2017/01/20 21:20:30

Информационная безопасность в банках

.

Содержание


Некоторые подтемы вынесены в отдельные статьи:

Мошенничество по текущим счетам не только подразумевает использование полного лимита овердрафта держателя счета, но и зачастую открывает двери для последующей мошеннической деятельности. Преступники могут использовать информацию, полученную в результате успешной кражи ваших персональных данных, для последующих махинаций с другими финансовыми продуктами, такими как потребительские кредиты или кредитные карты.

2017

«Доктор Веб»: ожидается рост числа атак на Android-системы

20 января 2017 года аналитики компании «Доктор Веб» озвучили вероятность значительного увеличения количества банковских "троянцев" на платформе Android (Android-банкеры) и роста числа атак, совершаемых при их посредстве.

Современные банковские троянцы для ОС Android создаются вирусописателями и продаются, как коммерческие продукты через подпольные интернет-площадки. На хакерском форуме в свободном доступе появился исходный код одного из вредоносных приложений с инструкциями по его использованию. Вирусные аналитики компании «Доктор Веб» полагают, что это может привести к возрастанию количества Android-банкеров и росту числа совершаемых с их помощью атак [1].

Скриншот экрана перед запуском вируса Android.BankBot.33.origin, (2016)

Создатели вирусов опубликовали исходный код вредоносного приложения в декабре 2016 года, а специалисты компании «Доктор Веб» обнаружили Android-банкера, созданного на основе предоставленной кибер-преступниками информации.

Этот троянец под именем Android.BankBot.149.origin распространяется под видом безобидных программ. После загрузки на смартфон, планшет и установки, банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Затем прячется от пользователя, убирая свой значок с главного экрана. Потом вирус подключается к управляющему серверу и ожидает команд.

Троянец может выполнять действия:

  • отправлять SMS-сообщения;
  • перехватывать SMS-сообщения;
  • запрашивать права администратора;
  • выполнять USSD-запросы;
  • получать из телефонной книги список номеров всех имеющихся контактов;
  • рассылать SMS с полученным в команде текстом по всем номерам из телефонной книги;
  • отслеживать местоположение устройства через спутники GPS;
  • запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку SMS-сообщений,
  • выполнение звонков,
  • доступ к телефонной книге
  • работа с GPS-приемником;
  • получение конфигурационного файла со списком атакуемых банковских приложений;
  • показ фишинговых окон.

Троянец крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Исследованный вирусными аналитиками «Доктор Веб» образец контролирует запуск более трех десятков таких программ. Как только вирус обнаруживает, что одна из них начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка и показывает ее поверх атакуемого приложения.

Помимо кражи логинов и паролей троянец пытается похитить информацию о банковской карте владельца зараженного мобильного устройства. Для этого вирус отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter, Play Маркет и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play. При поступлении SMS троянец выключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные SMS из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер.

Украденные данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью кибер-преступники получают информацию, управляют вредоносным приложением. Возможности этого троянца вполне стандартные для современных Android-банкеров. Однако, поскольку кибер-преступники создали его с использованием доступной всем информации, можно ожидать появления множества аналогичных троянцев.

Российские эксперты назвали главные проблемы безопасности мобильных и интернет-банков

Проблемы безопасности мобильных и интернет-банков известны давно, а открываемые новые уязвимости, как правило, не вносят существенных изменений в сложившиеся модели угроз.

Image:Banki_mob_int_pas.png

Эксперты уверены, что основными проблемами на протяжении последних 3-5 лет остаются: априори недоверенная среда (мобильное устройство), опасность заражения мобильного устройства и компьютера через интернет, недостаточность встроенных средств защиты в программные продукты со стороны разработчиков систем ДБО и интернет-банкинга, а также невыполнение элементарных требований безопасности пользователями.

Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.", полагает, что задача имеет решение только в тех банках, где потери умеют считать и квалификация состава ИТ, ИБ и бизнес-подразделений на высоте. Профессионалы, когда это одна команда, всегда находят решение, не важно, чисто организационными или организационно-техническими средствами, уверен он.

Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании "Инфосистемы Джет" называет ключевой проблемой использования сервисов ДБО уязвимость клиента.

« Любая схема защиты напрямую связана с действиями или знанием клиента. А, значит, какое бы средство защиты или подтверждение операций мы не предоставляли клиенту, оно может быть скомпрометировано как извне, так и самим пользователем, - уверен Сизов. - Именно относительная легкость воздействия на клиента, его доверчивость, неосведомленность, халатность в обращении со средствами ИБ позволяет злоумышленникам обходить самые совершенные средства защиты. »

При этом использование мобильных платформ только снижает устойчивость продуктов и каналов обслуживания к мошенничеству. Если используя ПК и мобильный телефон для проведения операций (формально – это два независимых канала), обеспечивается некоторая степень информационной безопасности, то совмещая в одну точку и программу, и методы аутентификации, и подтверждение платежа – этот порог снижается.

« Кто-то решает эту проблему снижением типов допустимых операций, установкой лимитов на такие платформы, но большинство не различают с точки зрения рисков классический web-банкинг и мобильный. К сожалению, это приводит к тому, что сегодня именно среди атак в сегменте мобильных платформ фиксируется наибольший рост, - отмечает эксперт. »

Еще одой из проблем является рост доли использования социальной инженерии со стороны злоумышленников в схемах атак на клиентов. С одной стороны, это свидетельствует о повышении защищенности технических аспектов банковских сервисов, но с другой - показывает простоту и уязвимость именно клиентской стороны.

« Если вчера «социалка» использовалась исключительно для получения части данных клиента, а атака проводилась в режиме «без клиентов», и сам пользователь не способствовал совершению неправомерной операции, то сегодня фраз от клиентов «а что же я наделал» становится все больше. Сегодня социальная инженерия это не только возможность провести одну нелегитимную операцию, но и способ получить полный доступ к счету или платежному инструменту, который «сводит на нет» многие технические аспекты защиты от злоумышленников, - считает Алексей Сизов. »

Управляющий партнер Maykor-BTE Максим Никитин, к типичным проблемам в области безопасности мобильных и интернет-банков относит недостаточный уровень шифрования данных и возможность запуска мобильного приложения в общественных интернет-сетях, где вероятен перехват трафика.

« Решение лежит на поверхности и заключается в разработке и внедрении улучшенных систем шифрования и тестировании приложений на возможность атак в общественном месте, - полагает он. »

Дмитрий Демидов, руководитель департамента CRM компании «Норбит» (входит в группу компаний ЛАНИТ) с точки зрения безопасности видит большую проблему в средствах авторизации. В частности, он отмечает, что простая авторизация через код, полученный в SMS-сообщении, легко взламывается. Однако, применение других средств авторизации сильно усложняет активацию мобильного и интернет-банков.

« Банки решают это проблему по-разному – через активацию при помощи банкоматов или через отделения. Сейчас ведется несколько проектов по созданию таких средств – как с применением аппаратной составляющей, так и при помощи только программного обеспечения. Очень надеюсь, что эта проблема будет решена, - говорит он. »

Кроме того, разработка мобильных приложений зачастую производится в очень сжатые сроки. Возможно, еще мало кто серьезно занимался изучением взломостойкости мобильных приложений, считает Демидов.

« Полагаю, что скорость реализации функций может ставиться во главу, в ущерб проработке вопросов безопасности. Не исключено, что нам еще предстоит услышать в новостях о взломах мобильных приложений, - отмечает эксперт. »

В тоже время Виталий Патешман, директор по продажам компании BSS, говоря о возрастающей актуальности вопросов безопасности ДБО, отмечает, что эксперт в области предотвращения и расследования киберпреступлений и мошенничества с использованием высоких технологий компания Group-IB провела аудит безопасности платформы ДБО BSS, который показал, что эти решения на сегодняшний день обладают высокой степенью защищенности.

« Дополнительно мы реализовали новые возможности за счет интеграции с решением Group-IB и с решениями компании SafeTech», - рассказывает представитель BSS. »

Максим Болышев, заместитель директора департамента банковского ПО RS-Bank компании R-Style Softlab выделяет три основных проблемы безопасности. Так, по его мнению, безопасность интернет-банков идет в разрез с удобством пользования, поэтому банки вынуждены искать компромисс между удобством и безопасностью. Вторая проблема – дороговизна электронной подписи для физических лиц, вследствие чего она не получила широкого распространения среди этой группы пользователей. И третья - большое количество разнообразного вредоносного ПО для мобильных устройств и отсутствие универсального, гарантирующего стопроцентную безопасность решения для банка и клиента.

Директор по работе с финансовыми институтами компании «ФОРС-Центр разработки» Юрий Терехин главной проблемой называет увеличение объёмов хакерских атак при снижении их профессионального уровня.

По его словам, это связано с тем, что высокопрофессиональные группы хакеров сместились в более маржинальный сектор по сравнению с розницей, и стали осуществлять атаки на сами банки и платёжные системы (СВИФТ). Вместе с тем, высокая доступность инструментов взлома уязвимостей позволяет проводить атаки на розничных клиентов силами непрофессионалов или начинающих хакеров. Но, поскольку для банковских ИБ это уже пройденный этап, то потери банков в этом направлении, предположительно, не растут.

« Хорошо известные методы защиты для мобильных и интернет-банков будут совершенствоваться и дальше ради увеличения безопасности клиентских средств, - считает Терехин. - Будет более широко использоваться многофакторная авторизация с использованием биометрических данных (сканирование отпечатков пальцев, радужной оболочки глаз, распознавание голоса и т.п.). »

Михаил Домалевский, менеджер отдела развития департамента информационной безопасности группы компаний Softline, предлагает взглянуть на проблему безопасности банковской системы России в целом. По его данным, 2016 год оказался переломным для ИБ в банковском секторе. Именно в этом году открыто заговорили о действиях хакеров, мошенников и вообще злоумышленников, о масштабах вреда, который они причиняют банкам.

« Раньше банки и их клиенты редко несли крупные финансовые потери непосредственно от хакерских атак, стараясь в первую очередь защититься от «сливов» клиентской базы через инсайдеров и не допустить просачивания подобной информации в СМИ. Сейчас из-за хакерских атак банк фактически может потерять лицензию, - рассказывает эксперт. - В ответ на этот вызов финансовые организации объединяют ресурсы и усилия для создания собственных центров мониторинга и реагирования на инциденты ИБ, для развития межбанковского обмена для борьбы с выводом украденных средств. »

По мнению Домалевского, многое для защиты от хакерских атак делает и регулятор. Так, Центральный банк выпустил ряд дополнительных регламентирующих документов в области ИБ, в частности - положение «О требованиях к защите информации в платежной системе Банка России». Этот документ обязывает банки сообщать о киберинцидентах в жесткие временные сроки.

« Создание регулятором собственного Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT), интеграция его с имеющимися коммерческими и банковскими центрами мониторинга ИБ, четкий регламент взаимодействия всех участников процесса должны в перспективе уменьшить количество целенаправленных атак организованной киберпреступности и снизить потери от кибератак на банки до допустимых, - считает представитель Softline. »

Zecurion: Объем краж денег с банковских карт вырастет на 30%

В 2016 г. количество краж, осуществленных с банковских карт через интернет по вине их владельцев увеличилось на 78% и достигло 107 тыс. При этом, по мнению экспертов, в 70% случаев клиенты банков сами осознают, каким именно способом мошенники завладели их деньгами, — но выводы делают слишком поздно.

В частности, наиболее распространенным способом мошенничества с пластиковыми картами является атака компьютеров с пользовательскими данными с помощью вирусов-троянов и получение доступа к счету жертвы после незаконного изготовления дубликата ее SIM-карты. В данном случае клиенты виноваты в том, что они пользуются интернет-банкингом на рабочих компьютерах или интегрируют его с социальными сетями.

Также высокую степень риска создает и использование мобильного приложения на смартфоне для входа в личный кабинет интернет-банка — особенно после выбора четырехзначного кода вместо полноценного логина и пароля для авторизации.

Для защиты своих денежных средств на банковских картах эксперты рекомендуют пользоваться интернет-банком с отдельного компьютера, не хранить на пластиковой карте крупные суммы денег, пополнять баланс карты по мере необходимости, не заходить в интернет-банк через открытые сети Wi-Fi.

Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году

За 2016 год в Украине в 4,5 раза выросло количество фишинговых сайтов. Если в 2015 году веб-ресурсов, которые заставляли пользователей оставлять данные платежных карточек под предлогом оказания несуществующих услуг, было обнаружено 38, то уже в 2016 году специалисты Украинской межбанковской ассоциации членов платежных систем (EMA) выявили 174 таких сервиса в интернете[2].

Число фишинговых сайтов в Украине за год увеличилось в 4,5 раза. В 2016 году специалистами Украинской межбанковской ассоциации членов платежных систем (EMA) было обнаружено 174 мошеннических ресурса, хотя год назад было зафиксировано 38 ресурсов такого рода.

Цель этих лжесервисов одна – пользователь должен оставить данные своей карточки на сайте. Достигают ее мошенники различными способами. Как отмечают в ЕМА, 90 из 174 мошеннических ресурсов предлагали «пополнить» счет мобильного телефона, 54 якобы осуществляли «перевод» денег с карты на карту, а 28 фишинговых сайтов позволяли выполнить и ту, и другую операцию одновременно. Были замечены и такие сервисы, на которых в платежной форме происходил подмен номера карты получателя на номер карты мошенников, платеж при этом осуществлялся, но деньги переводились на карту преступника.

Кражи с банковских карт опасаются 65% россиян

По данным ВЦИОМ 65% россиян с опасением относятся к возможности кражи их средств и персональной информации с электронных счетов и банковских карт[3].

Специалисты Всероссийского центра изучения общественного мнения также выяснили, что пользователи "пластика" опасаются столкнуться с потерей денег из-за информации, распространяемой злоумышленниками через СМС или по электронной почте (56%).

Кроме того, каждый третий россиянин сталкивался с противоправными действиями, связанными с сотовой связью и интернет-сервисами. Наиболее высоки доля таких случаев среди молодежи (36% 18-34-летних), москвичей и петербуржцев (37%), активных интернет-пользователей (38%) и жителей средних городов (43%).

Чувство безопасности при использовании банковских карт испытывают лишь 36% респондентов, 58% скорее ощущают свою беззащитность.

2016

ЦБ поможет блокировать сайты с вредоносным контентом

Интернет-сайты с вредоносным контентом, относящимся к сфере финансовых рынков и национальной платежной системе, будут блокироваться на основе данных, полученных от Центробанка. Об этом сообщило ТАСС[4].

Такие действия предусмотрены в соглашении между Банком России и Координационным центром национального домена интернета – администратором национальных доменов верхнего уровня «.рф» и «.ru».

ЦБ получил статус компетентной организации, наделенной правом выявлять сайты-нарушители, которые распространяют вредоносные программы, ресурсы с противоправным содержанием, фишинговые сайты, и предоставлять эти сведения координационному центру и аккредитованным регистраторам доменных имен для блокировки таких ресурсов.

Кроме того, Банк России призвал граждан информировать регулятора о недобросовестных сайтах, находящихся в отечественном доменном пространстве.

Positive Technologies: как крадут деньги у банка

16 декабря 2016 года компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации похищены несколько миллионов рублей (эквивалент в местной валюте).

Случай помог избежать более крупных потерь: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, что не позволило злоумышленникам в полном объеме выполнить свои задачи по выводу денег.

Эксперты Positive Technologies отметили ряд деталей, характерных для современных кибератак на финансовые организации:

  • Злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. В конкретном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троян Beacon класса RAT (Remote Access Trojan), имеющий возможности по удаленному управлению системами. Использованы: программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.
  • Использование фишинговых рассылок остается одним из успешных векторов атаки из-за недостаточного уровня осведомленности работников в вопросах ИБ. Вектор заражения инфраструктуры банка основан на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитирующих финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время выполнили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.
  • Нацеленные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и украли денежные средства: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.

« Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь "для галочки", с целью соответствия требуемым стандартам.

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России
»

Positive Technologies. Ноябрь 2016

В ходе расследования инцидента экспертами Positive Technologies собрано множество хостовых и сетевых индикаторов компрометации, они направлены в FinCERT Банка России с целью распространения информации среди финансовых организаций и предотвращения подобных атак в будущем.

«За отчетный период FinCERT зафиксировал значительное число атак, связанных с подменой входных данных для АРМ КБР (изменение содержимого XML-документа, используемого для формирования электронного сообщения, направляемого в Банк России). Атака производилась по следующей схеме: В большинстве случаев в кредитную организацию злоумышленниками направлялось электронное письмо, содержащее вредоносное ПО, не детектируемое антивирусными средствами…»

Банковский троянец Tordow 2.0 пытается получить root-привилегии на смартфонах

Исследователи Comodo выявили новую версию банковского зловреда Tordow, атакующего пользователей в России. Троянец пытается получить root-привилегии на устройстве, что делает борьбу с ним чрезвычайно проблематичным делом.

Tordow 2.0 способен выполнять функции шифровальщика-вымогателя, а также перехватывать телефонные звонки, SMS-сообщения, скачивать и устанавливать приложения без ведома пользователя, красть логины-пароли, перезагружать устройства, и, что самое опасное, манипулировать банковскими данными и уничтожать мобильные антивирусы. Подробнее здесь.

SWIFT предупредила банки о растущей угрозе кибератак

Руководство SWIFT разослало в декабре клиентским банкам письмо, в котором предупредило о растущей угрозе кибератак. Аналогичный документ попал в распоряжение редакции Reuters[5].

В письме SWIFT также говорится о том, что хакеры усовершенствовали свои методы кибератак на местные банковские системы. Одна новая тактика связана с использованием программного обеспечения, которое позволяет хакерам получить доступ к компьютерам технической поддержки.

«Угрозы постоянны, изощренны и обладают хорошей степенью адаптивности — и уже вошли в норму, — говорится в письме SWIFT. - К сожалению, мы продолжаем наблюдать случаи, в которых некоторые из наших клиентов в настоящее время скомпрометированы от воров, которые затем рассылают мошеннические инструкции по оплате через SWIFT — аналогичный вид сообщений, которые использовались для кражи средств Банка Бангладеш».

«Ростелеком» отразил DDoS-атаки на крупнейшие банки и финансовые организации России

«Ростелеком» отразил в декабре DDoS-атаки на 5 крупнейших банков и финансовых организаций России. Отраженные атаки имели похожий почерк: тип – TCP SYN Flood. Пиковая мощность составляла 3.2 миллиона пакетов в секунду. При этом самая продолжительная атака длилась более 2 часов. Все отраженные атаки были зафиксированы 5 декабря 2016 года.

Подробнее: DDoS-атака

6-кратный рост числа кибератак на российские банки

В декабре 2016 года Центральный банк России опубликовал обзор финансовой стабильности, в котором сообщил более чем о шестикратном увеличении количества кибератак на кредитные организации.

По данным ЦБ, с января по сентябрь 2016 года число несанкционированных операций по счетам физических и юридических лиц с использованием систем дистанционного банковского обслуживания составило 103,1 тыс. против 16,9 тыс. за аналогичный период 2015-го.

Количество кибератак на российские банки выросло в 6 раз

При этом объем удачных хакерских атак уменьшился на 25%: если за первые три квартала 2015 года преступникам удалось похитить у банков около 2,16 млрд рублей, то спустя года — 1,62 млрд рублей. У физических лиц украли 1,2 млрд рублей в январе–сентябре 2016 года, у юридических — порядка 387 млн рублей.

В Банке России считают, что финансовые организации несут убытки от деятельности кибермошенников по следующим основным причинам:

  • уязвимости в ИТ-системах и платежных приложениях;
  • недостатки в  обеспечении информационной безопасности и отсутствие должного соблюдения требований, установленных нормативными актами и отраслевыми стандартами;
  • отсутствие необходимой координации деятельности банков в области противодействия массовым и типовым кибератакам.

Для проверки систем онлайн-банкинга на предмет уязвимости к кибератакам ЦБ намерен создать межведомственную рабочую группу, в состав которой, помимо представителей регулятора, войдут сотрудники МВД, Минкомсвязи, ФСТЭК и Министерства финансов. До 2018 года планируется создать систему стандартизации, сертификации и контроля онлайн-сервисов банков и внести соответствующие изменения в законодательство.

Кроме того, ЦБ собирается ввести обязательное двойное подтверждение транзакций, идущих по дистанционным каналам. К началу декабря 2016 года большинство кредитных организаций в РФ используют для идентификации клиента рассылку по SMS одноразовых паролей или специальные электронные USB-ключи и смарт-карты. [6]

5 млрд рублей пытались похитить у российских банков с 1 января 2016 года

Всего с 1 января 2016 года из национальной финансовой системы России кибермошенники похитили 2,7 млрд рублей. При этом преступники пытались вывести суммарно около 5 млрд рублей, то есть спасена примерно половина средств. Такие данные озвучил Сычев Артем, заместитель начальника главного управления безопасности и защиты информации Банка России 8 ноября 2016 года[7].

При этом за тот же период ЦБ РФ выявил 21 крупное похищение на сумму 2,5 млрд рублей, из них на сумму около 1 млрд рублей «наступила окончательность перевода денежных средств».

Названы две основные причины удавшихся похищений:

  • множество уязвимостей в платежных приложениях, которые используют банки. Чем и пользуются мошенники;
  • невнимание руководства банков к вопросам информационной безопасности, ее недостаточное обеспечение.

В итоге удельный вес несанкционированных денежных переводов в России составляет 0,005%, или 5 копеек на 1000 руб. переводов, по данным ЦБ РФ. Для сравнения, по информации Банка России, удельный вес несанкционированных переводов в платежных системах MasterCard и Visa в региональном разрезе – 0,06%, или 6 центов на $100. Общемировой показатель – 0,09%, или 9 центов на $100 переводов.

ФСБ предупредила о готовящихся кибератаках на банки России

2 декабря 2016 года Федеральная служба безопасности (ФСБ) РФ сообщила о предстоящих кибератаках на российские банки с целью дестабилизации национальной финансовой системы.

« ФСБ России получена информация о подготовке иностранными спецслужбами в период с 5 декабря 2016 года масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков, — говорится в сообщении российской спецслужбы. »

Иностранные спецслужбы готовят кибератаки на российские банки

По ее информации, серверные мощности и командные центры для проведения кибератак расположены на территории Нидерландов и принадлежат украинской хостинговой компании BlazingFast.

Силовики установили, что хакерские атаки будут сопровождаться массовой рассылкой SMS-сообщений и публикаций в социальных сетях и блогах провокационного характера в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ряда ведущих банков федерального и регионального значения.

Атака рассчитана на несколько десятков городов России, заявили в службе безопасности, добавив, что проводятся мероприятия по нейтрализации угроз экономической и информационной безопасности. [8]

В Центробанке сообщили, что регулятор осведомлен о готовящихся кибератаках на банки и работает со спецслужбами для их пресечения. [9]

Компания BlazingFast, которую ФСБ считает причастной к планам кибератак на РФ из Нидерландов, подтвердила сведения о клиентах там и будет проверять их возможную незаконную деятельность. Об этом РИА Новости сообщили в BlazingFast. [10]

« У нас в основном зарубежные клиенты. У нас мало русских или украинских клиентов… Да, у нас есть в Нидерландах. Раз вы позвонили, и эта информацию уже где-то появилась, то мы сейчас быстро начнем проверять это все дело, — сообщил агентству представитель компании.т »

Хакеры украли 100 млн рублей из российского банка

1 декабря 2016 года стало известно о потере 100 млн рублей российским банком в результате кибератаки. Предположительно, была взломана автоматизированная банковская система (АБС). Подробнее здесь.

DDoS-атаки на крупные российские банки

9 ноября 2016 года Сбербанк отразил мощную DDoS-атаку. Об этом в пресс-службе банка рассказали РИА Новости. Эксперты говорят, что атакован был не только Сбербанк.

« Атаки организованы с ботнетов, включающих десятки тысяч машин, территориально распределенных по нескольким десяткам стран, — сообщили в Сбербанке. »

DDoS-атаки на ИТ-системы Сбербанка осуществлялись в течение дня, при этом мощность кибернападений увеличивалась: первая атака была зафиксирована утром, следующая атака вечером уже состояла из нескольких этапов, каждый из которых был вдвое сильней предыдущего.

Хакеры атаковали крупнейшие российские банки

Специалисты по информационной безопасности Сбербанка смогли быстро выявить и локализовать атаку. В работе для клиентов банка не обнаружили сбоев.

« Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка, — заверили в крупнейшей в России кредитной организации. »

Помимо Сбербанка, мощные DDoS-атаки пережили еще несколько крупных российских банков, уточнили РИА Новости в «Лаборатории Касперского». По данным агентства, атаки были направлены на пять крупнейших банков из топ-10. Факт атаки подтвердили в «Альфа-банке».

В компании сообщили РИА Новости, что атака была «достаточно краткосрочная и слабая». Инцидент никак не повлиял на работу бизнес-систем банка, заверили представители кредитной организации. Какие еще банки подверглись атакам, не уточняется.

Средняя продолжительность каждой DDoS-атаки на российские банки составляла около часа, самая долгая длилась почти 12 часов. Некоторые банки, по данным «Лаборатории Касперского, подверглись нападениям киберпреступников неоднократно — сериями от двух до четырех атак с небольшим интервалом. Какие еще кредитные организации были атакованы, не уточняется. [11]

Сверло - новый инструмент банкоматных хакеров

В конце октября 2016 года заместитель председателя Сбербанка Станислав Кузнецов сообщил о новом способе кражи денег из банкоматов.

« Преступление называется drilled box, когда просверливается дырочка в банкомате только определенной марки, подключается шина, и через эту шину выплачиваются мгновенно деньги. Производитель немедленно был проинформирован, что это легко и быстро сделать, но реакции от него не последовало, – рассказал Кузнецов, сообщает ТАСС. »

По словам зампреда Сбербанка, тенденция использовать такой способ кражи появилась буквально четыре-пять месяцев назад. В то же время специалисты по информационной безопасности отмечают, что это уже давно известный способ мошенничества, который сочетает в себе механический и компьютерный взлом.

« Я считаю, Сбербанк погорячился с новым термином drilled box и напрасно «встряхнул» рынок якобы каким-то новым видом угрозы. Это известная еще пару лет назад проблема, связанная с подключением к блоку управления диспенсером банкомата (устройство модуля выдачи денежных купюр) мошеннического устройства, так называемого Black Box, который минуя системный блок банкомата, дает непосредственную команду диспенсеру на выдачу денег из кассет, без каких-либо операций по картам, – пояснил TAdviser директор по мониторингу электронного бизнеса «Альфа-Банка» Алексей Голенищев. »

Он добавил, что доступ к шине управления диспенсером можно получить не только, просверлив отверстия в панели банкомата, но и другими способами: например, вскрыв сервисную зону банкомата (открыв дверь и т.п.). Поэтому проблему нужно решать комплексно, а не от конкретного вида «атаки», считает Голенищев. «Проблема решается шифрованием данных/канала передачи данных от системного блока банкомата к диспенсеру. Такие решения есть, и их действительно стоит требовать от производителей», – пояснил он.

В компании Positive Technologies (Позитив Текнолоджиз), специализирующейся на информационной безопасности, тоже подтверждают, что такая техника не нова.

« Первые упоминания об использовании сверл для проникновения в кабинетную зону банкомата датированы еще 2013 годом (до этого сверло просто использовали для того, чтобы заполнить банкомат газом и взорвать). Однако интерес к логическим атакам на банкоматы вновь привлек внимание злоумышленников и к этому сценарию, – говорит TAdviser руководитель отдела безопасности банковских систем компании Positive Technologies Тимур Юнусов. »

По его словам, есть несколько самых популярных способов логических атак на банкоматы:

  • подключиться к устройству, выдающему купюры (диспенсеру), и напрямую отправить команды на выдачу денег. Последние модели банкоматов более или менее защищены от подобных атак.

  • подключиться к кардридеру и незаметно снимать карточные данные для последующего изготовления карт-дубликатов

  • использовать недостатки сетевых настроек для того, чтобы перехватывать данные, уходящие в банк. Таким образом можно как снимать карточные данные, так и заставлять банкомат выдать деньги с любой карты, даже не изменив баланс на ней.

  • подключиться к системному блоку, обойти средства защиты и установить зловреда, который будет производить те же самые манипуляции: сохранять карточные данные или выдавать деньги «по команде».

На банкоматы какого производителя жаловались в Сбербанке, в пресс-службе компании не комментируют. В других финансово-кредитных учреждениях тоже не говорят об этом. По словам источника в одном из банков, раскрывать эту информацию никому не выгодно: «Так как умельцы сразу начнут изучать банкоматы и сверлить их».

В компании Positive Technologies считают, что теоретически такое можно сделать с банкоматом любого производителя. По словам Тимура Юнусова, у любых банкоматов кабинетная зона всегда защищена очень слабо – по большому счету это обычная дверка из непрочного металла и пластика.

« Самые популярные производители банкоматов – NCR, Diebold, Wincor Nixdorf. У каждого вендора найдется по 2−3 самых популярных модели. К каждой из них можно теоретически применить ту или иную атаку, все зависит от модели, настроек безопасности, недостатков конкретной сборки и человеческого фактора, – считает Тимур Юнусов. »

Точно знать в каком месте сверлить, куда подводить провода и к чему в итоге подключаться – это своего рода нейрохирургическая операция, для которой нужна практика, считает эксперт.

Trend Micro: Трояны - главная угроза финансовой отрасли

22 сентября 2016 года компания Trend Micro Incorporated опубликовала отчет по информационной безопасности за первое полугодие 2016 года «Время программ-вымогателей» (The Reign of Ransomware), согласно данным которого, банковские трояны остаются одной из наиболее значимых угроз в финансовой отрасли.

В отчетном периоде отмечено повышение активности трояна QAKBOT - многокомпонентной угрозы, цель которой: банковские данные, информация о привычных действиях пользователя, другая конфиденциальная информация. Основная сложность в борьбе с троянами такого типа, как QAKBOT - их непрерывная эволюция и появление модификаций.

От атак с использованием троянов страдают банки, их корпоративные клиенты, сотрудники которых выполняют банковские транзакции, используя устройства, действующие в корпоративной сети. Похищенная банковская информация используется злоумышленниками для проведения мошеннических транзакций или продается на подпольных сайтах для извлечения прибыли. От действий банковских троянов финансовые организации несут потери на компенсацию убытков, которые понесли их клиенты в результате кибератак.

Технология, способная защитить систему пользователя, должна быть комплексной, отметила в отчете компания-исследователь. Система должна блокировать угрозы из Интернета, от вредоносных файлов и электронной почты. Помимо защиты конечных точек, банкам следует использовать на своих сайтах протоколы двухфакторной аутентификации и мотивировать клиентов быть предельно внимательными при открытии сообщений электронной почты, посещении сайтов и загрузке файлов.

Рассылка спама от имени украинских банков

14 июля 2016 года украинский ОПТ Банк сообщил о вирусной рассылке писем, маскированных под уведомления о задолженности по кредитам. Открывая вложенный файл, пользователи рискуют утечкой своих данных.

Как сообщает «Интерфакс» со ссылкой на заявление ОПТ Банк, целью массовой спам-атаки является направленный фишинг — мошеннический способ завладения персональными данными с помощью вируса, который содержится во вложенном файле и активизируется с его открытием.

Мошенники рассылают вирус в письмах о несуществующих долгах

Отмечается, что мошенники рассылают по электронной почте письма от имени украинских банков и уведомляют о якобы имеющихся у клиентов долгов по кредитам и готовящемуся в связи с этим судебным иском. К тексту письма прикреплен документ, загрузка которого может привести к заражению устройства компьютерным вирусом.

« Мы настоятельно просим сохранять бдительность, не реагировать на эти письма и не открывать вложенные файлы. Для связи с клиентами сотрудники банка всегда используют официальные адреса почтовых ящиков банка и только адреса клиентов, указанные ими при подписании документов, — сообщили в банке. »

В компании также отметили, что ОПТ Банк не имеет никакого отношения к данным письмам и подобную рассылку не проводит.

Чтобы избежать неприятных последствий, связанных с заражением компьютеров вирусами, ОПТ Банк рекомендует придерживаться основных правил безопасности: не открывать письма и вложения, не глядя, а также проверять корректность адреса отправителя перед открытием сообщения. Если письмо пришло с незнакомых или подозрительных адресов или содержит вложенные файлы, архивы или ссылки на любые интернет-ресурсы, необходимо немедленно удалить это письмо, в том числе копии, размещенные в папках «Отправленные» и «Удаленные». [12]

Цены взлома банковских карт

Компания Dell SecureWorks, которая специализируется на оценке и анализе информационной безопасности компьютерных систем, опубликовала летом 2016 года «прейскурант» цен на услуги хакеров по всему миру.

«Услуги» на взлом банковских карт значительно подешевели. Так доступ к картам Visa и Master Card американского банка будет стоить 7$, европейского банка – 40$. Взлом кредитки Premium Visa и MasterCard обойдется в 30-80$.

Масштабы несанкционированных операций по банковским картам впечатляют – за 2015 год в России было совершенно более 260 тыс. мошеннических операций на сумму 1,14 млрд. рублей.

Смотрите также: Расценки пользовательских данных на рынке киберпреступников

24% российских банков подвергаются DDoS-атакам

В июне 2016 года Qrator Labs и Wallarm опубликовали результаты исследования ситуации с информационной безопасностью в финансовом секторе. Опрос показал, что почти четверть российских банков сталкивается с DDoS-атаками.

Для составления отчета было опрошено 150 представителей (руководителей ИТ-подразделений, их заместителей, а также руководителей департаментов, отвечающих за вопросы информационной безопасности) более 130 банков и 12 платежных систем.

Согласно результатам исследования, 24% российских банков в 2015 году пережили DDoS-атаки. Еще 21% и 17% учреждений столкнулись с фишингом и взломом соответственно. У 34% опрошенных не было проблем с информационной безопасностью.

Попытки взлома приложений были зафиксированы 17% опрошенных, поэтому компании уделяют все больше внимание защите своего периметра. Регулярно проводят аудит безопасности более 80% компаний.

Эксперты отмечают, что несмотря на сложную ситуацию в экономике, банки стараются сохранить ИБ-расходы на высоком уровне. Около трети респондентов увеличили в 2015 году свой ИБ-бюджет и еще 44% сохранили его в прежнем объеме.

Большинство участников опроса (69%) считают самым эффективным средством противодействия операторское решение по защите от DDoS. Однако эксперты Qrator и Wallarm предупреждают, что этот метод устарел. Лишь 9% опрошенных считают эффективными облачные решения.

Исследование также показало, что в отрасли понимают основные риски и последствия инцидентов ИБ: 61% опрошенных говорят, что проблемы с безопасностью могут привести к отзыву банковской лицензии.

Информационная безопасность — важный приоритет для организаций финансового сектора. Серьезность киберугроз здесь в достаточной мере осознают, что указывает на достижение определенной зрелости в вопросах ИБ, сообщили исследователи.

Группировка из 50 хакеров задержана за хищение 1,7 млрд рублей

В июне 2016 года СМИ со ссылкой на силовые структуры сообщали[13], что хакеры при помощи вредоносной программы похитили более 1,7 млрд рублей со счетов российских банков. Были задержаны 50 киберпреступников, которые действовали по всей стране. В рамках операции по задержанию хакеров проведены более 80 обысков в 15 регионах страны.

« МВД России совместно с ФСБ России задержаны 50 подозреваемых в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения, - сообщила официальный представитель МВД России Ирина Волк. »

Она добавила, что в результате оперативных мероприятий заблокированы фиктивные платежные поручения на 2,2 миллиарда рублей. В Центре общественных связей ФСБ рассказали агентству «Интерфакс», что в результате обысков были изъяты компьютерная техника, средства связи, банковские карты, оформленные на подставных лиц, а также финансовые документы и значительные суммы наличных.

Было возбуждено уголовное дело по статьям «Организация преступного сообщества и участие в нем» и «Мошенничество в сфере компьютерной информации».

Сбербанк назвал цифры потерь от киберпреступников

В июне 2016 года эксперты сообщили о вероятности роста потерь от киберугроз во всем мире до $2 трлн к 2018 году[14].

В частности, такое мнение экспертов Сбербанка выразил заместитель председателя правления банка Станислав Кузнецов.

Представление исследования кибератаки, (2013)
« Сейчас в мире работает не менее 40 млн киберпреступников, а ущерб всех стран составляет не менее $500 млрд. Я думаю, что эта цифра несколько занижена, а реальная - значительно выше.
»

При этом количество вирусных атак в мире растёт со скоростью плюс 3% в месяц, атак на веб-сервисы - 2,5%, краж денежных средств с различных устройств или электронных кошельков - не менее 3,5%.

В России, по данным Сбербанка, потери от киберугроз составили 550-600 млрд руб. в 2015 году.

По словам Кузнецова, эта цифра примерно в 2 раза превышает ущерб от всех других экономических преступлений.

Он также привел данные ЦБ, что в прошлом году в России зафиксировано 32 тыс. попыток несанкционированных списаний у клиентов разных банков на общую сумму более 5 млрд руб. Специалисты отметили 12-кратный рост количества инцидентов в этой области за последние 2 года.

Кузнецов заявил, что за весь 2015 год Сбербанк зафиксировал 52 крупные хакерские атаки на свои системы, а с начала 2016 года ~ 57.

« В 2015-2016 годы все службы Сбербанка фиксируют рост различных централизованных атак на финансово-кредитные учреждения РФ, в том числе на Сбербанк. Мы отмечаем увеличение такого рода хакерских атак на все дистанционные банковские сервисы, которые предоставляются через интернет.
»

2015

Experian: Мошенничество по кредитным картам. Как обезопасить себя от кражи персональных данных

По данным Experian в Великобритании уровень мошенничества по текущим счетам в 2015 г. вырос более чем в 2 раза: с 73 на каждые 10 000 заявок в январе до 156 на 10 000 заявок в декабре. Рост мошенничества по текущим счетам также способствовал изменению соотношения между мошенничеством первого лица и хищением персональных данных. В начале 2015 г. 51% заявок по всем финансовым продуктам, признанных мошенническими и отклоненных, были классифицированы как мошенничество первого лица, а 49% – как попытка кражи персональных данных (мошенничество третьего лица). К концу года — это соотношение значительно изменилось – в декабре на долю хищения персональных данных пришлось 59%.

Мошенничество по кредитным картам в январе 2015 г. составило в Великобритании 36 на каждые 10 000 заявок, однако в течение года увеличилось до 55 на 10 000 заявок. Аналогичным образом, мошенничество по страховым полисам составляло 37 на каждые 10 000 заявок в начале года, но выросло до 68. Как и в случае с мошенничеством по текущим счетам, мошенничество по кредитным картам было в значительной степени связано с хищением персональных данных.

"Мошенничество по текущим счетам вышло на передний план в 2015 г. Главную роль в нем сыграли преступники, ворующие персональные данные. Положительный аспект состоит в том, что обнародованные цифры относятся к выявленному и предотвращенному мошенничеству, то есть свидетельствуют о надежности систем, защищающих финансовые продукты, - комментирует Фролова Наталия, директор по маркетингу Experian, Россия и СНГ. – Однако, нам всем все же необходимо быть бдительными и стараться следовать не таким уж и сложным правилам сохранения безопасности своих персональных данных".

Как обезопасить себя от кражи персональных данных

  • Всегда рвите или иным способом уничтожайте ставшие ненужными документы, содержащие ваши персональные данные, ни в коем случае не выбрасывайте их целиком
  • Ни в коем случае не реагируйте на "холодные звонки" и электронные сообщения, в которых вас просят предоставить реквизиты счета, PIN-коды, пароли или персональные данные
  • Не сообщайте о себе слишком много сведений в социальных сетях, например, клички домашних животных, которые вы можете использовать в качестве паролей
  • Регулярно отслеживайте почту, чтобы знать, когда ожидать важных финансовых или иных документов, которые могут содержать ваши персональные данные и принимайте меры в случае их отсутствия
  • При переезде не поленитесь дойти до почты и предупредить их о необходимости переадресации вашей почты
  • Всегда используйте надежные уникальные пароли для максимально возможного количества учетных записей в интернете, а в идеале – индивидуальный пароль для каждой из них. В самом крайнем случае придумайте уникальные пароли для каждого типа поставщиков услуг, таких как финансовые учреждения, интернет-магазины и электронная почта
  • Не храните логин и пароль на своем смартфоне: в электронном сообщении, в виде заметки или для "автоматического заполнения" при открытии интернет-сайта или приложения. Эта информация станет золотой жилой для мошенников в случае утери или кражи вашего телефона
  • Не ленитесь проверять выписки по банковским счетам и картам на предмет подозрительных транзакций
  • Регулярно проверяйте свою Кредитную историю: там указаны все ваши действия по кредитам, так что вы сможете выявить расходы, не имеющие к вам отношения.

ЦБ РФ: Динамика количества и объема несанкционированных операций, совершенных с использованием систем ДБО

  • Основным риском, который имеет прямые финансовые последствия остается риск мошенничества[15]
  • Риск влияет, как на клиентов подрывая доверие к дистанционным средствам обслуживания, так и на сами финансовые организации, которые стали нести прямые потери от атак на АРМ КБР
  • Плюс - Риск стать стоп фактором в развитии бизнеса и/или ИТ

Несанкционированный доступ в платежную систему

  • По версии Энергобанка,  27.02. 2015г. с 12:30 до 12:43 некие злоумышленники получили контроль над терминалом банка и провели на Московской бирже ряд несанкционированных операций по покупке и продаже валюты. По таким неудачным курсам, что в результате этих операций банк, как уверяют представители брокерских компаний, потерял около 370 млн. рублей
  • Прочие критичные случаи
  • Полтора десятка банков-участников Объединенной расчетной системы стали жертвами масштабного мошенничества с платежными картами. Инцидент, имел место 16/08/2015 года, под ударом оказалось ~ 500 миллионов рублей
  • Взлом перед новым 2016 годом АРМов отправки платежей в нескольких банках РФ, каждый банк потерял порядка USD 10 млн
  • 2016 февраль: Металлинвестбанк – попытка хищения, атака на АРМ КБР, возможные потери ~200 миллионов[16]

Банки в ЕС обязали делиться информацией о кибератаках

8 декабря 2015 года стало известно о том, что европейские чиновники поддержали первый для ЕС закон о регулировании кибербезопасности. Он обязывает компании делиться данными об атаках на их сервисы. В случае отказа на них могут быть наложены санкции, передает информационное агентство Reuters.

Представители Европейской комиссии, Европейского парламента и стран Европейского союза после пятичасового обсуждения договорились о принятии законопроекта о кибербезопасности. Одним из требований является то, что компании должны будут раскрывать властям информацию об инцидентах, связанных с хакерскими нападениями на их компьютерные системы. В противном случае им будут грозить крупные штрафы.

Европа согласилась принять первый киберзакон

Это касается организаций и предприятий, представляющих критически важные для человека сферы деятельности, в том числе транспортную промышленность, энергетику, финансовый сектор и здравоохранение. Требования относятся и к интернет-компаниям, таким как Google, Amazon и eBay, но не распространяются на социальные сети.

Помимо необходимости уведомлять о кибератаках, от европейского бизнеса потребуют обеспечения высокого уровня информационной защиты своих инфраструктур.

По словам вице-президента Еврокомиссии по вопросам единого цифрового рынка ЕС Андруса Ансипа (Andrus Ansip), новая законодательная директива направлена на повышение доверия потребителей к онлайн-сервисам, особенно международным.

«Интернет не знает границ: проблема в одной стране может легко перекинуться на остальную часть Европы. Именно поэтому ЕС нуждается в глобальных решениях в области кибербезопасности. Принятое соглашение является важным шагом в этом направлении», — заявил Ансип.

Он также отметил, что в данном случае речь идет о первом когда-либо принятом законе, регулирующем вопросы кибербезопасности на территории всей Европы. О том, когда новые требования вступят в силу, не уточняется.[17]

Positive Technologies: основные тенденции кибератак в банках в 2015 году

15 октября 2015 года представители компании Positive Technologies (Позитив Текнолоджиз) выступили на конференции «Тенденции развития преступлений в области высоких технологий — 2015».

Среди основных тенденций в банковской сфере эксперты отметили рост случаев мошенничества по безналичным операциям (покупки в интернет-магазинах и т. п.) и атак на процессинг с обналичиваем украденных средств через банкоматы (потери в каждом из ставших известными случаев варьируются от 3 млн до 14 млн долл.). Также выросло количество физических атак на банкоматы: от традиционных ухищрений типа «ливанской петли» до вирусов GreenDispenser, позволяющих хакерам извлекать банкноты из кассет банкоматов.

По оценке экспертов Positive Technologies, общемировой объем потерь в 2014 году только по мошенничествам с пластиковыми картами составил около 16 млрд долл. По итогам 2015 года ожидается, что эта цифра увеличится на 25% и приблизится к 20 млрд. Это обусловлено ростом объема банковских операций, а не хорошей подготовкой преступников. При этом за последние 20 лет наблюдений доля случаев мошенничества в общем объеме операций практически не менялась: мошенники зарабатывают примерно 6 центов с каждых 100 долларов, проходящих через банки, и эта цифра из года в год меняется всего на плюс-минус полцента с сохранением среднего значения.

С 2006 года, с момента внедрения международного стандарта для операций по банковским картам с чипом EMV, неуклонно снижается объем потерь, связных со скиммингом (кража данных карты при помощи специального считывающего устройства — скиммера). И хотя уровень потерь по-прежнему высок, по итогам следующего года эксперты ожидают значительное снижение. Это связано с тем, что в октябре 2015 к общемировой практике присоединились США, на которых приходится примерно две трети общемировых потерь.

Лаборатория Касперского: Киберпреступники похитили $1 млрд из 100 финансовых организаций по всему миру

В ходе совместного расследования «Лаборатория Касперского», Европол и Интерпол обнародовали в феврале 2015 года беспрецедентную киберпреступную операцию, в рамках которой злоумышленники похитили 1 млрд долларов США.

Киберограбление продолжалось два года и затронуло около 100 финансовых организаций по всему миру. Эксперты полагают, что за этим громким инцидентом стоит международная группировка киберпреступников из России, Украины, ряда других европейских стран, а также Китая.

Криминальная группировка, получившая название Carbanak, использовала методы, характерные для целевых атак. Однако в отличие от многих других инцидентов это ограбление знаменует собой новый этап: теперь киберпреступники могут красть деньги напрямую из банков, а не у пользователей. Деятельность киберпреступников из банды Carbanak затронула около 100 банков, платежных систем и других финансовых организаций из почти 30 стран, в частности из России, США, Германии, Китая, Украины, Канады, Гонконга, Тайваня, Румынии, Франции, Испании, Норвегии, Индии, Великобритании, Польши, Пакистана, Непала, Марокко, Исландии, Ирландии, Чехии, Швейцарии, Бразилии, Болгарии и Австралии. Как выяснили эксперты, наиболее крупные суммы денег похищались в процессе вторжения в банковскую сеть: за каждый такой рейд киберпреступники крали до 10 миллионов долларов. В среднем ограбление одного банка — от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей — занимало у хакеров от двух до четырех месяцев.

Преступная схема начиналась с проникновения в компьютер одного из сотрудников организации посредством фишинговых приемов. После заражения машины вредоносным ПО злоумышленники получали доступ к внутренней сети банка, находили компьютеры администраторов систем денежных транзакций и разворачивали видеонаблюдение за их экранами. Таким образом, банда Carbanak знала каждую деталь в работе персонала банка и могла имитировать привычные действия сотрудников при переводе денег на мошеннические счета.

«Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно профессиональное ограбление», — поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
«Эти атаки служат очередным подтверждением того, что злоумышленники неизменно будут эксплуатировать любую уязвимость в любой системе. В таких условиях ни один сектор не может чувствовать себя в абсолютной безопасности, поэтому вопросам защиты стоит постоянно уделять внимание. Выявление новых тенденций в сфере киберпреступлений — одно из основных направлений, по которым Интерпол сотрудничает с «Лабораторией Касперского», и цель этого взаимодействия — помочь государственным и частным компаниям обеспечить лучшую защиту от этих постоянно меняющихся угроз», — отмечает Санджай Вирмани (Sanjay Virmani), директор центра Интерпола, занимающегося расследованием киберпреступлений.

Как происходила атака :

  • В среднем ограбление одного банка — от заражения первого компьютера в корпоративной сети до кражи денег и сокрытия следов — занимало у хакеров от двух до четырех месяцев
  • Средняя сумма кражи ~10 000 000 USD
  • Заражение проходило или через письмо с вложением, как бы от сотрудника банка или клиента или через фишинг – по ссылке на WWW ресурс в который предлагалось ввести логин и пароль; сотрудники вводили свои логин и пароль в подложный сайт имитировавший корпоративный ресурс или систему
  • Далее злоумышленники собирали информацию о процессе работы банка и находили удобный момент для совершения кражи, в том числе использовали для вывода средств S.W.I.F.T (который на первый взгляд кажется абсолютно защищенным) или системы дистанционного банковского обслуживания
  • Искажалибалансы, что бы сумма списания не была видна сразу

2014

На июль 2014 года Россия на четвертой позиции среди 19 европейских стран. Впереди Великобритания с €534,9 млн, Франция - €428,9 млн и Германия - €116,3 млн.

В РФ украли около 1,6 млрд с платежных карт

26 июня 2015 года из обзора Центрального банка стало известно - объем мошеннических операций с платежными картами, эмитированными в РФ, в 2014 году достиг 1,58 млрд руб[18].

Злоумышленниками использовано более 70 тыс.платежных карт, 70% из которых – расчетные (дебетовые). Всего в банкоматах, платежных терминалах, посредством Интернет-банка и мобильных приложений, в 2014 году мошенники похитили с банковских счетов граждан и компаний 3,5 млрд руб.

Центральный банк поведал: с учетом роста общего количества карт на 28% и на 42% – объемов операций по платежным картам, эмитированным на территории РФ, доля количества и объема несанкционированных операций в 2014 году незначительно снизилась.

Наибольшее число несанкционированных операций выполнено в процессе переводов денежных средств на территории РФ (доля внутрироссийских несанкционированных операций составила 47% от объема и 41% от количества всех несанкционированных операций).

Чаще всего мошенники использовали реквизиты реальных банковских карт (от 65% до 72%, в зависимости от квартала), затем — поддельный «пластик» (от 18% до 24%), и 10-11% — данные утерянных или украденных карт.

Атака ANUNAK
Начало атаки Anunak – письмо с вредоносным вложением

Наибольший объем несанкционированных операций зафиксирован на территории Москвы и Московской области, Центрального, Северо-Западного и Уральского федеральных округов. Интерес представляет график распределения операций по регионам по типу инфраструктуры. Если в среднем по регионам мошенники отдают примерно равное предпочтение Интернету (стационарному и мобильному) и банкоматам, то в Северо-Кавказском округе доля несанкционированных операций в Интернете достигла 81%. А самое большое число попыток мошенничества в пунктах выдачи наличности (10%) зафиксировано в Крыму.


По мнению банкиров, по состоянию на июнь 2015 года, для выуживания персональных данных держателей карт и их кредиток (фишинга) мошенники активно используют методы социальной инженерии (науки об управлении поведением человека без технических средств, на основе психологии).

Стандартная фишинговая схема начинается с SMS о блокировке карты. Доверчивые люди звонят по телефону, указанному в SMS и называют «сотрудникам службы безопасности банка» номер карты для проверки, CVV-код и другие данные. Если карта жертвы защищена системой 3D Secure, для завершения транзакции нужен пароль, который автоматически поступает на телефон. Поэтому мошенники говорят, что для разблокирования карты пришлют проверочное SMS-сообщение и клиент должен назвать код, указанный в нем. На самом деле в этот момент они совершают покупку через интернет-магазин либо переводят средства на свою карту или счет мобильного телефона[19].

Мошенники могут представиться сотрудниками службы безопасности или контактного центра банка и убедить клиента - подойти к ближайшему банкомату, выполнить под их контролем операции по «спасению» средств. Следуя инструкциям по телефону граждане собственными руками переводят средства на электронные кошельки, банковские карты или телефоны мошенников.

Растет количество обманутых клиентов банков, которых завлекли на подложные интернет-сайты с очень низкими ценами на авиабилеты или бытовую технику. В опцию оплаты на поддельном сайте мошенники «встраивают» сервисы перевода денег с карты на карту с вводом одноразового пароля, который приходит по SMS. Клиент опрометчиво вводит пароль, будучи уверенным в оплате покупки. При этом в SMS указывается - на какие цели идут средства: если видно, что это перевод на карту, а клиент совершает покупку, он ни в коем случае не должен вбивать и передавать кому-либо этот код.

Использование карт мошенниками, 2014

В «ВТБ 24» считают самым популярным видом мошенничества скимминг (кража данных карты при помощи считывающего устройства на банкоматах и других платежных устройствах общего пользования).

Чтобы уберечься от этого вида жульничества, не надо пользоваться банкоматами в плохо освещенных и безлюдных местах. Нужно использовать банкоматы надежных и проверенных банков, не допускать сторонних наблюдателей при снятии наличных, не прибегать к помощи посторонних лиц.

Банкиры просят клиентов внимательно осмотреть банкомат, прежде чем ввести ПИН-код, "Ведомости"

Вводя пин-код, всегда прикрывайте клавиатуру. Это не позволит мошенникам увидеть пин-код или записать его на видеокамеру. Памятка по безопасности условий использования карт Сбербанка, например, является частью договора и клиент обязан соблюдать установленные в ней правила. Если банк докажет запись пин-кода мошенниками при помощи видеокамеры потому, что клиент не прикрыл клавиатуру рукой, суд вполне может и отказать клиенту в возмещении украденного.

2013: Карточное мошенничество (рынок Европы)

Россия заняла первое место в Европе по темпам роста убытков от мошеннических операций с банковскими картами в 2013 году. Объем этих потерь в России в 2013 году вырос на 27,6% по сравнению с показателем годом ранее и, соответственно, в 10 раз в сопоставлении с данными 2006 года, и на 365% – 2008 года.

По объему же этих потерь, которые увеличились на 22,5 млн евро и достигли 104,1 млн евро в прошлом году, Россия находится на четвертом месте среди 19 европейских стран. Ее опережают: Великобритания (534,9 млн евро), Франция (428,9 млн евро) и Германия (116,3 млн евро). Таковы данные, представленные на разработанной FICO интерактивной карте «Эволюция карточного мошенничества в Европе 2013».

При этом, в России мошенничество с картами так называемым способом Card Not Present намного ниже, чем в странах Западной Европы (в нашей стране его доля всего 3% от убытков). Одна треть от российских убытков (1683,8 млн руб.) приходится на Counterfeit Cards и примерно столько же (1599,4 млн руб.) – на Lost and Stolen. Мошенничество способом ID Fraud в России принесло убытки в размере 685,2 млн руб.

«FICO отмечает, что в тех условиях, когда рынок еще не насыщен и распространение карт в России продолжается, угроза мошенничества не так очевидна – но скорость, с которой увеличиваются убытки от него, настораживает. Специалисты FICO предупреждают, что когда темпы роста карточного рынка выровняются, а убытки будут возрастать, решение по внедрению разработок по противодействию мошенничеству может оказаться запоздалым – ведь на установку и получения результата может уйти от шести до восьми месяцев», - говорит руководитель FICO в России Штеманетян Евгений.

В 2013 году совокупные убытки от мошенничества с картами в 19 европейских странах составили 1,55 миллиарда евро, даже немного превысив показатель 2008 года, когда наблюдалось последнее пиковое значение.

2012: Клиенты ДБО в России потеряли $446 млн за год (-9%)

В 2012 г. в системах дистанционного банковского обслуживания в России было украдено примерно на 9% меньше денежных средств, чем годом ранее. Об этом в сентябре 2013 г. в своем отчете о состоянии киберпреступности в стране сообщила компания Group-IB, специализирующаяся на расследовании компьютерных преступлений.

Подробнее: Безопасная система ДБО

2011: Атаки трояна Carberp

Основная статья: Carberp (троян)

Смотрите также

Примечания

  1. Банковские троянцы увеличат число атак на Android
  2. Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году
  3. Опрос ВЦИОМ был проведен 10-11 декабря 2016 г., в нем приняло участие 1,6 тыс. человек в 130 населенных пунктах в 46 областях, краях и республиках 8 федеральных округов России. Статистическая погрешность не превышает 3,5%.
  4. ЦБ поможет блокировать сайты с вредоносным контентом
  5. SWIFT предупредила банки о растущей угрозе кибератак
  6. Обзор финансовой стабильности
  7. 5 млрд рублей пытались похитить у российских банков с 1 января 2016 года
  8. Иностранные спецслужбы готовят кибератаки, направленные на дестабилизацию финансовой системы России
  9. ЦБ осведомлен о готовящихся кибератаках на банки, работает со спецслужбами для их пресечения
  10. BlazingFast проверит клиентов на причастность к подготовке кибератак на РФ
  11. Сбербанк отразил мощную DDoS-атаку
  12. ОТП Банк заявляет о массовой спам-атаке от имени банков с уведомлением о задолженности по кредиту
  13. Группировка из 50 хакеров задержана за хищение 1,7 млрд рублей
  14. Потери от киберугроз в мире могут вырасти в четыре раза до 2 трлн долларов к 2018 г.
  15. ОБЗОР О НЕСАНКЦИОНИРОВАННЫХ ПЕРЕВОДАХ ДЕНЕЖНЫХ СРЕДСТВ
  16. Из-за хакерской атаки Металлинвестбанк потерял 200 млн рублей
  17. EU lawmakers, countries agree on bloc's first cyber-security law
  18. Мошенники украли с пластиковых карт россиян 1,58 млрд руб в 2014 году
  19. Карточные мошенники за год украли у граждан 1,58 млрд рублей


TAdviser рекомендует

24 января, Вт.

Бета
Лидеры по внедрениям ИТ в корпоративном секторе

Добавить: