атак — все чаще злоумышленники используют неизвестное вредоносное ПО. Это зловреды, которые не может отследить традиционный антивирус, потому что данных о них еще нет в базах ИБ-компаний. Эффективным ответом на эту новую угрозу является модель «нулевого доверия», которая стала возможной благодаря использованию программно-определяемых сетей (Software-Defined Networks, SDN) — она реализована в решении VMware NSX. Согласно опросу, половина банков (50%) и страховых компаний ориентируются на модель «нулевого доверия» при построении ИБ-систем, однако лишь 4% респондентов уже развернули программно-определяемые сети. К счастью, почти половина организаций (40%) подтверждают свои планы использования SDN.

«В современной цифровой экономике данные являются основным активом банков и страховых компаний. Их утечка или несанкционированный доступ к ним может привести к критическим последствиям для всей организации. Технологии SDN (программно-определенных сетей) призваны помочь нашим заказчикам ответить на эти вызовы в области информационной безопасности, — говорит Александр Василенко, глава представительства компании VMware в России и СНГ. — Стратегия информационной безопасности VMware совместно с партнерскими решениями позволяет обеспечить встроенную защиту на всех уровнях сетей, облаков и конечных устройств. Например, благодаря технологии микросегментации VMware NSX в случае взлома одного сегмента сети можно остановить распространение эпидемии на остальные сегменты. Этот подход позволяет существенно минимизировать ущерб, даже если злоумышленникам уже удалось проникнуть в вашу сеть».

В Google Play бум троянцев, маскирующихся под мобильные приложения банков

Group-IB в конце ноября 2017 года отметила волну массового распространения троянцев, маскирующихся под мобильные приложения ведущих банков страны. Специалисты Group-IB блокируют ресурсы, с которых идет распространение этих приложений, но их объем постоянно растет.

Трояны, предназначенные для мобильных устройств под управлением ОС Android, распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. При этом эксперты Group-IB отметили высокое качество программ-подделок, что сбивает с толку многих пользователей, не обращающих внимание на подозрительные «мелочи». Подробнее здесь.

Исследование Qrator Labs и Валарм

Работы в рамках настоящего исследования проводились в формате полевого опроса. Респондентам предлагалось ответить на вопросы анкеты. Опрос был организован среди банков и платежных систем, работающих в России. В выборку включены банки из рейтинга ТОП 200 по размеру активов.

Бюджет на ИБ

Отрасль информационной безопасности закономерно продолжает расти. По данным проведенного опроса, более трети (32%) респондентов из финансовой отрасли подтвердили увеличение своего ИБ-бюджета в 2016 г., а еще 39% отметили сохранение инвестиций в безопасность в прежнем объёме.

Заметно, что рост ИБ-бюджетов становится напрямую связанным с практической составляющей: финансовые организации планируют увеличение расходов на безопасность, оказавшись перед лицом реальной угрозы. Это примечательно по двум причинам: в то время как формальное соответствие требованиям регуляторов перестаёт быть основным драйвером роста, тем не менее, проактивная тактика защиты и планирование ИБ-архитектуры на основе, по крайней мере, тестирования на проникновение (или пентеста) всё ещё таким драйвером не является.

13% респондентов сообщили, что бюджет на ИБ в их организациях в 2016 г. несколько снизился. При этом опрошенные в целом отмечают отсутствие связи между снижением бюджета и реальным уровнем угроз – причины снижения ИБ-бюджетов в основном лежат в иной плоскости и не зависят от состояния и вызовов дисциплины ИБ. По сути, перед заметной частью департаментов ИБ в 2016 году была поставлена задача оптимизации расходов при сохранении и даже повышении требуемого уровня защищенности от внешних неблагоприятных условий, хотя в целом по индустрии тенденция к росту бюджетов на данный момент сохраняется.

Замена используемых средств защиты

Методы защиты, внедряемые ранее, сегодня обеспечивают недостаточный уровень безопасности: выросли угрозы по уже существующим направлениям, появились и новые риски.

В подавляющем большинстве случаев основной стимул для обновления инфраструктуры ИБ – это внешняя активность: инциденты, связанные с демонстрацией недостаточной защиты и проблемами, которые организованы либо «черными шляпами» – взломщиками, либо «белыми» – тестировщиками. Более четверти респондентов видят для себя необходимость в замене используемых средств защиты при переходе на новые инфраструктуры (облака, микросервисы и пр.), где используемые решения перестают быть эффективными.

Заметную роль при принятии решения об обновлении используемых средств защиты играет вопрос происхождения закупаемых продуктов: около 13% респондентов ответили, что в первую очередь склонны заменять импортные решения на российские аналоги.

Приобретение решения WAF

В качестве основного фактора для покупки решения WAF респонденты отметили защиту от уязвимостей 0 дня – 37%. Такой возможностью обладают только решения нового поколения, использующие бессигнатурный подход для детектирования атак. По-прежнему значительная часть компаний использует WAF для соответствия стандарту PCI DSS – 27%.

36% респондентов используют WAF для обеспечения высокого темпа разработки: 19% – для защиты часто обновляемого кода и 17% – для использования виртуального патчинга уязвимостей. Увеличение числа компаний, применяющих решения по обеспечению безопасности на этапе написания кода, говорит об общем росте осведомленности о стандартных практиках информационной безопасности и формировании качественного подхода к обеспечению комплексной защиты веб-приложений.

Типы угроз

Более половины респондентов из финансового сектора (55%) отмечают, что за последний год уровень угроз DDoS вырос. По-прежнему DDoS-атаки на организации финансового сектора устраиваются чаще, чем на компании из других отраслей, например, ритейл, СМИ. Однако теперь важно не только то, что злоумышленники обладают всей полнотой знаний, где именно хранятся интересующие их средства, но также они понимают, с помощью каких методов эти деньги можно получить. Запустив DDoS-атаку в качестве отвлекающего фактора, злоумышленники с помощью вредоносных программ могут произвести захват системы управления безналичными платежами и, таким образом, получают возможность переводить деньги между любыми счетами до момента своего обнаружения.

Отсюда следует, что системы защиты, применяемые в финансовых организациях, несовершенны, и подходы к развитию ИТ-инфраструктуры требуют пересмотра и обновления.

Угроза атак на отказ в обслуживании продолжает расти: почти половина опрошенных испытывала по крайней мере одну DDoS-атаку в 2016 году. Столкнувшись с наличием мер по защите от атак, злоумышленники обычно переключают своё внимание на иные цели. В том числе, вероятно, ввиду этого целый ряд компаний в финансовой сфере столкнулся с DDoS-атаками в 2016 году впервые. При этом, однако, около 20% компаний находятся в фокусе злоумышленников и вынуждены применять продвинутые методы защиты. Среди основных причин, ведущих к попаданию финансовой организации в фокус организаторов DDoS-атак, можно назвать как размеры организации и её популярность на рынке, так и отсутствие внедрённых адекватных контрмер для борьбы с DDoS-атаками, вследствие чего организация может стать лёгкой добычей для кибервымогателей.

Таким образом, по мере широкого внедрения различных решений для борьбы с DDoS-атаками ландшафт рынка может меняться. В частности, ожидаемое усложнение `пробных` атак продолжит приводить к эволюции средств защиты и к росту угрозы для организаций и предпринимателей, не планирующих адекватные вызовам инвестиции в ИБ.

Наиболее часто опрошенные компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). По сравнению с результатами опроса 2015 года, угроза DDoS-атак осталась примерно такой же (24% в 2015 году). Сохранение числа DDoS-атак и внимания к ним со стороны банковского сектора на достаточно высоком уровне обусловлено волной массированных DDoS-атак на ряд крупных российских банков: в 2016 году были атакованы веб-сайты многих известных финансовых организаций из топ-10.

Угроза фишинга существенно выросла (с 21% в 2015 году до 30% в 2016-м) в связи с компаниями, выходящими на ICO. Неутихающий ажиотаж вокруг ICO привел к высокому риску мошенничества, и среднестатистические пользователи не имеют точного представления, как обеспечить собственную защиту и склонны не замечать интернет-мошенничество. В сфере ICO фишинг стал серьезной проблемой, и это позволяет судить о том, что и в смежных отраслях, например, в финансовом секторе, фокус злоумышленников также смещается в сторону такого метода получения доступа к конфиденциальным данным пользователей.

Смещение фокуса в сторону фишинга – одно из следствий развития инструментов, доступных киберпреступникам. В частности, несмотря на то, что число взломов в единицу времени в целом за последние годы сохраняется на одном уровне, на данный момент финансовые организации уже не всегда могут своевременно обнаруживать и точно фиксировать подобные инциденты.

Среднее количество атак на веб-приложения в финансовой сфере, по данным Валарм, составляет 1500 в день. Основная часть из них – это автоматизированные инструменты и сканеры. Такая активность автоматизированных средств создает большой информационный фон и усложняет выявление реальных инцидентов. По статистике Валарм, основные векторы атак на веб-приложения - это внедрение SQLi операторов – 26,8% и межсайтовая подделка запросов (XSS) – 25,6%. Повышенный интерес к этим типам атак связан с возможностью получения информации о базах данных клиентов и персональной информации пользователей. Третье и четвертое место занимают выход за пределы значений директории - 25% и удаленное выполнение кода – 19,5%. При этом основная часть инцидентов – 60% – связана с удалённым выполнением кода.

Типы используемых решений

Большинство респондентов (68%) считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети).

Как показало исследование, информационная безопасность остается значимым приоритетом для организаций финансового сектора, и этот приоритет неуклонно растет: отрасль находится в стадии пробуждения. Участники рынка пока неокончательно сфокусировались на угрозах ИБ, но в определенной степени уже можно говорить о достижении российскими финансовыми организациями определенного уровня зрелости в вопросах защиты и управления рисками. Переосмысление политик безопасности в банковской отрасли будет продолжать свое развитие, о чем свидетельствует то, что расходы на ИБ не сокращаются, а, наоборот, в основном растут. В ближайшей перспективе с ростом бюджета мы увидим повышения уровня защищенности компаний.

Сбербанк: Большинство хищений денег со счетов клиентов «происходит руками самих клиентов»

Большая часть мошенничества, связанного с хищением денег со счетов клиентов, «происходит руками самих клиентов». Об этом в ноябре 2017 года TAdviser заявил руководитель службы кибербезопасности Сбербанка Сергей Лебедь. Они сами отдают свои пароли, свои карточки, телефоны, передают SMS-коды подтверждения. Такое мошенничество называется социальной инженерией, а внутри социальной инженерии - «самопереводом», говорит он.

В рамках социальной инженерии злоумышленники находят причину, по которой человек может совершить действия, ведущие к утрате денег. Как правило, задействован корыстный интерес - например, купить что-то по скидке или интересное коммерческое предложение. Также используется предлог, что якобы родственник клиента попал в беду, рассказал TAdviser Лебедь.

Сергей Лебедь уверен, что технические способы защиты клиентов Сбербанка достаточно эффективны

Особенно подвержены такому воздействию люди пожилого возраста, которые думают о своих внуках, детях и получив просьбу, сразу бегут к банкомату, делают то, что им говорят злоумышленники, отмечает он

По его словам, часто бывают случаи, когда системы противодействия мошенничеству банка «видят», что мошенничество происходит и почему: когда клиент ни с того ни с сего начал переводить деньги на карту мошенника, и мы знаем, что это карта мошенника. В этом случае мы останавливаем транзакцию и звоним клиенту с целью предупредить и остановить.

Бывает, что на удочку социальных инженеров попадаются даже сами сотрудники Сбербанка, следует из слов Сергея Лебедя.

Технические способы защиты клиентов Сбербанка достаточно эффективны, но противодействие социальным инженерам представляет достаточно большую проблему. Ее решение банк видит в повышении финансовой и компьютерной грамотности населения. По словам Сергея Лебедя, банк проводит большую работу по этому направлению: разъяснительную работу и на площадках Сбербанка, и на федеральных каналах.

Представитель Сбербанка добавил, что одна из задач службы кибербезопасности, помимо предотвращения хищений денежных средств, это обеспечение устойчивости и непрерывности бизнес-процессов банка и обслуживания клиентов. Сергей Лебедь заявил TAdviser, что от компьютерных атак простои Сбербанка в 2017 году были ноль минут: «то есть, мы ни на секунду не прерывали деятельность банка вследствие различных атак».

Верховный суд РФ пояснил тонкости квалификации кибермошенничества

Верховный суд РФ разъяснил судьям, как следует квалифицировать кибермошенничество и мошенничество с банковскими картами. Пленум ВС РФ выпустил постановление «О судебной практике по делам о мошенничестве, присвоении и растрате», в котором впервые объясняется, в каких случаях и каким образом должны применяться новые статьи о мошенничестве, добавленные в УК РФ в 2012 году, сообщает в ноябре 2017 года ТАСС[6].

В статье «Мошенничество в сфере компьютерной информации» (159.6 УК РФ) предусматривается использование ПО или программно-аппаратных средств для воздействия на серверы, компьютеры (в том числе портативные) или на информационно-телекоммуникационные сети с целью незаконного завладения чужим имуществом или получения права на него. Подобные действия должны быть квалифицированы дополнительно по статьям УК о неправомерном доступе к компьютерной информации или о создании, использовании и распространении вредоносного ПО.

Использование чужих учетных данных подлежит квалификации по статье «Кража». Под использованием чужих учетных данных имеется в виду тайное или обманное использование подключенного к услуге «Мобильный банк» телефона жертвы, авторизация в системе интернет-платежей под похищенными учетными данными и т.п.

Как обычное мошенничество, предусмотренное ст. 159 УК РФ, следует рассматривать хищение имущества путем распространения в Сети заведомо ложных сведений (создание поддельных сайтов, online-магазинов, использование электронной почты).

К статье «Мошенничество с использованием платежных карт» (159.3 УК РФ) следует прибегать в случаях, если мошенник выдавал себя за истинного владельца банковской карты при оплате покупок или осуществлении банковских операций. Обналичивание средств через банкоматы квалифицируется как кража.

Как поясняется в постановлении ВС РФ, хищение безналичных средств с помощью личных данных владельца, пароля, данных карты, полученных преступником от ее владельца путем обмана или злоупотребления доверием, также должно рассматриваться судом как кража.

Изготовление, хранение, перевозка поддельных платежных карт, технических устройств и ПО для неправомерного приема, выдачи, перевода денежных средств, следует считать приготовлением к преступлению (если преступление так и не было совершено по независящим от злоумышленника причинам).

Реализация непригодных к использованию поддельных платежных карт, технических устройств и ПО якобы для хищения денег расценивается как мошенничество или мелкое хищение.

Изготовление или покупка поддельных банковских карт с целью хищения в крупном или особо крупном размере без доведения умысла до конца (по независящим от злоумышленника причинам) является одновременно и приготовлением к хищению, и оконченным преступлением, предусмотренным ст. 187 УК РФ («Неправомерный оборот средств платежей»).

Атака вируса Silence

31 октября 2017 года «Лаборатория Касперского» сообщила о новой кибератаке на банки. Хакеры рассылают в финансовые учреждения зараженные электронные письма, которые маскируются под сообщения от реальных людей.

Злоумышленники используют троян под названием Silence, который прикрепляют к фишинговым письмам. Часто текст писем выглядит как стандартный запрос на открытие счета, предупреждают в «Лаборатории Касперского».

«Лаборатория Касперского» сообщила о хакерской атаке на российские банки
«
Злоумышленники используют легитимные администраторские инструменты, чтобы оставаться незамеченными. Это усложняет как обнаружение атаки, так и атрибуцию, — отметил старший антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин.
»

В письмах содержатся зараженные вложения формата .chm (файл справки Microsoft). При открытии вложения автоматически запускается прикрепленный него html-файл, содержащий вредоносный javascript-код. Скрипт загружает и активирует дроппер, а тот уже подгружает модули троянца Silence, работающие как службы Windows: модуль управления и контроля, модуль записи активности экрана, модуль связи с управляющими серверами и программу для удаленного выполнения консольных команд.

Таким образом, хакеры захватывают управление зараженным компьютером и могут рассылать письма с вредоносным вложением от имени реальных партнеров банков.

Атакующие получают доступ к внутренней банковской сети, какое-то время изучают ее внутреннюю инфраструктуру и записывают видео с экранов компьютеров сотрудников банка. После анализа того, как используется банковское ПО, злоумышленники осуществляют перевод денежных средств.

Первые атаки с использованием трояна Silence были зафиксированы в июле 2017 года. Распространение вируса продолжается к моменту написания статьи (31 октября). Хакерские атаки с использованием этого вируса замечены в России, а также в Армении и Малайзии.[7]

Банки получат право блокировать счета клиентов при проведении сомнительных операций

Правительство РФ внесло в Государственную Думу разработанный Министерством финансов законопроект, который дает право банкам блокировать карты и счета клиентов в том случае, если проводимые ими финансовые операции представляются кредитным организациям подозрительными. При подозрении на хищение банк должен незамедлительно связаться с физическим лицом по телефону или через электронную почту, с юридическим лицом — в порядке, установленном договором об использовании электронного средства платежа. Законодательная инициатива властей привела к всплеску активности в социальных сетях: пользователи опасаются возможной массовой блокировки личных счетов граждан в банках без веских на то оснований, а также выражают беспокойство, не станут ли кредитные организации злоупотреблять предоставленным им правом.

Критерии, по которым финансовые операции могут быть отнесены к сомнительным, пока не определены.

Комментарий эксперта ЦЕРИХ Кэпитал Менеджмент ИК: Сразу же стоит подчеркнуть, что подготовленный документ носит название «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)». Таким образом, закон изначально нацелен на то, чтобы защитить добропорядочных граждан и осложнить жизнь исключительно мошенникам, пытающимся похитить деньги со счетов юридических и физических лиц.

Для этого Минфин предлагает дать право банкам приостанавливать на срок до двух рабочих дней перевод денег при выявлении признаков совершения такого перевода без согласия плательщика. При подозрении на хищение денег банк должен сразу же связаться с клиентом, чтобы получить подтверждение о необходимости провести проверку платежа.

То, как будет работать вновь принятый закон, во многом зависит от дополняющих его подзаконных актов. В данном случае мы имеем в виду разработку критериев, по которым финансовые операции, проводимые клиентами, могут быть отнесены к разряду подозрительных. Эта работа будет поручена Центробанку, и от точности формулировок регулятора зависит, будут ли возникать проблемы у законопослушных граждан. Поэтому мы предлагаем дождаться публикации данного документа и только после этого делать выводы о том, насколько точно он отражает нынешние экономические реалии.

Еще одним подводным камнем станет право самих кредитных организаций дополнять или изменять перечень установленных ЦБ РФ признаков в соответствии с особенностями их деятельности. Важно понять, имеется ли в виду в данном случае право законодательной инициативы или же кредитные организации, не дожидаясь ответа от вышестоящей инстанции, будут выстраивать отношения с клиентами на основе собственных критериев и оценок. Если ситуация будет развиваться по второму варианту, нельзя исключить возникновения неразберихи в банковском секторе в целом, поскольку у каждого банка будут собственные критерии для блокировки счетов. Причем проблемы у клиентов возникнут не из-за злоупотребления банков своими полномочиями, а из-за их желания перестраховаться.

Важно, как в свете нового закона будет выстраиваться взаимодействие между кредитной организацией и ее клиентом в случае возникновения спорной ситуации. Сегодня при блокировке счета (например, в случае внесения или снятия крупных сумм на карту, при крупных переводах на банковский счет клиента или при переводе крупных денежных сумм третьему лицу) банк просит предоставить пояснения и копии документов, подтверждающие источник поступления денежных средств. При этом после рассмотрения банк может отказаться разблокировать счет клиента с формулировкой «Документы не объясняют экономического смысла операций».

Сегодня уже при первом отказе банка в проведении операции как сомнительной (вне зависимости от того, было ли нарушение в действительности или нет) клиенты попадают в черный список отказников. Его формируют Росфинмониторинг и ЦБ и, начиная с июня текущего года, предоставляют банкам. И хотя список сам по себе носит информативный характер, зачастую именно попадание в список служит основанием для отказа банка клиенту в обслуживании. При этом сегодня отсутствует механизм реабилитации клиентов, которые попали в этот список по ошибке. А таковых, по оценкам ряда экспертов, может быть до 10 процентов.

Сегодня высказывается мнение, что после вступления в силу нового закона банкам следует ожидать массового оттока личных средств из банков и, как следствие, сокращения объемов транзакций. Якобы этот процесс уже активно идет на протяжении последних шести месяцев. Мы полагаем подобные опасения преувеличенными, как минимум, по двум причинам.

  • Во-первых, клиент, который забирает свои средства из банка на том лишь основании, что банк якобы может в любой момент заморозить его счет, должен иметь альтернативный механизм для расчетов с контрагентами. В настоящий момент подобного надежного и эффективно работающего механизма вне банковской системы не существует.
  • Во-вторых, комиссии за расчетно-кассовое обслуживание клиентов, использование систем денежных переводов и различных платежных сервисов составляют существенную долю в доходах кредитно-финансовых организаций. Уменьшение числа их клиентов автоматически приведет к снижению прибыли.

Trend Micro и Европола рассказали, как ломают банкоматы

Специалисты компании Trend Micro, а также сотрудники Европейского центра по борьбе с киберпреступностью (European Cybercrime Centre, EC3) представили совместный отчет, озаглавленный «Зарабатывая на вредоносных программах для банкоматов» (Cashing in on ATM Malware). В отчете анализируются как физические, так и сетевые виды атак на банкоматы с использованием вредоносных программ, а также рассказывается, где создают такую малварь[8][9].

По мнению исследователей, за последние годы вредоносы для банкоматов заметно эволюционировали. Так, злоумышленникам более не нужно иметь физический доступ к устройству, чтобы заразить его, они могут осуществлять удаленные сетевые атаки, используя для этого корпоративную сеть банка. В отчете приводятся примеры недавних атак, в которых злоумышленники использовали банковскую сеть для кражи денег и данных кредитных карт из банкоматов, несмотря на ее сегментацию. Исследователи отмечают, что такие атаки не только ставят под угрозу личные данные пользователей и безопасность крупных денежных сумм, но также приводят к нарушению финансовыми учреждениями стандартов безопасности PCI.

Ранее основным способом заражения банкоматов преимущественно был физический взлом: злоумышленникам необходимо было получить непосредственный доступ к устройству и загрузить на него вредоносную программу с помощью USB или CD. Несмотря на то, что эта схема используется и сегодня, злоумышленники нашли новую точку входа: сеть. Этому способствует и то, что сотни тысяч банкоматов работают на операционных системах, которые более не получают обновлений для исправления уязвимостей или для которых скоро перестанут выпускать патчи.

К примеру, в июле 2016 года кибератаке подвергся 41 банкомат в 22 отделениях тайваньского банка First Commercial Bank, в результате чего злоумышленникам удалось похитить порядка 2,5 млн долларов США (80 млн новых тайваньских долларов). В ходе проведенного расследования выяснилось, что для реализации ограбления хакеры предварительно осуществили достаточно сложную сетевую атаку.

Госдума увеличит срок лишения свободы за хищение средств с банковских карт

Госдума РФ в октябре 2017 года на заседании в среду приняла в первом чтении поправки в Уголовный кодекс (УК), устанавливающие отдельное наказание за хищение средств с банковского счета и электронных денег. Согласно законопроекту, наказание за такое преступление может быть изменено с нынешних четырех месяцев до трех лет лишения свободы.

Соответствующий законопроект был внесен группой депутатов во главе с председателем комитета нижней палаты парламента по финрынку Анатолием Аксаковым («Справедливая Россия»).

Документ предусматривает внесение дополнений в статью 159.6 УК РФ (Мошенничество в сфере компьютерной информации) квалифицирующих признаков — хищение средств с банковского счета, а равно электронных денежных средств, а также внесение изменений в статью 159.3 УК РФ (Мошенничество с использованием электронных средств платежа).

В частности предлагается закрепить в УК РФ ответственность за «хищение чужого имущества, совершенное с использованием поддельного или принадлежащего другому лицу электронного средства платежа, в том числе кредитной, расчетной или иной платежной карты, путем обмана уполномоченного работника кредитной, торговой или иной организации». Максимальное наказание за данное преступление должно быть увеличено с действующих четырех месяцев до трех лет лишения свободы

Инициатива также предусматривает снижение пороговых значений сумм крупного и особо крупного ущерба для преступлений, предусмотренных этими статьями (250 тыс. рублей и 1 млн рублей соответственно). Согласно действующему уголовному законодательству, максимальное наказание за хищение средств с банковского счета в особо крупном размере составляет 10 лет лишения свободы.

Крупные европейские банки начали активно страховать капитал от кибератак

Все чаще банки обращаются в страховые компании с целью уберечь свой капитал от операционных рисков, в том числе это касается кибератак и нечистых на руку сотрудников. Представители страховых агентств заявили, что смогут помочь кредиторам, в виде дополнительного уровня экспертизы с их стороны.

После серии дорогостоящих судебных процессов и перебоев в работе IT инфраструктуры, такие банки как Credit Suisse, Deutsche Bank и Lloyds стали искать способы минимизации расходов на подобные эпизоды. Частичное покрытие рисков страховыми компаниями было признанно наиболее оптимальным выходом из ситуации.

Большинство подобных страховых договоров оформляются в частном порядке, а детали нигде не публикуются. Однако в прошлом году внимание общественности привлекла продажа банком Credit Suisse облигаций на сумму 220 миллионов швейцарских франков для покрытия возможных операционных рисков.

Покупателям облигаций были предоставлены выгодные условия с более чем 4% годовых, но они также могут внезапно потерять свои вложения, например если сотрудникам банка будут выдвинуты обвинения в совершении должностных преступлений или на банк будет совершена кибератака.

Покрытие потенциальных убытков взяла на себя страховая компания Zurich Insurance.

Страховые компании нанимают специалистов по операционным рискам, имевших опыт работы в крупных банках для лучшего понимания общей картины и адекватной оценке ситуации в финансовых учреждениях.

Базельский комитет по банковскому надзору определяет операционный риск как «риск потери в результате неадекватных или неправильных действий в работе с внутренними процессами, персоналом, системами или в результате внешних факторов». Под определение подпадают кибератаки, перебои в работе ИТ-инфраструктуры, промышленный шпионаж и финансовые махинации.

Банки впервые начали присматриваться к страхованию операционных рисков еще десять лет назад, как раз перед наступлением финансового кризиса. Потом обсуждение данного вопроса было отложено до лучших времен. И вот, по словам страховых агентов, в прошлом году несколько банков снова начали проявлять усиленный интерес к этой теме[10].

Эксперты прогнозируют рост числа атак на банкоматы в РФ на 30%

Количество хакерских атак как на банки, так и на банкоматы в России вырастет на 30% в 2017 году. Такой прогноз приводится в исследовании, опубликованном специалистами компании Positive Technologies.

По данным FinCERT, в период с июня 2015 года по май 2016 года в России было зафиксировано 17 случаев, связанных с несанкционированным доступом к ПО банкомата и последующей попыткой хищения денежных средств. В ходе атак злоумышленники совершили попытки хищения денежных средств на сумму более 100 млн рублей, отметил аналитик Positive Technologies Вадим Соловьев.

Как указывается в исследовании, число логических атак на банкоматы с применением вредоносного ПО в Европе в 2016 году увеличилось на 287% по сравнению с предыдущим годом. К примеру, ущерб от краж с использованием только одной вредоносной программы GreenDispenser в странах Восточной Европы в 2015-2016 годах составил порядка $180 тыс. Как отметил Соловьев, в настоящее время не зафиксировано случав заражения банкоматов в России вредоносным ПО GreenDispenser, однако схожее устройство банкоматов позволяет злоумышленникам использовать один и тот же вредонос в кампаниях по всему миру.

В частности GreenDispenser, использовавшийся в атаках на банкоматы в Мексике в 2015 году, спустя некоторое время был замечен в странах Европы. Как пояснил Соловьев, злоумышленникам удобнее переключаться с одной страны на другие регионы, где еще не готовы к отражению подобных атак.

По словам эксперта, преступники получали доступ в сервисную зону банкомата и устанавливали вредоносное ПО GreenDispenser. Затем специальные люди, так называемые дропы, с помощью трояна снимали с банкомата деньги. Так как GreenDispenser рассчитан только на выдачу денежных средств, а не хищение данных банковских карт, на экране банкомата высвечивалось сообщение о том, что устройство временно не работает с целью предотвратить выдачу денег обычным владельцам банковских карт.

Для того чтобы снять деньги с банкомата, дроп должен был ввести два PIN-кода, установленных разработчиками трояна. После этого он получал доступ к интерфейсу управления вредоносом, где доступна функция выдачи наличных. Успешно опустошив банкомат, дроп удалял GreenDispenser из системы.

Подобные атаки могут принять массовый характер, предупреждают специалисты. При разработке финансовых приложений на платформе Microsoft Windows используется специальный стандарт Extension for Financial Services для совместимости программного обеспечения оборудования банкоматов с различными устройствами, который применяется всеми крупными производителями банкоматов.

Платежные терминалы в России под атакой трояна

В начале июля 2017 года «Лаборатория Касперского» объявила о том, что в России активно распространяется модификация трояна Neutrino, атакующего POS-терминалы и крадущего данные банковских карт. Согласно статистике компании, на страну пришлась четверть всех попыток проникновения этого зловреда в корпоративные системы. В зону интересов Neutrino также попали Алжир, Казахстан, Украина и Египет. Приблизительно 10% всех попыток заражений приходится на предприятия малого бизнеса.

Модификация Neutrino для POS-терминалов — не совсем типичная версия этого зловреда, который уже давно известен исследователям и неоднократно менял свои функции и методы распространения. На этот раз троян охотится за данными банковских карт, которые проходят через зараженные платежные терминалы. При этом Neutrino не сразу начинает активность и приступает к сбору информации — попав в операционную систему POS-терминала, троян выжидает некоторое время. Эксперты полагают, что таким образом он, скорее всего, пытается обойти защитные технологии, запускающие подозрительный код в изолированной виртуальной среде, так называемые «песочницы», с коротким периодом работы.

География распространения троянца Neutrino, атакующего POS-терминалы, март-июль 2017 года


«Neutrino в очередной раз служит подтверждением тому, что киберугрозы постоянно эволюционируют. Новые версии известных зловредов становятся сложнее, их функциональность расширяется, а аппетиты растут. И по мере того, как число различных цифровых устройств увеличивается, области распространения вредоносного ПО также становятся шире. В таких условиях проактивная защита от всего многообразия киберугроз нужна как никогда прежде», – подчеркнул Сергей Юнаковский, антивирусный аналитик «Лаборатории Касперского».

Защитные решения «Лаборатории Касперского» распознают новую модификацию Neutrino как Trojan-Banker.Win32.NeutrinoPOS и блокируют его активность.

Атака вируса-шифровальщика Petya

В регуляторе сообщили 29 июня 2017 года, что атака вируса Petya началась с рассылки email-писем с вложенным вирусом. «В тексте сообщений злоумышленники убеждали пользователя открыть вредоносный файл, после чего активировалась вредоносная программа. Предположительно, заражение происходило при помощи эксплуатации уязвимости CVE-2017-0199 (исполнение произвольного кода из приложений Microsoft Office и WordPad)», — пояснили в ЦБ.

Устройства для клонирования кредитных карт

Группа хакеров под названием CC Buddies начала открытую продажу вредоносного устройства для бесконтактного считывания и клонирования кредитных карт, оборудованных RFID-чипами. Новое устройство способно копировать 21 кредитную карту в секунду[11].

В 2016 г. те же злоумышленники продавали похожее устройство, но с более скромными характеристиками: их Infusion X5 позволял клонировать до 15 карт в секунду. Для успешного клонирования необходимо было, чтобы устройство располагалось очень близко от карты - не более 8 см. Новый вариант, получивший название X6, работает с расстояния 15 см.

Близкий недружественный контакт

Для считывания карт требуется тесный контакт с потенциальной жертвой; однако в общественном транспорте в час пик, когда люди вынужденно прижимаются друг к другу, у злоумышленников, вооруженных подобными устройствами, появляется шанс на богатый улов. Шанс этот уже был неплох, когда устройства работали с расстояния 8 см, и тем более хорош он оказывается, когда рабочее расстояние возрастает вдвое.

Само устройство невелико и снабжено крепежом на руку, так что его без труда можно спрятать под длинным рукавом. Это делает его вдвойне опасным: вероятность его обнаружения стремится к нулю.

Но даже при поимке злоумышленника, доказать факт преступления будет непросто, поскольку X6 оборудовано средствами шифрования хранящихся данных.


Собранные данные карт хранятся прямо в памяти устройства, на компьютер их можно передать с помощью USB-кабеля.

Данные клонированных карт - ходовой товар на киберкриминальном рынке. С их помощью преступники делают фальшивые дебетовые карты, чем активно занимаются и сами CC Buddies.

X6 предлагается за 1,5 биткоина, что примерно соответствует $1700 на нынешний момент. За дополнительные карты предлагается заплатить еще 0,1 биткоина.

«Говоря о защите от подобных устройств, стоит вспомнить теорию волн из физики. Судя по техническим описаниям предшественника данного устройства оно работает на частоте 13,5 МГц, что является короткой волной. Короткие волны характеризуются небольшой длинной волны, но при этом высокой частой колебаний, что сказывается на их проникающую способность через препятствия, - говорит Лагода Георгий Константинович, технический директор компании "Монитор Безопасности". - Однако, стоит понимать, что заявленное расстояние копирования в 15 см, скорее всего имеет место в однородной воздушной среде без препятствий (в том числе, одежда, кошелек, другие карточки и т.д.), посему наибольшая вероятность успешного копирования чужой карточки злоумышленником появляется при непосредственном контакте данного устройства с картой жертвы».

ЦБ рассказал о беспроводном способе кражи денег через банкоматы

17 марта 2017 года в Центробанке РФ рассказали о новом способе кражи денег через банкоматы. Речь идет о дистанционном методе.

«
Мы всегда, когда говорили о скимминге, отмечали, что злоумышленник должен поставить что-то на банкомат, теперь новая технология появилась, беспроводная, — сообщает ТАСС со ссылкой на заместителя начальника главного управления безопасности и защиты информации Банка России Артем Сычев.
»

По его словам, новизна заключается в том, что злоумышленники размещают устройства не на сам банкомат, а рядом с ним, и используют оборудование для хищения средств с банковских карт. При этом защищающие банкоматы датчики движения, вскрытия и т. п. не срабатывают.

Злоумышленники научились красть деньги с банковских карт без установки оборудования на сам банкомат

Артем Сычев не пояснил, распространяется ли технология на все банкоматы или только на отдельные модели. Также он не назвал объемы средств, которые злоумышленники украли со счетов клиентов банков таким беспроводным путем.

Сычев подчеркнул, что входящий в ЦБ Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) проинформировал банки о новом способе мошенничества.

Об изобретенном мошенниками беспроводном методе хищения средств с банковских карт через банкоматы Адней Сычев рассказал на XIX Всероссийской банковской конференции. Там же представитель Банка России заявил, что регулятор получил от Интерпола информацию о большом объеме скомпрометированных карт клиентов российских банков.[12]

Число «засвеченных» карт представитель ЦБ затруднился назвать, но отметил, что объем информации по этим картам занимает почти 500 Мбайт.

«
Скорее всего, это результат скимминга в Европе. Это карты, которые использовались при поездке за рубеж. Скорее, это Южная Европа — Болгария, Румыния и тому подобное. Информация пришла от румынских коллег, — уточнил Сычев.
»

Вредоносное ПО представляется как Pokemon Go

В России зарегистрированы массовые случаи незаконного вывода средств с кредитных карт с помощью вредоносного ПО, которое распространяется под видом игры Pokemon Go. Программа перехватывает SMS, присланные банком, а также обеспечивает доступ к интернет-банкингу. Для максимально широкого распространения ПО преступники воспользовались популярностью игры Pokemon Go, официальный релиз которой в России до сих пор не состоялся[13].

Новость сообщили на пресс-конференции по борьбе с киберпреступностью начальник отдела «К» УМВД РФ по Ярославской области Денис Дуров и замуправляющего отделением по Ярославской области ГУ Центрального банка РФ по ЦФО Евгений Ефремов.

Дуров заявил, что в 2016 г. в Ярославской области было заведено 200 уголовных дел, связанных с мошенничеством, и 92 дела, касающихся незаконного вывода средств с кредитных карт. По его словам, основные способы хищения средств – это подключение к банкоматам специальных приборов, фишинг и использование вредоносных программ, причем последний метод становится все более распространенным.

Однако самым распространенным способом хищения средств с карт остается фишинг. Во время фишинговой акции преступники звонят жертвам, представляются сотрудниками банка и запрашивают данные о кредитной карте, отмечает Дуров. По состоянию на 1 октября 2016 г. в области было выдано 2,1 млн кредитных карт. Многие владельцы карт недостаточно информированы о мерах безопасности при работе с ними и считают нормальным сообщить данные карты сотруднику банка по телефону.

Плагины браузеров - средство для хищения средств с карт

27 января 2017 года компания «Яндекс» сообщила в СМИ: конфиденциальные данные о банковских картах пользователей воруются посредством расширений для браузеров. Киберпреступники научились похищать данные, распространяя вредоносные плагины с более 80 тыс. сайтов в сети Интернет.

Имеются ввиду зараженные программные расширения, которые снабжают пользователей полезной информацией не заходя на специальные сайты - курсы валют или прогноз погоды. Такие программы распространяются через магазин расширений или из непроверенных источников, и могут исполняться, как в стационарных, так и в мобильных версиях браузеров [14].

Реклама карт "МИР", (2015)

Устанавливая непроверенные вредоносные плагины, пользователь открывает кибермошенникам доступ к паролям, логинам и данным банковских карт. Согласно заявлению представителей «Яндекс», ежемесячно с такими проблемами сталкиваются 1,24 млн пользователей.

«
Для защиты от данного вида угроз, помимо общих рекомендаций, необходимо пользоваться только легальными расширениями из официальных магазинов. При этом данные угрозы делятся на два вида: угроза заражения персонального компьютера вредоносным программным обеспечением, которое похищает данные платежных карт при оплате в интернете, а также угроза заражения устройства, с которого осуществляется онлайн-управление банковским счетом (Интернет-банк, мобильный банк).

Николай Пятиизбянцев, начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка
»

Первый вид угроз, по мнению эксперта, можно нейтрализовать использованием технологии 3D-Secure.

«
Мошенник, похитив все данные карты и одноразовый пароль, не сможет ими воспользоваться для следующей операции. Некоторые банки предоставляют держателям карт право установить запрет на выполнение операций без данной технологии. Следует учитывать, что зараженный компьютер и мобильное устройство, на которое приходит одноразовый SMS-пароль - это разные устройства.
»

Второй вид угроз значительно серьезнее и защититься от него трудно.

«
В данном случае можно рекомендовать следующее: мобильный телефон, на который приходят одноразовые SMS-пароли, не должен использоваться для онлайн-банкинга (мобильного банка) - необходимо выделить отдельное устройство (компьютер, смартфон, планшет), с которого осуществляется доступ и управление банковским счетом, данное устройство не должно использоваться ни для каких других целей, кроме онлайн-банкинга, в том числе его нельзя использовать для просмотра Интернет-страниц, социальных сетей, электронной почты, на устройство должно быть установлено специальное программное обеспечение, реализующее функцию "запрет по умолчанию" или "белые списки" (всё, что не разрешено, то запрещено).
»

Греф: 98,5% киберпреступлений происходят в финансовой сфере

Доля киберпреступлений в финансовой сфере в 2016 г. составила 98,5%. Об этом сообщил в январе глава Сбербанка России Герман Греф. При этом Греф подчеркнул, что не смотря на то, что количество совершаемых в киберсреде преступлений исчисляется миллионами, число осужденных за их совершение не превышает нескольких десятков человек.

«Если посмотреть аллокацию специалистов, которые занимаются расследованиями киберпреступлений, то пропорция будет почти обратная: большинство сотрудников следственных органов занимаются расследованием традиционных преступлений. Либо они пытаются расследовать киберпреступления традиционными способами, а так она (киберпреступность) абсолютно не ищется, это трата времени и денег», - цитирует ТАСС Греф.

Глава Сбербанка считает, что для решения проблемы необходимо кардинально переработать учебные программы подготовки специалистов правоохранительных органов, в том числе с учетом планируемых к введению изменений в Уголовный кодекс РФ.

Разработанные с участием Сбербанка и внесенные в Госдуму поправки предусматривают вывод состава киберпреступлений из статьи 159 УК РФ "Мошенничество" и включение его в статью 158 УК РФ "Кража" одновременно с ужесточением наказания - до 10 лет лишения свободы.

«Доктор Веб»: ожидается рост числа атак на Android-системы

20 января 2017 года аналитики компании «Доктор Веб» озвучили вероятность значительного увеличения количества банковских "троянцев" на платформе Android (Android-банкеры) и роста числа атак, совершаемых при их посредстве.

Современные банковские троянцы для ОС Android создаются вирусописателями и продаются, как коммерческие продукты через подпольные интернет-площадки. На хакерском форуме в свободном доступе появился исходный код одного из вредоносных приложений с инструкциями по его использованию. Вирусные аналитики компании «Доктор Веб» полагают, что это может привести к возрастанию количества Android-банкеров и росту числа совершаемых с их помощью атак [15].

Скриншот экрана перед запуском вируса Android.BankBot.33.origin, (2016)

Создатели вирусов опубликовали исходный код вредоносного приложения в декабре 2016 года, а специалисты компании «Доктор Веб» обнаружили Android-банкера, созданного на основе предоставленной кибер-преступниками информации.

Этот троянец под именем Android.BankBot.149.origin распространяется под видом безобидных программ. После загрузки на смартфон, планшет и установки, банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Затем прячется от пользователя, убирая свой значок с главного экрана. Потом вирус подключается к управляющему серверу и ожидает команд.

Троянец может выполнять действия:

  • отправлять SMS-сообщения;
  • перехватывать SMS-сообщения;
  • запрашивать права администратора;
  • выполнять USSD-запросы;
  • получать из телефонной книги список номеров всех имеющихся контактов;
  • рассылать SMS с полученным в команде текстом по всем номерам из телефонной книги;
  • отслеживать местоположение устройства через спутники GPS;
  • запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку SMS-сообщений,
  • выполнение звонков,
  • доступ к телефонной книге
  • работа с GPS-приемником;
  • получение конфигурационного файла со списком атакуемых банковских приложений;
  • показ фишинговых окон.

Троянец крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Исследованный вирусными аналитиками «Доктор Веб» образец контролирует запуск более трех десятков таких программ. Как только вирус обнаруживает, что одна из них начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка и показывает ее поверх атакуемого приложения.

Помимо кражи логинов и паролей троянец пытается похитить информацию о банковской карте владельца зараженного мобильного устройства. Для этого вирус отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter, Play Маркет и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play. При поступлении SMS троянец выключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные SMS из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер.

Украденные данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью кибер-преступники получают информацию, управляют вредоносным приложением. Возможности этого троянца вполне стандартные для современных Android-банкеров. Однако, поскольку кибер-преступники создали его с использованием доступной всем информации, можно ожидать появления множества аналогичных троянцев.

Главные проблемы безопасности мобильных и интернет-банков

Проблемы безопасности мобильных и интернет-банков известны давно, а открываемые новые уязвимости, как правило, не вносят существенных изменений в сложившиеся модели угроз.

Image:Banki_mob_int_pas.png

Эксперты уверены, что основными проблемами на протяжении последних 3-5 лет остаются: априори недоверенная среда (мобильное устройство), опасность заражения мобильного устройства и компьютера через интернет, недостаточность встроенных средств защиты в программные продукты со стороны разработчиков систем ДБО и интернет-банкинга, а также невыполнение элементарных требований безопасности пользователями.

Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.", полагает, что задача имеет решение только в тех банках, где потери умеют считать и квалификация состава ИТ, ИБ и бизнес-подразделений на высоте. Профессионалы, когда это одна команда, всегда находят решение, не важно, чисто организационными или организационно-техническими средствами, уверен он.

Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании "Инфосистемы Джет" называет ключевой проблемой использования сервисов ДБО уязвимость клиента.

«
Любая схема защиты напрямую связана с действиями или знанием клиента. А, значит, какое бы средство защиты или подтверждение операций мы не предоставляли клиенту, оно может быть скомпрометировано как извне, так и самим пользователем, - уверен Сизов. - Именно относительная легкость воздействия на клиента, его доверчивость, неосведомленность, халатность в обращении со средствами ИБ позволяет злоумышленникам обходить самые совершенные средства защиты.
»

При этом использование мобильных платформ только снижает устойчивость продуктов и каналов обслуживания к мошенничеству. Если используя ПК и мобильный телефон для проведения операций (формально – это два независимых канала), обеспечивается некоторая степень информационной безопасности, то совмещая в одну точку и программу, и методы аутентификации, и подтверждение платежа – этот порог снижается.

«
Кто-то решает эту проблему снижением типов допустимых операций, установкой лимитов на такие платформы, но большинство не различают с точки зрения рисков классический web-банкинг и мобильный. К сожалению, это приводит к тому, что сегодня именно среди атак в сегменте мобильных платформ фиксируется наибольший рост, - отмечает эксперт.
»

Еще одой из проблем является рост доли использования социальной инженерии со стороны злоумышленников в схемах атак на клиентов. С одной стороны, это свидетельствует о повышении защищенности технических аспектов банковских сервисов, но с другой - показывает простоту и уязвимость именно клиентской стороны.

«
Если вчера «социалка» использовалась исключительно для получения части данных клиента, а атака проводилась в режиме «без клиентов», и сам пользователь не способствовал совершению неправомерной операции, то сегодня фраз от клиентов «а что же я наделал» становится все больше. Сегодня социальная инженерия это не только возможность провести одну нелегитимную операцию, но и способ получить полный доступ к счету или платежному инструменту, который «сводит на нет» многие технические аспекты защиты от злоумышленников, - считает Алексей Сизов.
»

Управляющий партнер Maykor-BTE Максим Никитин, к типичным проблемам в области безопасности мобильных и интернет-банков относит недостаточный уровень шифрования данных и возможность запуска мобильного приложения в общественных интернет-сетях, где вероятен перехват трафика.

«
Решение лежит на поверхности и заключается в разработке и внедрении улучшенных систем шифрования и тестировании приложений на возможность атак в общественном месте, - полагает он.
»

Дмитрий Демидов, руководитель департамента CRM компании «Норбит» (входит в группу компаний ЛАНИТ) с точки зрения безопасности видит большую проблему в средствах авторизации. В частности, он отмечает, что простая авторизация через код, полученный в SMS-сообщении, легко взламывается. Однако, применение других средств авторизации сильно усложняет активацию мобильного и интернет-банков.

«
Банки решают это проблему по-разному – через активацию при помощи банкоматов или через отделения. Сейчас ведется несколько проектов по созданию таких средств – как с применением аппаратной составляющей, так и при помощи только программного обеспечения. Очень надеюсь, что эта проблема будет решена, - говорит он.
»

Кроме того, разработка мобильных приложений зачастую производится в очень сжатые сроки. Возможно, еще мало кто серьезно занимался изучением взломостойкости мобильных приложений, считает Демидов.

«
Полагаю, что скорость реализации функций может ставиться во главу, в ущерб проработке вопросов безопасности. Не исключено, что нам еще предстоит услышать в новостях о взломах мобильных приложений, - отмечает эксперт.
»

В тоже время Виталий Патешман, директор по продажам компании BSS, говоря о возрастающей актуальности вопросов безопасности ДБО, отмечает, что эксперт в области предотвращения и расследования киберпреступлений и мошенничества с использованием высоких технологий компания Group-IB провела аудит безопасности платформы ДБО BSS, который показал, что эти решения на сегодняшний день обладают высокой степенью защищенности.

«
Дополнительно мы реализовали новые возможности за счет интеграции с решением Group-IB и с решениями компании SafeTech», - рассказывает представитель BSS.
»

Максим Болышев, заместитель директора департамента банковского ПО RS-Bank компании R-Style Softlab выделяет три основных проблемы безопасности. Так, по его мнению, безопасность интернет-банков идет в разрез с удобством пользования, поэтому банки вынуждены искать компромисс между удобством и безопасностью. Вторая проблема – дороговизна электронной подписи для физических лиц, вследствие чего она не получила широкого распространения среди этой группы пользователей. И третья - большое количество разнообразного вредоносного ПО для мобильных устройств и отсутствие универсального, гарантирующего стопроцентную безопасность решения для банка и клиента.

Директор по работе с финансовыми институтами компании «ФОРС-Центр разработки» Юрий Терехин главной проблемой называет увеличение объёмов хакерских атак при снижении их профессионального уровня.

По его словам, это связано с тем, что высокопрофессиональные группы хакеров сместились в более маржинальный сектор по сравнению с розницей, и стали осуществлять атаки на сами банки и платёжные системы (СВИФТ). Вместе с тем, высокая доступность инструментов взлома уязвимостей позволяет проводить атаки на розничных клиентов силами непрофессионалов или начинающих хакеров. Но, поскольку для банковских ИБ это уже пройденный этап, то потери банков в этом направлении, предположительно, не растут.

«
Хорошо известные методы защиты для мобильных и интернет-банков будут совершенствоваться и дальше ради увеличения безопасности клиентских средств, - считает Терехин. - Будет более широко использоваться многофакторная авторизация с использованием биометрических данных (сканирование отпечатков пальцев, радужной оболочки глаз, распознавание голоса и т.п.).
»

Михаил Домалевский, менеджер отдела развития департамента информационной безопасности группы компаний Softline, предлагает взглянуть на проблему безопасности банковской системы России в целом. По его данным, 2016 год оказался переломным для ИБ в банковском секторе. Именно в этом году открыто заговорили о действиях хакеров, мошенников и вообще злоумышленников, о масштабах вреда, который они причиняют банкам.

«
Раньше банки и их клиенты редко несли крупные финансовые потери непосредственно от хакерских атак, стараясь в первую очередь защититься от «сливов» клиентской базы через инсайдеров и не допустить просачивания подобной информации в СМИ. Сейчас из-за хакерских атак банк фактически может потерять лицензию, - рассказывает эксперт. - В ответ на этот вызов финансовые организации объединяют ресурсы и усилия для создания собственных центров мониторинга и реагирования на инциденты ИБ, для развития межбанковского обмена для борьбы с выводом украденных средств.
»

По мнению Домалевского, многое для защиты от хакерских атак делает и регулятор. Так, Центральный банк выпустил ряд дополнительных регламентирующих документов в области ИБ, в частности - положение «О требованиях к защите информации в платежной системе Банка России». Этот документ обязывает банки сообщать о киберинцидентах в жесткие временные сроки.

«
Создание регулятором собственного Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT), интеграция его с имеющимися коммерческими и банковскими центрами мониторинга ИБ, четкий регламент взаимодействия всех участников процесса должны в перспективе уменьшить количество целенаправленных атак организованной киберпреступности и снизить потери от кибератак на банки до допустимых, - считает представитель Softline.
»

2016

Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году

За 2016 год в Украине в 4,5 раза выросло количество фишинговых сайтов. Если в 2015 году веб-ресурсов, которые заставляли пользователей оставлять данные платежных карточек под предлогом оказания несуществующих услуг, было обнаружено 38, то уже в 2016 году специалисты Украинской межбанковской ассоциации членов платежных систем (EMA) выявили 174 таких сервиса в интернете[16].

Число фишинговых сайтов в Украине за год увеличилось в 4,5 раза. В 2016 году специалистами Украинской межбанковской ассоциации членов платежных систем (EMA) было обнаружено 174 мошеннических ресурса, хотя год назад было зафиксировано 38 ресурсов такого рода.

Цель этих лжесервисов одна – пользователь должен оставить данные своей карточки на сайте. Достигают ее мошенники различными способами. Как отмечают в ЕМА, 90 из 174 мошеннических ресурсов предлагали «пополнить» счет мобильного телефона, 54 якобы осуществляли «перевод» денег с карты на карту, а 28 фишинговых сайтов позволяли выполнить и ту, и другую операцию одновременно. Были замечены и такие сервисы, на которых в платежной форме происходил подмен номера карты получателя на номер карты мошенников, платеж при этом осуществлялся, но деньги переводились на карту преступника.

Кражи с банковских карт опасаются 65% россиян

По данным ВЦИОМ 65% россиян с опасением относятся к возможности кражи их средств и персональной информации с электронных счетов и банковских карт[17].

Специалисты Всероссийского центра изучения общественного мнения также выяснили, что пользователи "пластика" опасаются столкнуться с потерей денег из-за информации, распространяемой злоумышленниками через СМС или по электронной почте (56%).

Кроме того, каждый третий россиянин сталкивался с противоправными действиями, связанными с сотовой связью и интернет-сервисами. Наиболее высоки доля таких случаев среди молодежи (36% 18-34-летних), москвичей и петербуржцев (37%), активных интернет-пользователей (38%) и жителей средних городов (43%).

Чувство безопасности при использовании банковских карт испытывают лишь 36% респондентов, 58% скорее ощущают свою беззащитность.

Россия - лидер по числу мобильных банковских троянов

В 2016 году количество вредоносных установочных программ на мобильных устройствах по всему миру выросло в три раза по сравнению с 2015 годом, до 8,5 млн, говорится в отчете компании «Лаборатории Касперского». Речь идет о содержащих вирусы программах, которые пользователь устанавливает на устройство как осознанно (например, приобретая сомнительное приложение в магазине), так и неосознанно (уже зараженное устройство само приобретает и устанавливает приложение)[18].

При этом Россия оказалась лидером по количеству мобильных банковских троянов, то есть программ, предназначенных для кражи финансовой информации пользователей. С этим видом угроз столкнулись 4% мобильных пользователей. Следом идет Австралия с долей 2,26%. «Самый популярный мобильный банковский троян Svpeng распространялся в основном в России», — отмечается в сообщении компании. В прошлом году первенство в этом специализированном рейтинге занимала Южная Корея с долей в 13,8% от всех атакованных пользователей. Россия была третьей с 5,1%.

По доле пользователей, атакованных мобильными вредоносными программами всех разновидностей, лидером оказался Бангладеш, где 50,09% владельцев смартфонов или планшетов столкнулись с вирусами и вредоносными программами. В тройке также Иран (46,87%) и Непал (43,21%). Затем идет Китай (в прошлом году занимал первую позицию; в тройке также были Нигерия и Сирия).

В «Лаборатории Касперского» такие результаты объяснили тем, что в указанных странах сильно распространены так называемые рекламные трояны, которые получают доступ к системным настройкам смартфона для показа рекламы. Эти программы могут также воровать финансовую информацию или устанавливать сторонние приложения без ведома пользователя.

Positive Technologies: как крадут деньги у банка

16 декабря 2016 года компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации похищены несколько миллионов рублей (эквивалент в местной валюте).

Случай помог избежать более крупных потерь: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, что не позволило злоумышленникам в полном объеме выполнить свои задачи по выводу денег.

Эксперты Positive Technologies отметили ряд деталей, характерных для современных кибератак на финансовые организации:

  • Злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. В конкретном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троян Beacon класса RAT (Remote Access Trojan), имеющий возможности по удаленному управлению системами. Использованы: программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.
  • Использование фишинговых рассылок остается одним из успешных векторов атаки из-за недостаточного уровня осведомленности работников в вопросах ИБ. Вектор заражения инфраструктуры банка основан на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитирующих финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время выполнили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.
  • Нацеленные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и украли денежные средства: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.

«
Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь "для галочки", с целью соответствия требуемым стандартам.

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России
»

Positive Technologies. Ноябрь 2016

В ходе расследования инцидента экспертами Positive Technologies собрано множество хостовых и сетевых индикаторов компрометации, они направлены в FinCERT Банка России с целью распространения информации среди финансовых организаций и предотвращения подобных атак в будущем.

«За отчетный период FinCERT зафиксировал значительное число атак, связанных с подменой входных данных для АРМ КБР (изменение содержимого XML-документа, используемого для формирования электронного сообщения, направляемого в Банк России). Атака производилась по следующей схеме: В большинстве случаев в кредитную организацию злоумышленниками направлялось электронное письмо, содержащее вредоносное ПО, не детектируемое антивирусными средствами…»

Банковский троянец Tordow 2.0 пытается получить root-привилегии на смартфонах

Исследователи Comodo выявили новую версию банковского зловреда Tordow, атакующего пользователей в России. Троянец пытается получить root-привилегии на устройстве, что делает борьбу с ним чрезвычайно проблематичным делом.

Tordow 2.0 способен выполнять функции шифровальщика-вымогателя, а также перехватывать телефонные звонки, SMS-сообщения, скачивать и устанавливать приложения без ведома пользователя, красть логины-пароли, перезагружать устройства, и, что самое опасное, манипулировать банковскими данными и уничтожать мобильные антивирусы. Подробнее здесь.

SWIFT предупредила банки о растущей угрозе кибератак

Руководство SWIFT разослало в декабре клиентским банкам письмо, в котором предупредило о растущей угрозе кибератак. Аналогичный документ попал в распоряжение редакции Reuters[19].

В письме SWIFT также говорится о том, что хакеры усовершенствовали свои методы кибератак на местные банковские системы. Одна новая тактика связана с использованием программного обеспечения, которое позволяет хакерам получить доступ к компьютерам технической поддержки.

«Угрозы постоянны, изощренны и обладают хорошей степенью адаптивности — и уже вошли в норму, — говорится в письме SWIFT. - К сожалению, мы продолжаем наблюдать случаи, в которых некоторые из наших клиентов в настоящее время скомпрометированы от воров, которые затем рассылают мошеннические инструкции по оплате через SWIFT — аналогичный вид сообщений, которые использовались для кражи средств Банка Бангладеш».

«Ростелеком» отразил DDoS-атаки на крупнейшие банки и финансовые организации России

«Ростелеком» отразил в декабре DDoS-атаки на 5 крупнейших банков и финансовых организаций России. Отраженные атаки имели похожий почерк: тип – TCP SYN Flood. Пиковая мощность составляла 3.2 миллиона пакетов в секунду. При этом самая продолжительная атака длилась более 2 часов. Все отраженные атаки были зафиксированы 5 декабря 2016 года.

Подробнее: DDoS-атака

6-кратный рост числа кибератак на российские банки

В декабре 2016 года Центральный банк России опубликовал обзор финансовой стабильности, в котором сообщил более чем о шестикратном увеличении количества кибератак на кредитные организации.

По данным ЦБ, с января по сентябрь 2016 года число несанкционированных операций по счетам физических и юридических лиц с использованием систем дистанционного банковского обслуживания составило 103,1 тыс. против 16,9 тыс. за аналогичный период 2015-го.

Количество кибератак на российские банки выросло в 6 раз

При этом объем удачных хакерских атак уменьшился на 25%: если за первые три квартала 2015 года преступникам удалось похитить у банков около 2,16 млрд рублей, то спустя года — 1,62 млрд рублей. У физических лиц украли 1,2 млрд рублей в январе–сентябре 2016 года, у юридических — порядка 387 млн рублей.

В Банке России считают, что финансовые организации несут убытки от деятельности кибермошенников по следующим основным причинам:

  • уязвимости в ИТ-системах и платежных приложениях;
  • недостатки в  обеспечении информационной безопасности и отсутствие должного соблюдения требований, установленных нормативными актами и отраслевыми стандартами;
  • отсутствие необходимой координации деятельности банков в области противодействия массовым и типовым кибератакам.

Для проверки систем онлайн-банкинга на предмет уязвимости к кибератакам ЦБ намерен создать межведомственную рабочую группу, в состав которой, помимо представителей регулятора, войдут сотрудники МВД, Минкомсвязи, ФСТЭК и Министерства финансов. До 2018 года планируется создать систему стандартизации, сертификации и контроля онлайн-сервисов банков и внести соответствующие изменения в законодательство.

Кроме того, ЦБ собирается ввести обязательное двойное подтверждение транзакций, идущих по дистанционным каналам. К началу декабря 2016 года большинство кредитных организаций в РФ используют для идентификации клиента рассылку по SMS одноразовых паролей или специальные электронные USB-ключи и смарт-карты. [20]

ФСБ предупредила о готовящихся кибератаках на банки России

2 декабря 2016 года Федеральная служба безопасности (ФСБ) РФ сообщила о предстоящих кибератаках на российские банки с целью дестабилизации национальной финансовой системы.

«
ФСБ России получена информация о подготовке иностранными спецслужбами в период с 5 декабря 2016 года масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков, — говорится в сообщении российской спецслужбы.
»

Иностранные спецслужбы готовят кибератаки на российские банки

По ее информации, серверные мощности и командные центры для проведения кибератак расположены на территории Нидерландов и принадлежат украинской хостинговой компании BlazingFast.

Силовики установили, что хакерские атаки будут сопровождаться массовой рассылкой SMS-сообщений и публикаций в социальных сетях и блогах провокационного характера в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ряда ведущих банков федерального и регионального значения.

Атака рассчитана на несколько десятков городов России, заявили в службе безопасности, добавив, что проводятся мероприятия по нейтрализации угроз экономической и информационной безопасности. [21]

В Центробанке сообщили, что регулятор осведомлен о готовящихся кибератаках на банки и работает со спецслужбами для их пресечения. [22]

Компания BlazingFast, которую ФСБ считает причастной к планам кибератак на РФ из Нидерландов, подтвердила сведения о клиентах там и будет проверять их возможную незаконную деятельность. Об этом РИА Новости сообщили в BlazingFast. [23]

«
У нас в основном зарубежные клиенты. У нас мало русских или украинских клиентов… Да, у нас есть в Нидерландах. Раз вы позвонили, и эта информацию уже где-то появилась, то мы сейчас быстро начнем проверять это все дело, — сообщил агентству представитель компании.т
»

DDoS-атаки на крупные российские банки

9 ноября 2016 года Сбербанк отразил мощную DDoS-атаку. Об этом в пресс-службе банка рассказали РИА Новости. Эксперты говорят, что атакован был не только Сбербанк.

«
Атаки организованы с ботнетов, включающих десятки тысяч машин, территориально распределенных по нескольким десяткам стран, — сообщили в Сбербанке.
»

DDoS-атаки на ИТ-системы Сбербанка осуществлялись в течение дня, при этом мощность кибернападений увеличивалась: первая атака была зафиксирована утром, следующая атака вечером уже состояла из нескольких этапов, каждый из которых был вдвое сильней предыдущего.

Хакеры атаковали крупнейшие российские банки

Специалисты по информационной безопасности Сбербанка смогли быстро выявить и локализовать атаку. В работе для клиентов банка не обнаружили сбоев.

«
Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка, — заверили в крупнейшей в России кредитной организации.
»

Помимо Сбербанка, мощные DDoS-атаки пережили еще несколько крупных российских банков, уточнили РИА Новости в «Лаборатории Касперского». По данным агентства, атаки были направлены на пять крупнейших банков из топ-10. Факт атаки подтвердили в «Альфа-банке».

В компании сообщили РИА Новости, что атака была «достаточно краткосрочная и слабая». Инцидент никак не повлиял на работу бизнес-систем банка, заверили представители кредитной организации. Какие еще банки подверглись атакам, не уточняется.

Средняя продолжительность каждой DDoS-атаки на российские банки составляла около часа, самая долгая длилась почти 12 часов. Некоторые банки, по данным «Лаборатории Касперского, подверглись нападениям киберпреступников неоднократно — сериями от двух до четырех атак с небольшим интервалом. Какие еще кредитные организации были атакованы, не уточняется. [24]

Сверло - новый инструмент банкоматных хакеров

В конце октября 2016 года заместитель председателя Сбербанка Станислав Кузнецов сообщил о новом способе кражи денег из банкоматов.

«
Преступление называется drilled box, когда просверливается дырочка в банкомате только определенной марки, подключается шина, и через эту шину выплачиваются мгновенно деньги. Производитель немедленно был проинформирован, что это легко и быстро сделать, но реакции от него не последовало, – рассказал Кузнецов, сообщает ТАСС.
»

По словам зампреда Сбербанка, тенденция использовать такой способ кражи появилась буквально четыре-пять месяцев назад. В то же время специалисты по информационной безопасности отмечают, что это уже давно известный способ мошенничества, который сочетает в себе механический и компьютерный взлом.

«
Я считаю, Сбербанк погорячился с новым термином drilled box и напрасно «встряхнул» рынок якобы каким-то новым видом угрозы. Это известная еще пару лет назад проблема, связанная с подключением к блоку управления диспенсером банкомата (устройство модуля выдачи денежных купюр) мошеннического устройства, так называемого Black Box, который минуя системный блок банкомата, дает непосредственную команду диспенсеру на выдачу денег из кассет, без каких-либо операций по картам, – пояснил TAdviser директор по мониторингу электронного бизнеса «Альфа-Банка» Алексей Голенищев.
»

Он добавил, что доступ к шине управления диспенсером можно получить не только, просверлив отверстия в панели банкомата, но и другими способами: например, вскрыв сервисную зону банкомата (открыв дверь и т.п.). Поэтому проблему нужно решать комплексно, а не от конкретного вида «атаки», считает Голенищев. «Проблема решается шифрованием данных/канала передачи данных от системного блока банкомата к диспенсеру. Такие решения есть, и их действительно стоит требовать от производителей», – пояснил он.

В компании Positive Technologies (Позитив Текнолоджиз), специализирующейся на информационной безопасности, тоже подтверждают, что такая техника не нова.

«
Первые упоминания об использовании сверл для проникновения в кабинетную зону банкомата датированы еще 2013 годом (до этого сверло просто использовали для того, чтобы заполнить банкомат газом и взорвать). Однако интерес к логическим атакам на банкоматы вновь привлек внимание злоумышленников и к этому сценарию, – говорит TAdviser руководитель отдела безопасности банковских систем компании Positive Technologies Тимур Юнусов.
»

По его словам, есть несколько самых популярных способов логических атак на банкоматы:

  • подключиться к устройству, выдающему купюры (диспенсеру), и напрямую отправить команды на выдачу денег. Последние модели банкоматов более или менее защищены от подобных атак.

  • подключиться к кардридеру и незаметно снимать карточные данные для последующего изготовления карт-дубликатов

  • использовать недостатки сетевых настроек для того, чтобы перехватывать данные, уходящие в банк. Таким образом можно как снимать карточные данные, так и заставлять банкомат выдать деньги с любой карты, даже не изменив баланс на ней.

  • подключиться к системному блоку, обойти средства защиты и установить зловреда, который будет производить те же самые манипуляции: сохранять карточные данные или выдавать деньги «по команде».

На банкоматы какого производителя жаловались в Сбербанке, в пресс-службе компании не комментируют. В других финансово-кредитных учреждениях тоже не говорят об этом. По словам источника в одном из банков, раскрывать эту информацию никому не выгодно: «Так как умельцы сразу начнут изучать банкоматы и сверлить их».

В компании Positive Technologies считают, что теоретически такое можно сделать с банкоматом любого производителя. По словам Тимура Юнусова, у любых банкоматов кабинетная зона всегда защищена очень слабо – по большому счету это обычная дверка из непрочного металла и пластика.

«
Самые популярные производители банкоматов – NCR, Diebold Nixdorf, Wincor Nixdorf. У каждого вендора найдется по 2−3 самых популярных модели. К каждой из них можно теоретически применить ту или иную атаку, все зависит от модели, настроек безопасности, недостатков конкретной сборки и человеческого фактора, – считает Тимур Юнусов.
»

Точно знать в каком месте сверлить, куда подводить провода и к чему в итоге подключаться – это своего рода нейрохирургическая операция, для которой нужна практика, считает эксперт.

Trend Micro: Трояны - главная угроза финансовой отрасли

22 сентября 2016 года компания Trend Micro Incorporated опубликовала отчет по информационной безопасности за первое полугодие 2016 года «Время программ-вымогателей» (The Reign of Ransomware), согласно данным которого, банковские трояны остаются одной из наиболее значимых угроз в финансовой отрасли.

В отчетном периоде отмечено повышение активности трояна QAKBOT - многокомпонентной угрозы, цель которой: банковские данные, информация о привычных действиях пользователя, другая конфиденциальная информация. Основная сложность в борьбе с троянами такого типа, как QAKBOT - их непрерывная эволюция и появление модификаций.

От атак с использованием троянов страдают банки, их корпоративные клиенты, сотрудники которых выполняют банковские транзакции, используя устройства, действующие в корпоративной сети. Похищенная банковская информация используется злоумышленниками для проведения мошеннических транзакций или продается на подпольных сайтах для извлечения прибыли. От действий банковских троянов финансовые организации несут потери на компенсацию убытков, которые понесли их клиенты в результате кибератак.

Технология, способная защитить систему пользователя, должна быть комплексной, отметила в отчете компания-исследователь. Система должна блокировать угрозы из Интернета, от вредоносных файлов и электронной почты. Помимо защиты конечных точек, банкам следует использовать на своих сайтах протоколы двухфакторной аутентификации и мотивировать клиентов быть предельно внимательными при открытии сообщений электронной почты, посещении сайтов и загрузке файлов.

Рассылка спама от имени украинских банков

14 июля 2016 года украинский ОПТ Банк сообщил о вирусной рассылке писем, маскированных под уведомления о задолженности по кредитам. Открывая вложенный файл, пользователи рискуют утечкой своих данных.

Как сообщает «Интерфакс» со ссылкой на заявление ОПТ Банк, целью массовой спам-атаки является направленный фишинг — мошеннический способ завладения персональными данными с помощью вируса, который содержится во вложенном файле и активизируется с его открытием.

Мошенники рассылают вирус в письмах о несуществующих долгах

Отмечается, что мошенники рассылают по электронной почте письма от имени украинских банков и уведомляют о якобы имеющихся у клиентов долгов по кредитам и готовящемуся в связи с этим судебным иском. К тексту письма прикреплен документ, загрузка которого может привести к заражению устройства компьютерным вирусом.

«
Мы настоятельно просим сохранять бдительность, не реагировать на эти письма и не открывать вложенные файлы. Для связи с клиентами сотрудники банка всегда используют официальные адреса почтовых ящиков банка и только адреса клиентов, указанные ими при подписании документов, — сообщили в банке.
»

В компании также отметили, что ОПТ Банк не имеет никакого отношения к данным письмам и подобную рассылку не проводит.

Чтобы избежать неприятных последствий, связанных с заражением компьютеров вирусами, ОПТ Банк рекомендует придерживаться основных правил безопасности: не открывать письма и вложения, не глядя, а также проверять корректность адреса отправителя перед открытием сообщения. Если письмо пришло с незнакомых или подозрительных адресов или содержит вложенные файлы, архивы или ссылки на любые интернет-ресурсы, необходимо немедленно удалить это письмо, в том числе копии, размещенные в папках «Отправленные» и «Удаленные». [25]

Цены взлома банковских карт

Компания Dell SecureWorks, которая специализируется на оценке и анализе информационной безопасности компьютерных систем, опубликовала летом 2016 года «прейскурант» цен на услуги хакеров по всему миру.

«Услуги» на взлом банковских карт значительно подешевели. Так доступ к картам Visa и Master Card американского банка будет стоить 7$, европейского банка – 40$. Взлом кредитки Premium Visa и MasterCard обойдется в 30-80$.

Масштабы несанкционированных операций по банковским картам впечатляют – за 2015 год в России было совершенно более 260 тыс. мошеннических операций на сумму 1,14 млрд. рублей.

Смотрите также: Расценки пользовательских данных на рынке киберпреступников

24% российских банков подвергаются DDoS-атакам

В июне 2016 года Qrator Labs и Wallarm (Валарм) опубликовали результаты исследования ситуации с информационной безопасностью в финансовом секторе. Опрос показал, что почти четверть российских банков сталкивается с DDoS-атаками.

Для составления отчета было опрошено 150 представителей (руководителей ИТ-подразделений, их заместителей, а также руководителей департаментов, отвечающих за вопросы информационной безопасности) более 130 банков и 12 платежных систем.

Согласно результатам исследования, 24% российских банков в 2015 году пережили DDoS-атаки. Еще 21% и 17% учреждений столкнулись с фишингом и взломом соответственно. У 34% опрошенных не было проблем с информационной безопасностью.

Попытки взлома приложений были зафиксированы 17% опрошенных, поэтому компании уделяют все больше внимание защите своего периметра. Регулярно проводят аудит безопасности более 80% компаний.

Эксперты отмечают, что несмотря на сложную ситуацию в экономике, банки стараются сохранить ИБ-расходы на высоком уровне. Около трети респондентов увеличили в 2015 году свой ИБ-бюджет и еще 44% сохранили его в прежнем объеме.

Большинство участников опроса (69%) считают самым эффективным средством противодействия операторское решение по защите от DDoS. Однако эксперты Qrator и Wallarm предупреждают, что этот метод устарел. Лишь 9% опрошенных считают эффективными облачные решения.

Исследование также показало, что в отрасли понимают основные риски и последствия инцидентов ИБ: 61% опрошенных говорят, что проблемы с безопасностью могут привести к отзыву банковской лицензии.

Информационная безопасность — важный приоритет для организаций финансового сектора. Серьезность киберугроз здесь в достаточной мере осознают, что указывает на достижение определенной зрелости в вопросах ИБ, сообщили исследователи.

Группировка из 50 хакеров задержана за хищение 1,7 млрд рублей

В июне 2016 года СМИ со ссылкой на силовые структуры сообщали[26], что хакеры при помощи вредоносной программы похитили более 1,7 млрд рублей со счетов российских банков. Были задержаны 50 киберпреступников, которые действовали по всей стране. В рамках операции по задержанию хакеров проведены более 80 обысков в 15 регионах страны.

«
МВД России совместно с ФСБ России задержаны 50 подозреваемых в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения, - сообщила официальный представитель МВД России Ирина Волк.
»

Она добавила, что в результате оперативных мероприятий заблокированы фиктивные платежные поручения на 2,2 миллиарда рублей. В Центре общественных связей ФСБ рассказали агентству «Интерфакс», что в результате обысков были изъяты компьютерная техника, средства связи, банковские карты, оформленные на подставных лиц, а также финансовые документы и значительные суммы наличных.

Было возбуждено уголовное дело по статьям «Организация преступного сообщества и участие в нем» и «Мошенничество в сфере компьютерной информации».

2015

Experian: Мошенничество по кредитным картам. Как обезопасить себя от кражи персональных данных

По данным Experian в Великобритании уровень мошенничества по текущим счетам в 2015 г. вырос более чем в 2 раза: с 73 на каждые 10 000 заявок в январе до 156 на 10 000 заявок в декабре. Рост мошенничества по текущим счетам также способствовал изменению соотношения между мошенничеством первого лица и хищением персональных данных. В начале 2015 г. 51% заявок по всем финансовым продуктам, признанных мошенническими и отклоненных, были классифицированы как мошенничество первого лица, а 49% – как попытка кражи персональных данных (мошенничество третьего лица). К концу года — это соотношение значительно изменилось – в декабре на долю хищения персональных данных пришлось 59%.

Мошенничество по кредитным картам в январе 2015 г. составило в Великобритании 36 на каждые 10 000 заявок, однако в течение года увеличилось до 55 на 10 000 заявок. Аналогичным образом, мошенничество по страховым полисам составляло 37 на каждые 10 000 заявок в начале года, но выросло до 68. Как и в случае с мошенничеством по текущим счетам, мошенничество по кредитным картам было в значительной степени связано с хищением персональных данных.

"Мошенничество по текущим счетам вышло на передний план в 2015 г. Главную роль в нем сыграли преступники, ворующие персональные данные. Положительный аспект состоит в том, что обнародованные цифры относятся к выявленному и предотвращенному мошенничеству, то есть свидетельствуют о надежности систем, защищающих финансовые продукты, - комментирует Фролова Наталия, директор по маркетингу Experian, Россия и СНГ. – Однако, нам всем все же необходимо быть бдительными и стараться следовать не таким уж и сложным правилам сохранения безопасности своих персональных данных".

Как обезопасить себя от кражи персональных данных

  • Всегда рвите или иным способом уничтожайте ставшие ненужными документы, содержащие ваши персональные данные, ни в коем случае не выбрасывайте их целиком
  • Ни в коем случае не реагируйте на "холодные звонки" и электронные сообщения, в которых вас просят предоставить реквизиты счета, PIN-коды, пароли или персональные данные
  • Не сообщайте о себе слишком много сведений в социальных сетях, например, клички домашних животных, которые вы можете использовать в качестве паролей
  • Регулярно отслеживайте почту, чтобы знать, когда ожидать важных финансовых или иных документов, которые могут содержать ваши персональные данные и принимайте меры в случае их отсутствия
  • При переезде не поленитесь дойти до почты и предупредить их о необходимости переадресации вашей почты
  • Всегда используйте надежные уникальные пароли для максимально возможного количества учетных записей в интернете, а в идеале – индивидуальный пароль для каждой из них. В самом крайнем случае придумайте уникальные пароли для каждого типа поставщиков услуг, таких как финансовые учреждения, интернет-магазины и электронная почта
  • Не храните логин и пароль на своем смартфоне: в электронном сообщении, в виде заметки или для "автоматического заполнения" при открытии интернет-сайта или приложения. Эта информация станет золотой жилой для мошенников в случае утери или кражи вашего телефона
  • Не ленитесь проверять выписки по банковским счетам и картам на предмет подозрительных транзакций
  • Регулярно проверяйте свою Кредитную историю: там указаны все ваши действия по кредитам, так что вы сможете выявить расходы, не имеющие к вам отношения.

Банки в ЕС обязали делиться информацией о кибератаках

8 декабря 2015 года стало известно о том, что европейские чиновники поддержали первый для ЕС закон о регулировании кибербезопасности. Он обязывает компании делиться данными об атаках на их сервисы. В случае отказа на них могут быть наложены санкции, передает информационное агентство Reuters.

Представители Европейской комиссии, Европейского парламента и стран Европейского союза после пятичасового обсуждения договорились о принятии законопроекта о кибербезопасности. Одним из требований является то, что компании должны будут раскрывать властям информацию об инцидентах, связанных с хакерскими нападениями на их компьютерные системы. В противном случае им будут грозить крупные штрафы.

Европа согласилась принять первый киберзакон

Это касается организаций и предприятий, представляющих критически важные для человека сферы деятельности, в том числе транспортную промышленность, энергетику, финансовый сектор и здравоохранение. Требования относятся и к интернет-компаниям, таким как Google, Amazon и eBay, но не распространяются на социальные сети.

Помимо необходимости уведомлять о кибератаках, от европейского бизнеса потребуют обеспечения высокого уровня информационной защиты своих инфраструктур.

По словам вице-президента Еврокомиссии по вопросам единого цифрового рынка ЕС Андруса Ансипа (Andrus Ansip), новая законодательная директива направлена на повышение доверия потребителей к онлайн-сервисам, особенно международным.

«Интернет не знает границ: проблема в одной стране может легко перекинуться на остальную часть Европы. Именно поэтому ЕС нуждается в глобальных решениях в области кибербезопасности. Принятое соглашение является важным шагом в этом направлении», — заявил Ансип.

Он также отметил, что в данном случае речь идет о первом когда-либо принятом законе, регулирующем вопросы кибербезопасности на территории всей Европы. О том, когда новые требования вступят в силу, не уточняется.[27]

Positive Technologies: основные тенденции кибератак в банках в 2015 году

15 октября 2015 года представители компании Positive Technologies (Позитив Текнолоджиз) выступили на конференции «Тенденции развития преступлений в области высоких технологий — 2015».

Среди основных тенденций в банковской сфере эксперты отметили рост случаев мошенничества по безналичным операциям (покупки в интернет-магазинах и т. п.) и атак на процессинг с обналичиваем украденных средств через банкоматы (потери в каждом из ставших известными случаев варьируются от 3 млн до 14 млн долл.). Также выросло количество физических атак на банкоматы: от традиционных ухищрений типа «ливанской петли» до вирусов GreenDispenser, позволяющих хакерам извлекать банкноты из кассет банкоматов.

По оценке экспертов Positive Technologies, общемировой объем потерь в 2014 году только по мошенничествам с пластиковыми картами составил около 16 млрд долл. По итогам 2015 года ожидается, что эта цифра увеличится на 25% и приблизится к 20 млрд. Это обусловлено ростом объема банковских операций, а не хорошей подготовкой преступников. При этом за последние 20 лет наблюдений доля случаев мошенничества в общем объеме операций практически не менялась: мошенники зарабатывают примерно 6 центов с каждых 100 долларов, проходящих через банки, и эта цифра из года в год меняется всего на плюс-минус полцента с сохранением среднего значения.

С 2006 года, с момента внедрения международного стандарта для операций по банковским картам с чипом EMV, неуклонно снижается объем потерь, связных со скиммингом (кража данных карты при помощи специального считывающего устройства — скиммера). И хотя уровень потерь по-прежнему высок, по итогам следующего года эксперты ожидают значительное снижение. Это связано с тем, что в октябре 2015 к общемировой практике присоединились США, на которых приходится примерно две трети общемировых потерь.

2013: Карточное мошенничество (рынок Европы)

Россия заняла первое место в Европе по темпам роста убытков от мошеннических операций с банковскими картами в 2013 году. Объем этих потерь в России в 2013 году вырос на 27,6% по сравнению с показателем годом ранее и, соответственно, в 10 раз в сопоставлении с данными 2006 года, и на 365% – 2008 года.

По объему же этих потерь, которые увеличились на 22,5 млн евро и достигли 104,1 млн евро в прошлом году, Россия находится на четвертом месте среди 19 европейских стран. Ее опережают: Великобритания (534,9 млн евро), Франция (428,9 млн евро) и Германия (116,3 млн евро). Таковы данные, представленные на разработанной FICO интерактивной карте «Эволюция карточного мошенничества в Европе 2013».

При этом, в России мошенничество с картами так называемым способом Card Not Present намного ниже, чем в странах Западной Европы (в нашей стране его доля всего 3% от убытков). Одна треть от российских убытков (1683,8 млн руб.) приходится на Counterfeit Cards и примерно столько же (1599,4 млн руб.) – на Lost and Stolen. Мошенничество способом ID Fraud в России принесло убытки в размере 685,2 млн руб.

«FICO отмечает, что в тех условиях, когда рынок еще не насыщен и распространение карт в России продолжается, угроза мошенничества не так очевидна – но скорость, с которой увеличиваются убытки от него, настораживает. Специалисты FICO предупреждают, что когда темпы роста карточного рынка выровняются, а убытки будут возрастать, решение по внедрению разработок по противодействию мошенничеству может оказаться запоздалым – ведь на установку и получения результата может уйти от шести до восьми месяцев», - говорит руководитель FICO в России Штеманетян Евгений.

В 2013 году совокупные убытки от мошенничества с картами в 19 европейских странах составили 1,55 миллиарда евро, даже немного превысив показатель 2008 года, когда наблюдалось последнее пиковое значение.

2011: Атаки трояна Carberp

Основная статья: Carberp (троян)

Смотрите также





Примечания

  1. Госдума приняла законопроект о противодействии хищениям с банковских счетов
  2. Хищение с банковских карт стало уголовно наказуемым преступлением: Госдума
  3. Шесть главных фактов о финансовом мошенничестве в России
  4. Исследование провело аналитическое агентство TAdviser среди 50 самых крупных банков и страховых компаний России и СНГ. Экспертами выступали руководители ИТ-департаментов, их заместители, а также руководители со стороны служб ИБ. Агентство использовало формат телефонных интервью. Исследование проводилось в июле — августе 2017 г.
  5. Исследование VMware, проведенное в июне 2017 года среди 166 респондентов из банков с активами не менее 15 миллиардов долларов США: How Technology Will Shape the Bank of the Future
  6. Верховный суд РФ пояснил тонкости квалификации кибермошенничества
  7. «Лаборатория Касперского» предупредила о новой атаке на российские банки
  8. Специалисты Trend Micro и Европола рассказали, как ломают банкоматы
  9. A Shift in the ATM Malware Landscape: From Physical to Network-based Attacks
  10. Крупные европейские банки начали активно страховать капитал от кибератак
  11. Начались продажи устройства для клонирования кредитных карт, лежащих в чужом кармане
  12. ЦБ РФ сообщил банкам о новом способе хищения средств с банковских карт
  13. В России научились воровать деньги с кредитных карт с помощью Pokemon Go
  14. Кибермошенники создали новый способ краж денег с карт
  15. Банковские троянцы увеличат число атак на Android
  16. Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году
  17. Опрос ВЦИОМ был проведен 10-11 декабря 2016 г., в нем приняло участие 1,6 тыс. человек в 130 населенных пунктах в 46 областях, краях и республиках 8 федеральных округов России. Статистическая погрешность не превышает 3,5%.
  18. Россия в 2016 году стала лидером по числу мобильных банковских троянов
  19. SWIFT предупредила банки о растущей угрозе кибератак
  20. Обзор финансовой стабильности
  21. Иностранные спецслужбы готовят кибератаки, направленные на дестабилизацию финансовой системы России
  22. ЦБ осведомлен о готовящихся кибератаках на банки, работает со спецслужбами для их пресечения
  23. BlazingFast проверит клиентов на причастность к подготовке кибератак на РФ
  24. Сбербанк отразил мощную DDoS-атаку
  25. ОТП Банк заявляет о массовой спам-атаке от имени банков с уведомлением о задолженности по кредиту
  26. Группировка из 50 хакеров задержана за хищение 1,7 млрд рублей
  27. EU lawmakers, countries agree on bloc's first cyber-security law