2020/08/18 11:30:16

Информационная безопасность в банках

Мошенничество по текущим счетам не только подразумевает использование полного лимита овердрафта держателя счета, но и зачастую открывает двери для последующей мошеннической деятельности. Преступники могут использовать информацию, полученную в результате успешной кражи ваших персональных данных, для последующих махинаций с другими финансовыми продуктами, такими как потребительские кредиты или кредитные карты.

Содержание

Потери банков от киберпреступности

Основная статья: Потери банков от киберпреступности

Политика ЦБ в сфере защиты информации в банках

Основная статья: Политика ЦБ в сфере защиты информации в банковской системе

Какие стандарты по информационной безопасности затрагивают компании финансового сектора в РФ?

  • СТО БР ИББС-1.0-2014
  • Письмо Банка России от 24 марта 2014 г. №49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
  • Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств …»
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».
  • Закон о Критической информационной инфраструктуре
  • 152-ФЗ «О персональных данных»
  • PCI DSS
  • ПП № 1119 `Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных`
  • Положение Банка России от 24 августа 2016-го года №552-П "О требованиях к защите информации в платежной системе Банка России"

А также

  • Требования ФСБ (для обладателей лицензий на криптографию)
  • 149-ФЗ «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ»
  • 63-ФЗ «Об электронной цифровой подписи»
  • 98-ФЗ «О КОММЕРЧЕСКОЙ ТАЙНЕ»
  • Гражданский кодекс
  • Уголовные кодекс
  • КоАП РФ

Направления атак

Мошенничество с банковскими картами

Взлом банкоматов

Фишинг

Единая биометрическая система (ЕБС)

Основная статья Единая биометрическая система идентификации

Утечки данных из банков России

Основная статья: Утечки данных из банков России

Страхование кибер-рисков

Основная статья Страхование кибер-рисков

Поставщики технологий информационной безопасности для банков

В апреле 2019 года аналитический центр TAdviser выпустил карту «Информационные технологии в банке», на которой отразил структуру ключевых процессов банковского бизнеса и отметил ИТ-компании, разрабатывающие продукты и оказывающие услуги для цифровизации этих процессов. Карта охватила 270 игроков рынка – 230 поставщиков ИТ-продуктов, применяемых для цифровизации основных процессов банковской деятельности, и 40 разработчиков решений для обеспечения информационной безопасности (подробнее).

Карта "Информационные технологии в банке" (кликните, чтобы увеличить)

2020

Атака Winnti Group на российских разработчиков банковского ПО

7 сентября 2020 года стало известно об атаке китайской хакерской группировки Winnti на российских разработчиков программного обеспечения для банков. О кибернападениях сообщили эксперты ИБ-компании Positive Technologies без указания имен кредитных организаций и производителей софта, которые могли пострадать от действий киберпреступников. Подробнее здесь.

ИБ-приоритеты банков в 2020 году

Летом 2020 года TAdviser опросил отечественных специалистов в сфере информационной безопасности и узнал у них, как изменились потребности их клиентов из банковской сферы. Построение защищенной "удаленки", развитие и защита систем ДБО, выполнение требований законодательства в сфере ИБ - ключевые приоритеты банков в сфере ИБ, о которых говорят эксперты в 2020 году.

Построение защищенной «удаленки»

Банковский сектор, также как и компании из других отраслей, были вынуждены организовывать удаленную работу для поддержания своей деятельности. Однако ранее банки не жаловали «удаленку», поэтому далеко не все были готовы к переходу на нее.

«

В начале пандемии были экстренные закупки решений для удаленной работы, но затем пошла плановая работа. Нужно понимать, что ИБ и ИТ в банковском секторе на достаточно высоком уровне, и финансово-кредитные организации смогли перестроить часть своих бизнес-процессов достаточно быстро, - отмечает Дмитрий Горелов, коммерческий директор компании «Актив».

»

«

При этом некоторые крупные банки, заранее озаботившиеся вопросом, перешли на массовую удаленную работу буквально за неделю, а небольшие так и не смогли этого сделать, хотя речь шла о числе пользователей, меньшем в 50-100 раз. Поэтому сейчас масштабируют или строят защищенную «удаленку» очень многие организации финансового сектора. На это не жалеют бюджетов, забирая деньги с других статей и проектов, - рассказывает Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет».

»


Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision), считает, что кредитно-финансовые учреждения столкнулись с необходимостью "пройти между Сциллой и Харибдой": перевести на удаленный режим многие типично оффлайн процессы, одновременно выполняя законодательные требования в области защиты информации.

«

К счастью, ЦБ РФ ещё в начале карантинных мер опубликовал рекомендации по организации безопасной удаленной работы для финансовых организаций, а вендоры смогли предложить соответствующие продукты и сервисы, - добавляет он.

»

По мнению Никиты Семенова, руководителя отдела ИБ компании «Талмер», банки столкнулись с тем, что, соблюдая требования стандартов в области ИБ, их инфраструктура потеряла гибкость и масштабируемость, а главное – оказалась абсолютно не готова к удаленному режиму работы, не имея путей оперативного решения данной ситуации.

«

Речь безусловно не идет о работе дополнительных банковских офисов, где личное присутствие сотрудника критически необходимо. Однако и бэк-офис оказался в той ситуации, когда информацию, необходимую для работы и обрабатываемую во внутреннем контуре сотрудники не могли получить удаленно, - поясняет эксперт.

»

Тем не менее в связи с переводом большого количества сотрудников банковской сферы на удаленную работу, как и в других отраслях, востребованными стали решения по контролю доступа к различного рода информации и защиты от целевых атак на прикладном уровне, отмечает Дмитрий Агафонов, директор по развитию «Иновентика технолоджес».

«

Банковская сфера одной из первых перешла к внедрению процедур контроля информационной безопасности, конфиденциальности и защиты данных. Поэтому с переходом на «удаленку» банкам потребовалось увеличение производительности уже существующих решений, - добавляет он.

»

Развитие и защита систем ДБО

Банки стали делать акцент на развитие своих систем ДБО, несмотря на то, что многие их офисы и филиалы в период пандемии продолжали свою работу в ограниченном режиме. Данную тенденцию можно было заметить по периодичности обновления соответствующих приложений.

«

С точки зрения приложений особое внимание банков вызывает соответствующие нормативные акты ЦБ РФ Положения 382-П и 672-П, обязывающие их ежегодно осуществлять анализ защищенности мобильных приложений и проводить регулярные тесты на проникновение систем ДБО. На сегодняшний день основная головная боль банковского офицера информационной безопасности, где дешево и качественно сделать анализ исходного кода и провести тест на проникновение, - говорят в компании «Кросс Технолоджис».

»

По словам Андрея Янкина возросшая нагрузка на системы ДБО привела к спросу на системы их защиты (как правило, масштабирование существующих) и пентесты.

Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта» (входит в группу «Ланит»), добавляет, что банки, учитывая перспективы развития онлайн-банкинга, аккумулирующего возрастающий ускоренными темпами объем персональных данных в сети, ставят в приоритет защиту персональной информации и укрепляют инструменты ИБ.

«

Для финансового сектора ИБ всегда является одним из актуальных вопросов. При этом многие из них задолго до начала пандемии активно развивали цифровые каналы. Это и определяет приоритеты. Защита онлайн-сервисов, API, контейнеризации – почти у каждого банка эти вопросы на повестке дня, - говорит Дмитрий Пудов, заместитель генерального директора по технологиям и развитию группы компаний Angara.

»

Соблюдение требований законодательства в сфере ИБ

Вместе с тем часть приоритетов для банков в 2020 году продолжают тенденции прошлых лет. В первую очередь, это так называемый compliance, т.е. соблюдение требований законодательства в сфере информационной безопасности, нормативов ЦБ и требований ФСТЭК и ФСБ.

«

Наиболее крупные банки активно развивают проекты по внедрению и модернизации центров оперативного реагирования (SOC), которые позволяют обеспечить оперативную реакцию на хакерские атаки, а также закрыть требования по обмену информацией об инцидентах с ФинЦЕРТ и ГосСОПКА, - рассказывает генеральный директор R-Vision Александр Бондаренко.

»

Как известно, в банковском секторе самый большой процент киберпреступлений. За уровнем информационной безопасности следят не только сами банки, но и государство. Так регулятором были разработаны акты, устанавливающее требования к прикладному программному обеспечению, в части сертификации, анализа уязвимостей, ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.

«

Это позволит снизить риски использования в программных продуктах вредоносного кода, что повлечёт за собой снижение количества компьютерных инцидентов. Только за первое полугодие к нам в испытательную лабораторию за добровольной сертификацией на ОУД4[1] обратилось десятки банков, - рассказывает Дмитрий Донской, директор по развитию компании «Эшелон Технологии».

»

Кроме того, одним из основных изменений для банков стала необходимость реализации комплекса мероприятий, направленных на выполнение требований ГОСТ 57580.2-2018[2].

«

Это связано с тем, что, согласно требованиям Положения Банка России № 683-П, кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года, - отмечает Виктор Сердюк, генеральный директор «ДиалогНаука».

»

Напомним, что согласно третьему уровню соответствия (по ГОСТ Р 57580.2-2018), организационные и технические меры процесса системы защиты информации реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы защиты информации осуществляются бессистемно и/или эпизодически.

Другие приоритеты

Денис Суховей, директор департамента развития технологий компании "Аладдин Р.Д.", считает, что в 2020 году может возобновиться прошлогодний тренд развития – активное применение банками средств криптографической защиты своих СУБД. Этот тренд существенно подогревается масштабными утечками из баз данных ведущих отечественных и западных банков.

При этом Алексей Сухов, коммерческий директор «Гарда Технологии», полагает, что постепенно приоритеты от защиты от внешних угроз переходят к защите от внутренних угроз.По его словам, наиболее громкие случаи утечек данных в текущем году были связаны как раз с деятельностью внутри банков, а не со взломом извне.

Лев Матвеев, председатель совета директоров «СёрчИнформ», замечает потребность банков в нетипичных ИБ-продуктах.

«

Банки, в частности, начали активнее интересоваться системами категоризации данных. Показательный пример: наш FileAuditor мы разработали по запросу ритейла и промышленности, а с начала 2020 года провели сразу несколько крупных сделок с банками. Также под запрос клиентов из финансовой сферы мы разработали продукт для контроля действий в базах данных, - рассказывает Лев Матвеев.

»

Илья Кондратьев, заместитель директора Департамента информационной безопасности АМТ-ГРУП, говорит, что все больше клиентов финансовой сферы интересуются защитой облачных сред и контейнеров. Кроме того, отмечает он, существенно возросли потребности в автоматизации процессов ИБ, часто выполняемых с помощью бумажного документооборота - например, управление ИТ и сетевым доступом, работа по инцидентам, управление рисками ИБ.

Владимир Лавров, руководитель управления информационной безопасности группы компаний Softline, отмечает, что банки стали активно применять новые технологии, которые позволяют им работать в условиях необходимости соблюдения социальной дистанции: блокчейн, искусственный интеллект, интернет вещей и другие. В то же время он добавляет, что цифровая трансформация несет за собой новые риски в области информационной безопасности, порождая новые тренды в данной сфере:

«

Например, в ответ на внедрение биометрической аутентификации мошенники создали технологию Deep Fake, позволяющую ее обходить. Сегодня банкам приходится внедрять многоуровневые технологии безопасности, позволяющие контролировать взаимосвязанные конечные устройства, рабочие и персональные гаджеты как сотрудников, так и их клиентов.

»

Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта» (входит в группу «Ланит»), добавляет, что один из новых приоритетов банков – это внедрение и развитие машинного обучения как в части улучшения предоставляемого сервиса, так и в части информационной безопасности для отслеживания и оценки финансовых транзакций.

По мнению Руслана Рахметова, генерального директора ГК «Интеллектуальная безопасность» (бренд Security Vision), устойчивой тенденцией является роботизация действий аналитиков при реагировании на инциденты ИБ.

«

Это помогает повысить эффективность деятельности SOC-центров, снизить рутинную нагрузку на сотрудников, а в период удаленной работы еще и обеспечить своевременную обработку угроз в условиях размытого периметра защиты, большого количества новых рисков и возможных задержек в оперативной коммуникации, - отмечает он.

»

Банки в России внедрили новый стандарт безопасности

В конце июля 2020 года стало известно о том, что банки в России внедрили новый стандарт безопасности 3D Secure 2.0, в связи с чем начали разрешать делать покупки в интернете без SMS-кода. Подробнее здесь.

МВД и Group-IB задержали мошенников, похищавших деньги у VIP-клиентов банков с помощью клонов SIM-карт

16 июля 2020 года стало известно о том, что сотрудники московского уголовного розыска при содействии экспертов Group-IB задержали организаторов преступной группы, специализирующейся на перевыпуске SIM-карт и хищении денег у клиентов российских банков. Группа действовала несколько лет, ущерб от ее деятельности оценивается десятками миллионов рублей, а их жертвами становились даже те, кто находился в местах лишения свободы.

МВД и Group-IB задержали мошенников, похищавших деньги у VIP-клиентов банков с помощью клонов SIM-карт

Как сообщалось, пик мошенничеств с перевыпуском SIM-карт пришелся на 2017-2018 годы — злоумышленники взламывали аккаунты Instagram, мессенджеров, почты у известных блогеров, предпринимателей, звезд шоу-бизнеса и спорта, и вымогали выкуп для возврата доступа. Значительная часть преступлений была связана с получением доступа к онлайн-банкингу и хищению денег с банковского счета жертвы.

Одна из преступных групп специализировалась на VIP-клиентах российских банков. Для сбора информации о жертве жулики использовали специальные сервисы «пробива» в телеграм-каналах или на подпольных хакерских форумах. Как правило, у владельцев подобных сервисов были налажены контакты с инсайдерами в банках с необходимым уровнем доступа. Так что они в режиме реального времени могут получить не только персональные данные клиента, но и состояние его банковского счета.

На следующем этапе мошенники пользовались услугами сотрудницы подпольного сервиса по восстановлению SIM-карт, также довольно популярной услуги в теневом сегменте интернета. Изготовив поддельную доверенность (бланк стоит на форумах около 1500 рублей, также используют поддельные печати или печатают бланки на цветном принтере), девушка перевыпускала SIM-карту в салонах сотовой связи Москвы и Подмосковья. В качестве удостоверения личности девушка использовала поддельные водительские права.

Сразу после активации SIM-карты-клона, сотовая связь у жертвы пропадала, зато в этот момент владелец сим-карты отправлял в банк запросы на получение одноразовых кодов доступа в мобильный интернет-банкинг. В ряде случаев подельница мошенников даже не утруждала себя пересылкой SIM-карты — она просто отправляла или диктовала полученные коды по телефону. Деньги — в среднем 50 000-100 000 рублей выводились со счета жертвы на счета третьих лиц и через цепочку транзакций обналичивались в других городах, например, в Самаре.

При этом если в 2017-2018 годах преступники выводили крупные суммы практически моментально, то, начиная с 2019 года — после того, как банки усилили борьбу с фродом, — им потребовалось больше времени. Мошенники могли совершать транзакции только спустя сутки после перевыпуска SIM-карт.

По этой причине мошенники стали выбирать жертв из числа состоятельных людей, которые находились в местах лишения свободы. Обязательное условие — у жертвы должны быть деньги на счете и подключен мобильный банкинг. В учреждениях ФСИН подследственным и осужденным запрещено пользоваться сотовой связью, однако известны не только случаи «проноса» смартфонов за решетку, но и работы целых тюремных колл-центров, что вылилось в совместную инициативу МВД, ФСБ и ФСИН по блокировке сотовой связи местах лишения свободы.

Многочисленные случаи хищения денег у клиентов российских банков стали поводом для проверки и возбуждения уголовного дела. В процессе расследования сотрудники столичного МУРа установили организаторов преступной группы и привлекли экспертов Group-IB. Двое организаторов группы были задержаны в Солнцево и Коммунарке, их подельница из «сервиса восстановления SIM-карт» — в Подмосковье. Еще один участник группы, связанный с обналичкой, был пойман в Самаре. Примечательно, что один из участников преступной группы был судим за аналогичные мошенничества с перевыпуском SIM-карт в 2014-2015 годах, но оказавшись на свободе, вновь вернулся к прежнему ремеслу.

При обыске оперативники и специалисты Group-IB обнаружили многочисленные SIM-карты, ноутбуки, смартфоны и кнопочные телефоны-«звонилки», поддельные документы — паспорта и водительские удостоверения, а также банковские карты и привязанные к ним SIM -карты, на которые приходили похищенные деньги. Для хранения конфиденциальной информации мошенники использовали флешки-криптоконтейнеры. Задержанные дали признательные показания — им предъявлены обвинения ч.4 по статье 159 УК РФ (Мошенничество). В деле несколько эпизодов, количество потерпевших увеличивается, суммарный ущерб оценивался в несколько десятков миллионов рублей.

«
В отличие от известных на июль 2020 года схем с телефонным мошенничеством — вишингом, когда злодеи пытаются получить у жертвы CVV или СМС-код, схема с перевыпуском сим-карт не такая массовая и ориентирована в первую очередь на солидных состоятельных клиентов. Все больше банков договариваются с сотовыми операторами об обмене данными для противодействия фроду: в случае перевыпуска сим-карты, мобильный банкинг временно блокируется и требуется отдельная активация онлайн-банкинга, однако это правило пока действует не у всех.

рассказал Сергей Лупанин, руководитель отдела расследований Group-IB
»

Чтобы не стать жертвой схемы с перевыпуском SIM-карт, эксперты Group-IB рекомендуют написать заявление в салоне оператора сотовой связи о том, что перевыпуск SIM -карты возможен только при личном присутствии абонента. В этом случае, даже если злоумышленник раздобудет скан паспорта и подделает доверенность, он не сможет перевыпустить SIM-карту и использовать её для доступа к мобильному банкингу. Также важно уточнить, что будет делать банк в случае перевыпуска SIM -карты. Если пользователь сам меняет номер мобильного телефона, важно сообщить об этом банку, в ином случае есть риск, что владелец SIM-карты сможет получить доступ к банковскому счёту.

Россия остается мировым лидером по атакам банковских вирусов

В 2019 году Россия осталась лидером по атакам банковских вирусов. Об этом свидетельствуют данные «Лаборатории Касперского», обнародованные 16 апреля 2020 года.

Согласно собранной статистике, более 30% пользователей в мире, которые столкнулись с атаками банковских троянов, проживали в России. Второе место по распространению таких вредоносных программ заняла Германия (7% от общего числа). В тройку лидеров попал Китай (чуть более 3%).

В 2019 году Россия осталась лидером по атакам банковских вирусов

В 2019 году около 774 тыс. пользователей продуктов «Лаборатории Касперского» были атакованы банковскими троянами. Более 35% из них пришлось на корпоративный сектор, тогда как в 2018 году показатель измерялся 24,1%.

На финансовый сектор пришлось 44,7% фишинговых атак в мире против 51,4% в 2018 году. Доли фишинговых атак на платежные системы и онлайн-магазины в 2019 году составили 17% и 7,5% соответственно, что примерно соответствует показателям 2018-го. Доля финансового фишинга, с которым сталкиваются владельцы компьютеров Apple, немного уменьшилась и составила 54%.

По данным «Лаборатории Касперского», количество пользователей Android-устройств, атакованных при помощи банковских вирусов, в 2019 году сократилось до 675 тыс. с 1,8 млн годом ранее. Чаще всего таких пользователей атаковали в России, ЮАР и Австралии.

«
Хотя общее число атак на банкиров в 2019 году уменьшилось, растущий интерес к учетным данным корпоративных клиентов указывает на то, что мы пока не видим прекращения финансовых угроз. Поэтому мы просим всех быть осторожными при проведении финансовых операций на компьютеров. В то время как мы находимся на пике тенденции удаленной работы во время пандемии коронавируса, особенно важно не недооценивать желание преступников воровать деньги, — сообщил эксперт по безопасности «Лаборатории Касперского» Олег Купреев.[3]
»

В каждом втором мобильном банке в России мошенники могут красть деньги

В каждом втором мобильном банке мошенники могут красть деньги, говорится в исследовании, проведённом компанией Positive Technologies.

Эксперты изучили 14 популярных российских приложений для операционных систем Android и iOS, которые были загружены более 500 тыс. раз из каталогов Google Play и App Store.

Данные Positive Technologies

По итогам анализа специалисты пришли к выводу, что в 13 из 14 приложений возможен доступ к их персональным данным. 76% уязвимостей в мобильных банках могут быть использованы злоумышленниками без физического доступа к устройству.

При этом каждое второе мобильное банковское приложение имеет недостаток, позволяющий мошенникам красть денежные средства. Для использования ряда уязвимостей в клиентских частях мобильных банков злоумышленнику достаточно установить на устройство жертвы вредоносное ПО, например, в ходе фишинговой атаки.

Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: так, недостатки в первых были не выше среднего уровня риска, в то время как 29% вторых содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями: именно она выступает точкой входа в приложение для хакеров.

Данные Positive Technologies

Также выяснилось, что в шести из семи веб-приложений банков содержатся уязвимости, связанные с недостаточными мерами по аутентификации пользователя. На практике недостатки мобильных приложений используются очень редко. Сегодня большинство мошеннических схем связаны с социальной инженерией, то есть психологическими методами выманивания у граждан необходимых сведений об их счетах.[4]

Всплеск необычных кибератак на банки и энергетику

Эксперты центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» зафиксировали всплеск достаточно редкого типа атак на банки и энергетическую отрасль. Цепочка вредоносной активности включает целых четыре этапа, что позволяет хакерам получить контроль в ИТ-инфраструктуре организации, оставаясь незаметными для средств защиты — антивирусов и даже песочниц. Об этом «Ростелеком-Солар» сообщил 18 февраля 2020 года.

Многокомпонентная атака начинается фишинговой рассылкой офисных документов в адрес сотрудников банков и энергетических компаний якобы от имени других организаций — представителей отрасли. При открытии вложения активируется исполняемый файл, который обращается к популярному хостингу открытого кода pastebin.com. Оттуда запускается участок кода, который в свою очередь отправляет команду о скачивании на атакуемый компьютер картинки с сервиса по обмену изображениями imgur.com. Дело осложняет использование стеганографии: в загруженное изображение встроено вредоносное ПО, позволяющее хакерам собрать и отправить на свои серверы полную информацию о жертве.

Если полученные данные оказываются интересными для злоумышленников, дальнейший сценарий управления зараженной системой может включать в себя, например, загрузку вирусов для кражи ценных документов и коммерческого кибершпионажа (в случае с энергетическими компаниями) или для вывода денежных средств (если речь идет о банках). Кроме того, хакеры могут монетизировать свои действия, продавая сами точки присутствия в инфраструктуре организаций.

По статистике «Ростелеком-Солар», 80% таких атак было направлено на банки. Но в оставшихся 20% случаев, которые пришлись на энергетику, хакеры атаковали более активно — специалистам из этой отрасли было отправлено около 60% от общего числа фишинговых писем, причем их качество также говорит о более тщательной подготовке со стороны злоумышленников.

«
Любопытно, что стилистика вредоносного кода очень похожа на ту, что использует русскоговорящая хакерская группировка Silence, которая до недавнего времени специализировалась исключительно на банках. То есть либо Silence осваивает различные отрасли и способы зарабатывания денег, либо появилась очередная, очень профессиональная группировка, которая удачно имитирует код Silence, сбивая прицелы специалистов по информационной безопасности,
комментирует Игорь Залевский, руководитель центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар»
»

Как отмечают эксперты JSOC CERT, cтоль непростой механизм доставки вредоносного ПО до конечной точки встречается крайне редко и обычно свидетельствует о целенаправленной атаке. Автоматизированные средства защиты — антивирусы и песочницы — не могут детектировать подобные инциденты, так как они рассчитаны на выявление атак из одного – максимум двух этапов. В этих условиях службам безопасности организаций рекомендуется особенно внимательно подойти к вопросу повышения киберграмотности сотрудников.

Повышение киберрисков интернет-банкинга с вязи с окончанием поддержки Windows 7

Центр правительственной связи Великобритании призывает с 14 января 2020 г. не использовать Windows 7 для интернет-банкинга, а также электронную почту с компьютеров на этой ОС. Об этом стало известно 14 января 2020 года. Подробнее здесь.

2019

Зафиксирован 27-кратный рост объема утечек данных в финансовом секторе

В 2019 году более чем в 27 раз увеличился объем утечек персональных данных и платежной информации, скомпрометированных в результате неосторожности или неправомерных действий персонала банков, страховых компаний, иных организаций финансового сегмента, а также в результате активности внешних злоумышленников (хакерские атаки). Подробнее здесь.

В России рынок высокотехнологичных преступлений в финансовой сфере сократился на 85%

29 ноября 2019 года международная компания Group-IB представила глобальный отчет о высокотехнологичных преступлениях Hi-Tech Crime Trends 2019-2020. Сокращение в России ущерба от всех видов киберпреступлений с использованием вредоносных программ, направленных как напрямую на банки, так и их клиентов привело к рекордному падению рынка на 85%. Согласно оценке Group-IB рынок высокотехнологичных преступлений в финансовой отрасли России, сократился до 510 млн рублей за период H2 2018 — H1 2019 против 3,2 млрд рублей в предыдущем периоде. На фоне исхода финансово мотивированных группировок из зоны «РУ», сокращения числа Android-троянов и групп, занимающихся фишингом, в России растет количество преступлений против клиентов банков с использованием социальной инженерии и телефонного мошенничества.

Команда Group-IB Threat Intelligence выделяет 5 групп, которые успешно проводят целевые атаки на банки и представляют реальную угрозу финансовому сектору в мире. Среди них «русскоязычная тройка» — Cobalt, Silence и MoneyTaker, а также северо-корейская Lazarus (Северная Корея) и группа SilentCards из Кении. По-прежнему только Cobalt, Silence и MoneyTaker обладают троянами, которые позволяют управлять диспенсером банкомата и выводить деньги. При этом за исследуемый период через банкоматы атаковали только хакеры Silence, через карточный процессинг - Silence и SilentCards, через SWIFT - Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму 16 млн долл).

Группы, атакующие банки

Только северокорейская APT-группа применяет метод хищения FastCash. Он стал известен в конце 2018 года, хотя впервые был использован в Азии еще в 2016 году. За всеми атаками этого типа стоит группа Lazarus. Silence снизили активность по собственным фишинговым рассылкам и начали приобретать доступ в целевые банки у других хакерских групп, в частности, у ТА505. На ноябрь 2019 года, SilentCards является наименее технически подготовленной среди указанных групп и пока успешно совершает целевые атаки только на банки в Африке.

В отношении российских банков Cobalt и Silence провели по одной успешной атаке за исследуемый период, MoneyTaker – две. Первые две русскоязычные группы переключили свой фокус на иностранные цели, что привело к многократному сокращению ущерба «по РУ». Согласно отчету Group-IB до 93 млн руб, то есть почти в 14 раз сократились потери от целевых атак на банки в России со стороны финансово мотивированных группировок. По сравнению с прошлым периодом, средняя сумма хищения от целевых атак на банки в России упала со 118 до 31 миллиона рублей.

По прогнозам Group-IB «русскоязычная тройка» продолжит географическую экспансию вне «РУ». Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом ИТ-инфраструктуры из строя для сокрытия следов. Предположительно SilentCards пока останется локальной группой, атакующей банки в своем регионе.

Оценивая рынок высокотехнологичных преступлений в России, эксперты Group-IB выделяют несколько сегментов, в каждом из которых фиксируется снижение. По хищениям с помощью троянов для ПК, «родиной» которых всегда была Россия, ущерб сократился на 89% и составил 62 миллиона рублей. Русскоязычные хакеры перестали создавать десктопные трояны. Осталось всего две группы, которые похищают деньги в России с помощью троянов для ПК — Buhtrap2 и RTM. Активность проявляет только последняя.

Оценка рынока высокотехнологичных преступлений в России

Трояны под мобильные Android-устройства исчезают медленнее, но хищения с помощью этого типа вредоносного ПО также на спаде: ущерб в этом сегменте составил 110 млн. рублей, что на 43% ниже аналогичного показателя в прошлом периоде. Количество групп, использующих Android-трояны в России, сократилось с 8 до 5: при этом со сцены ушли «тяжеловесы» — трояны, на счету которых наибольшее количество мошеннических транзакций. Оставшиеся группы отказались от SMS-канала для хищений, его заменил метод перевода card2card, что привело к увеличению среднего размера хищения с 7 до 11 тысяч рублей. В целом, за истекший период 22 трояна вышли из употребления, им на смену были созданы всего 7 других.

Ущерб от финансового фишинга в России упал на 65% до уровня 87 миллионов рублей. На общую цифру повлияло как сокращение количества активных групп, так и уменьшение `среднего чека` атаки. Снижение финансовой выгоды привело к выходу из игры 15 групп, зарабатывавших на фишинговых атаках. Активных осталось 11.

Снижение экономической эффективности от этих типов атак, вынуждает мошенников искать другие способы заработка на данных банковских карт. В итоге мошенничество с использованием приемов социальной инженерии вышло на первое место по степени распространения угрозы в России. Прежде всего, речь идет о телефонном мошенничестве — вишинге, который начиная с конца 2018 года буквально захлестнул банковский рынок. Поведенческий анализ пользовательских сессий для выявления подозрительной активности в системах ДБО по-прежнему является прерогативой крупных банков. Именно поэтому в России именно этот вид атак на клиентов банков сохранит высокую динамику.

Объем рынка кардинга за исследуемый период вырос на 33% и составил более 56 млрд. руб. (879 680 072$). Количество скомпрометированных карт, выложенных на андеграундные форумы, возросло 38% с 27,1 до 43,8 млн. относительно прошлого периода. Дампы (содержимое магнитных полос карт) составляют 80% рынка кардинга. За исследуемый период было обнаружено 31,2 млн дампов в продаже, что на 46% выше, чем в 2018 году. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%. Средняя цена на текстовые данные поднялась с 9 до 14$, при этом снизилась средняя цена дампа — с 33$ до 22$.

Наиболее низкая цена выставляется, как правило, на скомпрометированные данные американских банков, они, в среднем, идут по 8-10$ за свежие текстовые данные карты и 16-24$ за дампы. Традиционно высокий прайс на карты европейский банков: 18-21$ за текст, 100-120$ за дамп. Российские карты остаются редкостью в крупных кардшопах, большинство из которых не работает «по РУ». Карты российских банков обычно находятся в среднем ценовом диапазоне, при этом с прошлого периода значительно выросла средняя цена за дамп – с 48$ до 71$ (4 500 руб) и немного снизилась цена за текст с 15$ до 12$ (760 руб). При этом максимальная цена за дамп карты российского банка в 2018 году достигала 170$ (10 000 руб), а в 2019 поднялась до отметки 500$ (32 000 руб).

Очередным трендом, работающим на увеличение объема текстовых данных банковских карт в продаже стали JS-снифферы. В этом году эксперты Group-IB выявили минимум 38 разных семейств JS-снифферов, их количество растет и уже превышает число банковских троянов. По масштабам компрометации с помощью JS-снифферов первую позицию занимает США, а вторую — Великобритания. Эта угроза будет актуальна в первую очередь для стран, где не распространена система 3D Secure.

Фишинг – остается «долгоиграющим» методом о получения мошенниками текстовых данных о банковских картах пользователей. Конкуренция в этом сегменте растет: атакующие стали использовать панели для управления веб-инжектами и автозаливом, которые раньше были прерогативой банковских троянов. Разработчики фишинг-китов начали больше внимания уделять самозащите: они используют блокировку подсетей вендоров по безопасности, хостинг компаний, отдают фишинговый контент только с IP-адресов региона, где находятся их жертвы, перенаправляют на легитимные сайты, проверяют аномальные user-agent.

Новый Android-вирус затерроризировал российские банки

В конце ноября 2019 год стало известно об атаке нового вируса на российские банки. Этот троян способен автоматически переводить средства через банковские мобильные приложения для операционной системы Android, сообщили эксперты Group-IB. Подробнее здесь.

Русскоязычные хакеры перестали атаковать банки в РФ и переключились на зарубежные

Русскоязычные хакеры перестали атаковать банки в РФ и переключились на зарубежные кредитные организации. Об этом в конце ноября 2019 года сообщили в компании Group-IB в своём отчете Hi-Tech Crime Trends 2019, составленном по результатам исследования за второе полугодие 2018 года и первую половину 2019-го.

По словам экспертов, до 2018 года русскоязычные хакерские группировки чаще атаковали банки в России и СНГ, но затем этот тренд кардинально изменился. Киберпреступники «часто начинают работать в своем регионе: так было с Cobalt, с Silence в России, а также с SilentCards в Африке».

Русскоязычные хакеры перестали атаковать банки в РФ и переключились на зарубежные кредитные организации
«
Домашние» регионы для них тестовый полигон: отработав техники, они идут дальше. Например, та же «русскоязычная тройка» сфокусировалась на целях в Азии, Африке, Европе и Америке, — сообщил РБК представитель Group-IB.
»

В «Лаборатории Касперского» подтвердили изданию существование такой тенденции и отметили, что хакеры теперь активны в менее защищённых странах в Восточной Европе, СНГ, Азии и т. п.[5]

Специалисты указали на пять группировок, которые, по их мнению, представляют реальную опасность для банков: три из них (Cobalt, Silence, MoneyTaker) причисляют к русскоязычным, еще две группы — северокорейская Lazarus и кенийская SilentCards.

За 12-месячный исследуемый период, завершившийся в июне 2019 года, Cobalt и Silence провели только по одной подтвержденной успешной атаке на российские банки и сконцентрировались на иностранных целях, что и привело к многократному сокращению ущерба от них в российском секторе, говорится в отчете. MoneyTaker атаковал два раза (во втором случае ущерб был предотвращен).

Cobalt ограбила российский банк в сентябре 2018 года, еще одна атака была предпринята в ноябре. Silence в феврале 2019 года удалось украсть у омского ИТ-банка 25 млн рублей, говорится в отчёте.

Актуальные проблемы ИТ-безопасности банков

Цифровая трансформация увеличивает качество, скорость взаимодействия потребителей финансовых услуг и финансовых организаций, но вместе с тем создает дополнительные риски.

Как отмечает Константин Маркелов, руководитель департамента R&D компании ОТР, к ключевым рискам безопасности в кредитно-финансовой сфере относятся:

  • финансовые потери потребителей финансовых услуг, подрывающие доверие к современным финансовым технологиям;
  • финансовые потери отдельных финансовых организаций, способные оказать критическое воздействие на их финансовое положение;
  • нарушение операционной надежности и непрерывности предоставления финансовых услуг, приводящее к репутационному ущербу и нарастанию социальной напряженности;
  • развитие системного кризиса в случае возникновения инцидентов информационной безопасности вследствие кибератак в значимых для финансового рынка организациях.

В России, по данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, объем несанкционированных операций со счетов юридических лиц по итогам 2018 г. составил 1,469 млрд руб. (в 2017 г. – порядка 1,57 млрд руб., в 2016 г. – порядка 1,89 млрд руб., в 2015 г. – порядка 3,7 млрд руб.). «Снижение налицо и это положительный факт», - говорит Константин Маркелов.

На территории России и за ее пределами объем несанкционированных операций с использованием платежных карт, эмитированных российскими кредитными организациями, в 2018 г. составил 1,384 млрд руб. (в 2017 г. – 0,961 млрд руб., в 2016 г. – 1,08 млрд руб., в 2015 г. – 1,14 млрд руб.). «Здесь заметен разнонаправленный тренд, а это плохо», - добавляет эксперт ОТР.

По его мнению, поскольку цифровая трансформация качественно изменяет технологии предоставления финансовых услуг, Банк России на регуляторном уровне (и каждый банк – на уровне внутренних регламентов и политик безопасности) должен сформулировать новые подходы к информационной безопасности и киберустойчивости финансовой системы с учётом следующих факторов:

  • изменение архитектуры информационных систем (в т.ч. использование технологий распределенных реестров);
  • возможность удаленного доступа к финансовым услугам и повсеместного использования мобильных технологий;
  • применение новых перспективных технологий для целей информационной безопасности и киберустойчивости (Big Data, искусственный интеллект, роботизация);
  • «Интернет вещей» как элемент платежного пространства.

Говоря о проблемах ИТ-безопасности банков, отечественные эксперты чаще всего упоминают такие задачи, как необходимость защиты данных, борьба с мошенничеством и противодействие целенаправленным атакам.

Обеспечение безопасности данных

Появляется всё больше систем, где собирается много данных. К тому же данные дорожают. Поэтому всё большее значение приобретает задача обеспечения безопасности работы с ними, но не в ущерб возможности их обрабатывать.

Как отмечает Михаил Комаров, директор направления Informatica в компании DIS Group, раньше для защиты данных значительно ограничивался доступ к ним. Сейчас это невозможно: такое ограничение замедлит развитие бизнеса. Поэтому будет усиливаться контроль за доступом и использованием данных сотрудниками внутри организации. Кроме того, будет расти востребованность решений для интеллектуального обезличивания данных, которые с одной стороны защищают данные, с другой – сохраняют их особенности и возможность обрабатывать их.

«

Важно отметить, что это будут средства как для обезличивания данных в непромышленных средах, так и для обезличивания в реальном времени в продуктивных системах, - говорит Комаров.

»

По мнению Дмитрия Пудова, заместителя генерального директора по технологиям и развитию Angara Technologies Group, актуальность вопросов защиты данных связана с реализацией большого количества проектов, трансформирующих ИТ-ландшафт банка – внедрения систем анализа больших данных, робоэдвайзинга, проектов по персонализации предложений (связанных с ML, social mining).

«

С учетом трансформации используемых подходов в разработке и фокусом на скорость доставки новых систем и продуктов, риски ИБ существенно возрастают. И это, в свою очередь, заставляет банки активно рассматривать методы и решения, которые позволяют найти разумный компромисс между рисками ИБ и скоростью разработки и вывода новых сервисов на рынок. В последнее время мы отмечаем интерес со стороны банков к следующим классам решений: средства контроля привилегированных пользователей, безопасность контейнеризации, безопасность Big Data, анализ и безопасность ПО с открытым исходным кодом, - рассказывает он.

»

Внутренний фрод

Сергей Косецкий, коммерческий директор X-Com, считает, что защита информационных систем крупных банков достаточно высока, в связи с чем фокус угроз от классических кибератак смещается к человеческому фактору. Свидетельство тому – серия громких скандалов последнего времени, связанные с утечкой персональных данных клиентов банков из первой десятки.

Рустем Маннанов, эксперт компании «ICL Системные технологии», добавляет, что для защиты от недобросовестного сотрудника, стоит применять системы класса User Behavior Analytics. Они позволяют на ранних стадиях обнаружить и предотвратить инциденты. В этих решениях используются такие подходы, как сценарии, основанные на правилах, предиктивные технологии, машинное обучение и детектирование аномалий.

Илья Полесский, директор по развитию бизнеса DTG (направление в группе компаний «Ланит»), считает наиболее острой проблемой для банков внутреннюю безопасность и взаимодействие с партнерами, раскрывающими данные об основном бизнесе. По его словам, защита информации теперь связана не только со множеством продуктов, недоступных ранее, но и с обилием систем, интегрированных в банковскую деятельность.

«

Пресловутый человеческий фактор — то, с чем приходится сталкиваться на всех уровнях взаимодействия финансового института, - отмечает он.

»

Внешний фрод

С разрешением на использование биометрии граждан для идентификации и удаленного оказания банковских услуг появились и новые виды мошенничества. Например, злоумышленники пытаются завладеть «голосовым профилем» клиентов через запись фраз и команд, чтобы пройти идентификацию и получить доступ к операциям со средствами. Двухфакторная аутентификация с использованием телефона также дает мошенникам поле для деятельности — SIM-карта или гаджет клиента банка дадут возможность завладеть и его счетами.

Среди основных угроз также можно выделить мошенничество с использованием социальной инженерии. Учащаются и случаи мошенничества - как телефонного, так и с использованием фишинга. Это попытки незаконного получения у клиентов банков информации, касающейся их пластиковых карт.

«

Для решения описанных проблем требуется внедрение самых разных решений, начиная от маскирования данных, заканчивая разнообразными организационными мерами, - отмечает Максим Тикуркин, генеральный директор компании «Системный софт».

»

По мнению Марии Бар-Бирюковой, заместителя генерального директора ГК «Корус Консалтинг», для борьбы с этими угрозами нужно соблюдать баланс безопасности и удобства – использовать автоматические средства мониторинга, ситуационные центры, вести проактивную работу с пользователями и клиентами.

Противодействие целенаправленным атакам

На протяжении последних нескольких лет наиболее актуальной проблемой остаются вопросы противодействия целенаправленным атакам. В случае успешной атаки потери могут измеряться десятками и даже сотнями миллионов рублей, поэтому банки активно инвестируют в современные средства детектирования атак на ранних стадиях.

«

Практически все решения ведут к росту операционных затрат на информационную безопасность, так как средства детектирования признаков кибератак требуют последующего оперативного анализа специалистами. Этим также обусловлен повышенный интерес и инвестиции банков в создание и развитие центров кибербезопасности Security Operations Center (SOC), которые являются ответом на возрастающие требования банков к операционной эффективности подразделений ИБ, - рассказывает Дмитрий Пудов, заместитель генерального директора по технологиям и развитию Angara Technologies Group.

»

По словам Петра Филатова, коммерческого директора компании Oberon, принцип выбора банка-«жертвы» прост: чем больше бизнес, тем больше внимания и серьезнее потенциальные потери, которые могут обойтись дороже. Например, утечки данных пользователей будут стоить крупному банку в разы дороже и в деньгах, и репутационно: согласно информации Сбербанка, потери от кибератак в нашей стране — порядка 650 млрд руб. ежегодно, при этом количество инцидентов продолжает увеличиваться.

Проверки ЦБ РФ показывают, что ни один банк в России не выполняет в полном объеме его требования в сфере информационной безопасности. В 2018 году Центробанк опубликовал стандарт, который нормирует взаимодействие банков с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Как показывают исследования, лишь 25% банков в России используют цифровые инновации вместе с инструментами кибербезопасности. 44% банков ограничивается инфраструктурными средствами защиты.

«

Участие в таких инициативах, как системы быстрых платежей и «цифровой профиль гражданина», а также создание партнерских экосистем на основе OpenAPI, требуют от банков новых подходов к обеспечению кибербезопасности. Ожидается, что в ближайшие годы для улучшения мер обеспечения информационной безопасности будут использоваться шифрование, блокчейн, машинное обучение и аналитика. В результате, более 50% предупреждений о безопасности будут обрабатываться автоматически и в реальном времени на базе искусственного интеллекта. Если заглянуть немного в будущее, то для обеспечения кибербезопасности будут использоваться поведенческая биометрия и технологии квантового шифрования информации, - говорит Александр Рожков, директор по продажам управления сервисов ГК Softline.

»

В Bell Integrator полагают, что пока вся борьба с кибер-преступлениями сконцентрирована на самих атаках, она так и будет носить более или менее паритетный характер: всё более продвинутые системы безопасности против всё более продвинутых средств взлома и хищения.

«

Перелом, вероятно, наступит тогда, когда внимание обороняющейся стороны, наконец, переключится с самих атак на устранение их последствий. Мы имеем в виду возможность отката любых мошеннических транзакций, что фактически поставит под сомнение сами атаки. Ведь если похищенные вами средства могут быть изъяты назад столь же легко, как они попали в ваш карман, то смысл самой операции хищения становится сомнительным. Это произойдёт не завтра и даже, пожалуй, не в ближайшие десять лет, но технология блокчейн создаёт для этого очевидные предпосылки, так что рано или поздно это обязательно случится, - отмечает директор по стратегическому развитию бизнеса Bell Integrator Андрей Эзрохи.

»

В России появился новый способ хищения данных банковских клиентов

В начале ноября 2019 года стало известно о новом способе краже данных банковских клиентов в России. Злоумышленники разработали схему корпоративного фишинга, которая связана с имитацией тестирования сотрудников кредитных организаций.

Как пишут «Известия» со ссылкой на «Лабораторию Касперского», банковским работникам отправляют на электронную почту сообщение с «приглашением» пройти аттестацию. После прохождения по ссылке им предлагают ввести логин и пароль от рабочей почты, в результате чего киберпреступники могут получить доступ к переписке, в которой могут содержаться файлы с персональными данными клиентов банков.

Стало известно о новом способе краже данных банковских клиентов в России.

Старший контент-аналитик «Лаборатории Касперского» Татьяна Щербакова говорит, что масштаб атак по такой схеме зависит от содержимого взломанной электронной почты. Первое, к чему могут получить доступ мошенники, — это корпоративная переписка. А если логины и пароли от баз данных с персональной информацией о клиентах или сами базы пересылаются в открытом виде, то злоумышленники получат в распоряжение и их тоже.

Щербакова добавила, что «Лаборатория Касперского» узнала о новом способе фишинга от своих клиентов.

В подразделении ЦБ по кибербезопасности отмечают, что фишинг — первый среди основных факторов, способствовавших успешным атакам на банки с целью завладеть персональными данными жителей страны. Часто мошенники пользуются именно человеческим фактором при рассылке писем сотрудникам банков.

В кредитных организациях газете пояснили, что банки довольно часто проводят обучение и аттестации, поэтому такие письма не вызывают у сотрудников подозрений. К тому же банки — это, как правило, довольно формализованные системы, поэтому для работников привычно общение через электронную почту.[6]

Positive Technologies: Техники APT-группировок при атаках на кредитно-финансовые организации

10 октября 2019 года компания Positive Technologies сообщила, что её эксперты проанализировали тактики и техники десяти APT-группировок, атаковавших финансовые компании за последние два года[7], и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные. Подробнее здесь.

Банковский ботнет Geost инфицировал 800 тыс. Android-устройств в РФ

3 октября 2019 года стало известно, что исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast обнаружили один из банковских ботнетов, получивший название Geost. Жертвами вредоносной кампании стали по меньшей мере 800 тыс. владельцев Android-устройств в РФ, в частности злоумышленники получили доступ к их банковским счетам, на которых в общей сложности хранилось несколько миллионов евро. Подробнее здесь.

ЦБ: резко растёт число мошеннических звонков с подменой номеров банков

27 сентября 2019 года стало известно об участившихся в России мошеннических звонков с подменой номера банка. По данным ЦБ, только в июне-августе мошенникам удалось подменить около 200 банковских номеров.

Как пишет «Коммерсантъ», летом 2019 года Центробанк направил операторам связи информацию о более чем 2,5 тысячи номеров, с которых поступали звонки российским клиентам. По требованию финансового регулятора операторы в 218 случаях блокировали номер, в 59 — вводили ограничения на использование финансовых сервисов, и в 198 — обнаруживали подмену номера банка. Однако более чем в двух тысячах случаев никаких мер не принимали из-за отсутствия правовых оснований.

Мошенники стали чаще звонить россиянам с подменой номеров банков

Доля звонков с подменой номера банка к середине лета достигла 35% от общего числа мошеннических звонков, сообщил замдиректора департамента информационной безопасности банка «Открытие» |Илья Сулоев. Росбанк столкнулся с волной звонков от мошенников в начале июля. Альфа-банк тоже фиксировал подмену номера.

Новый всплеск мошеннических звонков был зафиксирован в сентябре 2019 года, рассказал изданию первый замглавы департамента информационной безопасности Банка России Артем Сычев. По его словам, для реализации технических мер защиты потребуются и законодательные поправки.

Многие из поступивших летом обращений ЦБ были «технически некорректны», объяснил изданию представитель «ВымпелКома». По его словам, иногда в списках предоставленных для блокировки номеров были указаны те, которые банки используют для исходящих звонков клиентам. Блокировка таких номеров привела бы к тому, что банки не смогли бы дозвониться клиентам, отметил оператор.

Статистика ЦБ отражает только малую часть проблемы, заявил изданию коммерческий директор «МегаФона» Влад Вольфсон.[8]

Trend Micro: безопасность в банковской сфере в условиях PSD2

24 сентября 2019 года компания Trend Micro представила исследование о состоянии банковской безопасности в рамках платёжной директивы Европарламента и Еврокомиссии, PSD2. В исследовании The Risks of Open Banking — Are Banks and their Customers Ready for PSD2? рассказывается о рисках, с которыми придётся столкнуться финансовым структурам, и о возможных методах киберпреступников, желающих воспользоваться уязвимостями системы Open Banking.

Обновлённая версия платёжной директивы Европейского cоюза PSD2, которую также называют Open Banking, вступила в действие 14 сентября 2019 года. Целью PSD2 стало предоставление пользователям услуг банков дополнительных возможностей и большего контроля над своими банковскими данными. Также директива даёт сторонним компаниям, которые специализируются на финансовых технологиях и предоставляют свои услуги банкам и клиентам, равнозначный с банками доступ к данным пользователей для их анализа и предоставления финансовых рекомендаций.

В PSD2, которая заменит утверждённую в 2007 году первую версию директивы, более чётко описываются конкретные процедуры защиты данных, права и обязанности провайдеров услуг и пользователей, а целью обновленной директивы является стимуляция инноваций и конкуренции в финансовой сфере. И хотя она разработана в первую очередь для государств-членов ЕС, действие и последствия принятия PSD2 распространятся далеко за рамки Европейского союза. Директива считается важным шагом для всей отрасли, так как она отбирает полный контроль над клиентскими данными у банков и даёт пользователям право делиться этой информацией с другими поставщиками финансовых услуг.

Для соблюдения требований PSD2 в сфере безопасности банки открывают свои API финтех-компаниям (когда в этих компаниях создаётся необходимая инфраструктура для обеспечения безопасности данных и клиенты дают согласие на передачу этих данных). Но существует ряд опасений касательно реальной готовности банковской сферы и финтех-компаний к работе в условиях PSD2.

Клиенты, которые решили использовать приложения системы Open Banking для хранения своих финансовых данных и управления ими, вступают в абсолютно новые доверительные отношения: ранее они раскрывали эту информацию учреждениям с многолетней историей и устоявшейся репутацией, а теперь данные будут передаваться намного менее известным сторонним поставщикам услуг, у которых нет такого опыта борьбы с мошенничеством. При этом системы защиты банков станут получать меньше данных для обучения и выявления случаев мошенничества в режиме реального времени, так как финансовая информация их клиентов начнёт «распыляться» по нескольким организациям.

Несмотря на то, что клиенты будут лучше осведомлены о фишинге и методах, которые используются киберпреступниками для получения их данных, у злоумышленников появятся новые возможности для обмана — например, преступники могут назвать себя представителями финтех-компаний, работающих с банками. Также принятие директивы наверняка приведёт к появлению новых фишинговых схем.

Банки уже не раз были замечены в раскрытии персональных данных их клиентов, которые содержались в открытом виде в URL их систем и API. В то же время некоторые финтех-компании используют явно недостаточные меры безопасности и рискованные методы сбора данных, например, screen scraping (сбор и анализ экранных данных). Поэтому очень возможно, что киберпреступники смогут найти уязвимые приложения и функции, которыми постараются воспользоваться сразу после запуска системы.

Для злоумышленников информация о банковских транзакциях крайне ценна — она помогает выявить поведенческие паттерны пользователей, их привычки, расписание и финансовый статус. Поэтому за доступ к таким данным будут готовы платить рекламные агентства, которые занимаются рассылкой спама и рекламы сомнительного содержания, а также некоторые государственные учреждения, связанные, например, с безопасностью или разведкой.

За год работы платформа обмена данными о киберугрозах помогла банкам предотвратить ущерб в 8 млрд рублей

29 августа 2019 года компания BI.ZONE совместно с Ассоциацией банков России сообщили о подведении итогов первого года работы платформы обмена данными о киберугрозах, участниками которой уже стали порядка 70 финансовых организаций. За год работы платформа помогла банкам предотвратить ущерб в 8 млрд рублей. Подробнее здесь.

Банковский троян Amavaldo использует снимки экрана для хищения информации

8 августа 2019 года международная антивирусная компания ESET сообщила, что изучила ряд банковских троянов, которые атакуют пользователей Латинской Америки. Подробнее здесь.

Check Point: Число атак на мобильный банкинг в первом полугодии возросло в 2 раза

1 августа 2019 года компания Check Point Software Technologies выпустила отчет Cyber Attack Trends: 2019 Mid-Year Report. Хакеры продолжают разрабатывать новые наборы инструментов и методы, нацеленные на корпоративные данные, которые хранятся в облачной инфраструктуре; личные мобильные устройства; различные приложения и даже популярные почтовые платформы. Исследователи отмечают, что ни один из секторов полностью не защищен от кибератак. Подробнее здесь.

Немецкие банки отказываются от поддержки авторизации по одноразовому SMS-коду

Несколько немецких банков объявили в июле 2019 года о планах отказаться от использования одноразовых SMS-паролей в качестве метода авторизации и подтверждения транзакции. Причиной отказа от одноразовых SMS-паролей является новое законодательство ЕС, которое вступит в полную силу 14 сентября 2019 года[9].

Handelsblatt сообщает, что Postbank откажется от поддержки одноразовых SMS-паролей в августе, Raiffeisen Bank и Volksbank AG осенью, а Consorsbank сделает это к концу 2019 года. Deutsche Bank и Commerzbank также планируют отказаться от поддержки, но пока не объявили сроки. Другие банки, такие как DKB и N26, никогда не использовали данную технологию, а ING пока не делал публичных заявлений о своих планах.

В 2015 году ЕС пересмотрела первую директиву 2007 года о платежных сервисах (набор правил, регулирующий online-платежи в ЕС) и выпустила обновленную версию PSD 2, требующую реализацию надежных механизмов аутентификации клиентов.

За последние несколько лет возросло количество атак с использованием метода «SIM swapping», благодаря которому мошенник может обмануть оператора связи и перенести номер телефон пользователя на другую SIM-карту, получив доступ к online-счетам пользователя в банках и на криптовалютных биржах.

Специалисты кибербезопасности уже несколько лет предостерегают от использования одноразовых SMS-паролей, но не из-за атак методом «SIM swapping». Проблема заключается в присущих и не поддающихся исправлению недостатках протокола ОКС-7 (SS7), которая используется для настройки большинства телефонных станций по всему миру. Уязвимости в этом протоколе позволяют злоумышленникам незаметно похитить номер телефона пользователя, даже без ведома провайдера, позволяя отслеживать его владельца, а также авторизовать online-платежи или запросы на вход в систему.

Эксперты по кибербезопасности рекомендуют использовать приложения-аутентификаторы или аппаратные токены вместо аутентификации на основе SMS.

97% крупных банков уязвимы к кибератакам

10 июля 2019 года стало известно, что только три банка из ста получили высшую оценку в том, что касается обеспечения безопасности своих сайтов и реализации SSL-шифрования.

Подавляющее большинство крупных финансовых организаций из рейтинга S&P Global уязвимы к хакерским атакам. К такому выводу пришли специалисты швейцарской компании ImmuniWeb по итогам масштабного исследования , в ходе которого были изучены 100 сайтов, принадлежащих крупным банкам, 2 336 поддоменов, 102 приложения интернет-банкинга, 55 мобильных банковских приложений и 298 API мобильных банковских приложений.

Специалисты проводили анализ по ряду критериев, включая меры по обеспечению безопасности, соответствие требованиям Общего регламента по защите данных ЕС (GDPR), соответствие стандартам (PCI DSS), использование устаревшего и уязвимого программного обеспечения, реализацию шифрования SSL/TLS и пр.

На сайтах 31% банков были обнаружены уязвимости или некорректная конфигурация, а 5% сайтов содержали эксплуатируемые известные уязвимости, а на 13% ресурсов отсутствовало шифрование или имелись эксплуатируемые уязвимости. При этом только на 4% сайтов не было обнаружено никаких проблем.

По данным специалистов, 40% приложений для интернет-банкинга подвержены уязвимостям или содержат проблемы, связанные с некорректной конфигурацией, 7% содержали известные уязвимости, а в 2% приложений отсутствовало шифрование. Безопасными оказались только 15% из общего числа изученных приложений.

Что касается соответствия стандартам PCI DSS, хорошие результаты показали 62% сайтов и 58% приложений интернет-банкинга, а 38% сайтов и 49% приложений - не прошли проверку. В категории соответствия нормам GDPR ситуация значительно хуже – требования регламента соблюдают только 39% сайтов и 17% приложений интернет-банкинга.

Исследование также показало, что 29% сайтов содержат по меньшей мере одну известную и неисправленную уязвимость средней или высокой степени опасности. В числе наиболее распространенных уязвимостей оказались XSS-уязвимости, а также проблемы, связанные с риском раскрытия данных и некорректными настройками.

55% изученных мобильных банковских приложений содержали уязвимости, раскрывающие конфиденциальные банковские данные, 100% решений – как минимум одну незначительную уязвимость, 92% - по меньшей мере одну уязвимость средней опасности, а 20% приложений были подвержены хотя бы одной серьезной уязвимости[10].

Сбербанк, ВТБ, «ЮниКредит» и «Открытие» запретили сотрудникам фотографировать экраны ПК

24 июня 2019 года стало известно о том, что крупные банки в России запретили своим сотрудникам фотографировать экраны компьютеров с помощью личных мобильных телефонов.

Как пишет РБК, ограничения введены в Сбербанке, «ЮниКредите», банке «Открытие» и ВТБ. Так, банк «Открытие» запрещает сотрудникам делать фото- и видеосъемку экранов мониторов, служебных документов, презентаций и клиентских данных, а также вести аудиозапись служебных переговоров. В ВТБ фотографирование на объектах банка разрешается только по согласованию с ответственными подразделениями.

К

Запрет объясняют тем, что сотрудники нередко фотографируют личные данные клиентов, чтобы затем продать их на чёрном рынке, где на них есть спрос со стороны мошенников. По информации издания, цена на персональные данные может варьироваться от 800 до 8000 рублей.

Заместитель главы лаборатории компьютерной криминалистики Group-IB Сергей Никитин пояснил, что мошенники размещают объявление в даркнете, чтобы выяснить баланс карты жертвы, паспортные данные и другое.

По словам эксперта, распространенность фотографирования экранов можно объяснить тем, что компании стали вводить системы защиты от внутренних угроз и утечек, поэтому сотрудники просто фотографируют экран. Факт фотографирования доказать очень тяжело.

Заместитель председателя Сбербанка Станислав Кузнецов рассказал, что системы банка, как правило, не позволяют передавать служебные данные в третьи руки, в противном случае дело передают полиции.

Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев говорит, что банковские данные можно использовать в мошеннических схемах с применением методов социальной инженерии. За нарушение запрета предусмотрены жесткие санкции вплоть до увольнения, сообщил он.[11]

Житель Красноярского края похищал средства с чужих счетов с помощью вредоносного ПО

В мае 2019 года стало известно о том, что сотрудники отдела «К» МВД по Чувашской Республике установили личность киберпреступника, похищавшего деньги с чужих банковских счетов с помощью вредоносной программы. Подозреваемым оказался 31-летний житель Красноярского края, ранее уже привлекавшийся к уголовной ответственности.

Как сообщает[12] в мае 2019 года пресс-служба МВД по Чувашской Республике, весной прошлого года в отделы полиции городов Чебоксары, Новочебоксарск и Канаш одновременно поступили три заявления от граждан о краже средств. Неизвестный перевел деньги с их счетов, но никаких SMS-сообщений о проведенных транзакциях жертвы не получали и узнали о случившемся, только войдя в мобильное приложение. У двоих граждан злоумышленник похитил по 10 тыс. руб., а жительница Канаша лишилась 47 тыс. руб.

Специалисты отдела «К» изучили мобильные устройства потерпевших и обнаружили на них вредоносное ПО, блокирующее сообщения от банка. Вредонос попал на телефоны вместе с популярными мессенджерами, скачанными с неофициальных сайтов.

В отношении жителя Красноярского края возбуждено уголовное дело по ч. 2 ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». По данным МВД, ранее он уже привлекался к уголовной ответственности по ст. 138.1 УК РФ «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации».

В настоящее время подозреваемый находится под подпиской о невыезде. Причиненный ущерб потерпевшим был полностью возмещен.

Positive Technologies: Угрозе несанкционированного доступа к банковской тайне подвержены все онлайн-банки

5 апреля 2019 года компания Positive Technologies сообщила, что её эксперты оценили уровень защищенности онлайн-банков в 2018 году и выяснили, что 54% из обследованных систем позволяют злоумышленникам похитить денежные средства, а угрозе несанкционированного доступа к личным данным и банковской тайне подвержены все онлайн-банки. По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.

Среднее число уязвимостей в одном онлайн-банке

Угроза несанкционированного доступа к информации клиентов и банковской тайне, например к выпискам по счету или платежным поручениям других пользователей, оказалась актуальной для каждого исследованного онлайн-банка, а в отдельных случаях уязвимости позволяли развивать атаку на ресурсы корпоративной сети банка. Исследования Positive Technologies показывают, что данные входят в ТОП наиболее популярных для продажи в дарквебе продуктов. При этом непосредственно на долю учетных данных и данных банковских карт приходится более 80% в общем объеме продающихся данных. Средняя стоимость данных одного пользователя онлайн-банка составляет 22 долл. США.

Возможные последствия атак на онлайн-банки (доля приложений)

В ходе анализа в 77% обследованных онлайн-банков были обнаружены недостатки реализации механизмов двухфакторной аутентификации. По словам аналитика Positive Technologies Яны Авезовой, в некоторых онлайн-банках одноразовые пароли для критически важных действий (например, для аутентификации) не применяются или имеют слишком большой срок действия. Эксперты связывают это с тем, что банки стремятся найти баланс между безопасностью и удобством использования.

Уровень защищенности онлайн-банков (доля систем)
«
Отказ даже от части мер безопасности в пользу удобства повышает риск совершения мошеннических операций. Если нет необходимости подтверждать операцию с помощью одноразового пароля, злоумышленнику больше не требуется доступ к мобильному телефону жертвы, а слишком большой срок действия пароля повышает шанс его успешного подбора, поскольку при отсутствии ограничений на подбор одноразовый пароль из четырех символов можно подобрать за считаные минуты, — отметил руководитель группы исследования безопасности банковских систем Positive Technologies Ярослав Бабин.

»

Сравнительный анализ показал, что изученные готовые решения, предлагаемые вендорами, содержат в три раза меньше уязвимостей, чем системы, разработанные банками самостоятельно. А вот количество уязвимостей в продуктивных и тестовых системах сравнялось: согласно статистике, в 2018 году оба эти типа систем в большинстве случаев содержат как минимум одну критически опасную уязвимость. Эксперты связывают это с тем, что разработчики, единожды протестировав систему на безопасность, склонны откладывать повторный анализ защищенности после внесения изменений в программный код, что неминуемо приводит к накоплению уязвимостей, и со временем их число становится сопоставимо с тем, которое было обнаружено при первичной проверке.

Главной позитивной тенденцией в безопасности финансовых онлайн-приложений в 2018 году стало сокращение доли уязвимостей высокого уровня риска в общем числе всех выявленных недостатков. По данным специалистов Positive Technologies, доля критически опасных уязвимостей снизилась вдвое по сравнению с 2017 годом. Однако в целом уровень защищенности онлайн-банков остается низким.

Доли уязвимостей различного уровня риска

2018

75% банков уязвимы для атак методами социальной инженерии

5 июля 2019 года компания Positive Technologies представила сводные данные по основным типам компьютерных атак в кредитно-финансовой сфере за 2018 год. Документ подготовлен специалистами ФинЦЕРТ Банка России совместно с ведущими российскими компаниями в области расследования инцидентов информационной безопасности.

Оценивая защищенность отрасли, эксперты Positive Technologies отметили, что три четверти банков уязвимы для атак методами социальной инженерии. В 75% банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25% — вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок.

Далека от совершенства и безопасность внутренней сети банков. Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление ПО (67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение доступ к управлению банкоматами из внутренней сети удалось получить в 25% банков.

Низким остается уровень защищенности мобильных приложений: уязвимости высокого уровня риска обнаружены в 38% приложений для iOS и в 43% приложений для платформ под управлением Android. В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей.

Эксперты Positive Technologies подчеркивают оперативность APT-группировок, которые быстро применяют появившиеся возможности в своей деятельности. Так, группа Cobalt провела вредоносную рассылку через 34 часа с момента публикации информации об уязвимости нулевого дня CVE-2018-15982. Всего эта группировка за 2018 год выполнила 61 рассылку по кредитно-финансовым организациям в России и странах СНГ.

Другая APT-группа — RTM, на счету которой 59 рассылок в 2018 году, — использовала в качестве одного из центров управления домены в защищенной от цензуры децентрализованной зоне .bit. Однако особенности архитектуры блокчейна сыграли против злоумышленников. Специалисты PT Expert Security Center разработали алгоритм отслеживания регистрации доменов группировки RTM (или смены их IP-адресов), что позволяет уведомлять банки о появившихся управляющих серверах через несколько минут после начала их использования злоумышленниками (а иногда и до вредоносной рассылки).

Несмотря на общий рост числа атак в 2018 году, финансовый ущерб значительно снизился по сравнению с предыдущим годом. Этому во многом способствует информационный обмен внутри отрасли, в частности запуск автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ. Согласно данным ФинЦЕРТ, ущерб российских организаций кредитно-финансовой сферы от атак группы Cobalt в 2018 году составил не менее 44 млн рублей, а от атак группы Silence — не менее 14,4 млн рублей. Всего за год ФинЦЕРТ получил сведения о 590 атаках на кредитно-финансовые организации, в том числе о 177 целевых атаках.

«
Несмотря на то, что система информационного обмена ФинЦЕРТ позволила снизить суммы потерь банков, опасность целевых атак по-прежнему высока. APT-группировки постоянно совершенствуют техники атак, улучшают качество рассылок, следят за публикацией уязвимостей, приобретают уязвимости нулевого дня и вводят их в свой арсенал за считаные часы. Кредитно-финансовым организациям нельзя больше ставить во главу угла традиционное возведение защитных барьеров. Ситуация изменилась: преступники научились обходить антивирусы, песочницы, системы IDS. Банкам следует исходить из того, что гипотетический злоумышленник уже находится внутри их периметра; главная задача — максимально сократить время его присутствия в ИТ-инфраструктуре и лишить его возможности действовать,
отметил Борис Симис
»

Qrator Labs: Более 55% банков отметили увеличение своего ИБ-бюджета с 2016 года

5 марта 2019 года компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила результаты исследования информационной безопасности в финансовом секторе в 2018 году. Опрос был организован среди банков и платежных систем, работающих в России. В выборку включены банки из рейтинга ТОП 200 по размеру активов.

В Qrator Labs отметили, что количество кибератак в банковской сфере продолжает расти как глобально, так и в России, при этом сами атаки становятся технически все более сложными. Крупнейшие игроки отрасли констатируют рост количества попыток инцидентов в 1,5-2 раза относительно показателей за аналогичный период 2017 года. Осознание масштаба проблемы и рисков стимулирует увеличение инвестиций большинства банков в системы безопасности.

55,3% респондентов, участвующих в исследовании на протяжении двух лет, отметили увеличение своего ИБ-бюджета с 2016 года. Также 35,3% респондентов увеличивали свой бюджет в 2017 году, и 10,6% респондентов адаптировали свой ИБ-бюджет к растущим угрозам непрерывно на протяжении двух лет (2016-2018).

Более половины опрошенных отмечают в числе наиболее существенных последствий от ИБ-инцидентов финансовые издержки, еще около половины – репутационные. Повышение риска отзыва лицензии фиксируют треть респондентов (годом ранее - около четверти).

Обращает на себя внимание реакция финансовых организаций на европейское регулирование о защите данных. Около четверти опрошенных банков отмечают, что на 2018 год уже привели свои системы в соответствие с требованиями GDPR (General Data Protection Regulation), и еще около трети планируют реализовать эту задачу в ближайший год.

«
«Учитывая, что требование GDPR предъявляется не российским законодательством, то есть не подразумевает введение санкций и отзыв лицензии ЦБ, тот факт, что уже четверть банковских систем соответствует нормам европейского регулирования, говорит о высокой приоритизации банками работы с клиентами с европейскими паспортами. Самое главное – мы видим, что банки продолжают всерьез относиться к законодательно предписанной безопасности в любом ее виде».
»

Стимулирует к замене ранее внедренных средств ИБ их недостаточный на фоне растущих угроз уровень защиты, что подтверждают пентесты либо уже зафиксированные инциденты (62% опрошенных, 53% - годом ранее). 31% видят такую необходимость в ситуации перехода на другие инфраструктуры (облака и пр.), где используемые решения перестают быть эффективными (более четверти – годом ранее).

При подходе к выбору решения WAF (web application firewall) 68% респондентов ориентируются на решение реально возникающих технологических задач: от защиты от атак «нулевого дня» до контроля безопасности часто обновляемого кода. В то же время для трети респондентов ключевой фактор — формальное соответствие требованиям стандарта PCI DSS.

Более половины респондентов из финансового сектора отмечают, что за 2018 год уровень угроз DDoS вырос (аналогичный результат фиксировался и годом ранее). По оценке еще около четверти опрошенных, количество атак оставалось за тот же период неизменным (более трети – годом ранее).

Более половины респондентов также указывают, что сталкивались с DDoS-атаками за последний год (в прошлом году таковых было 26%). Помимо DDoS, наиболее часто опрошенные компании из финансового сектора сталкиваются по-прежнему с фишингом (46%). Более трети утверждают, что избегали инцидентов ИБ за последний год.

«
«Среди причин, которые могли спровоцировать подобный рост, можно назвать резкое падение курсов всех криптовалют. DDoS-атаки остаются одним из простейших методов монетизации вредоносного ПО, будь то зараженные серверы или ботнеты, основанные на персональных компьютерах и телефонах. В 2017 году у злоумышленников была возможность с определенной выгодой для себя использовать ботнеты и взломанные серверы для майнинга криптовалют. Как известно, основные затраты от майнинга – это электроэнергия, и если доступ к компьютеру получен нелегитимным образом, то за энергию злоумышленнику платить не приходится, и криптовалюту он получает «из воздуха» вне зависимости от ее объемов. В 2018 году не только в связи с падением обменных курсов, но и категорической нестабильностью курса криптовалют для злоумышленников определенную привлекательность вновь обрели «старые добрые» способы зарабатывания на ботнетах: проведение атак с целью вымогательства».

Артем Гавриченков, технический директор Qrator Labs
»

Большинство респондентов (65%) считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети).

Как отметили в Qrator Labs, рост количества банков, привлекающих внешние решения для защиты от атак, также во многом связан с повышенным уровнем угроз за 2018 год и ростом числа высокоскоростных DDoS-атак с использованием техники амплификации на основе memcache, LDAP-амплификации, атак с использованием протокола CoAP (Constrained Application Protocol) и пр.

Group-IB: более 70% банков не готовы противостоять кибератакам

19 февраля 2019 года Group-IB, международная компания, специализирующейся на предотвращении кибератак, проанализировала высокотехнологичные преступления 2018 года, к реагированию на которые привлекались ее эксперты-киберкриминалисты. По данным исследования, основная масса хакерских атак традиционно пришлась на финансовый сектор, при этом 74% банков оказались не готовы к кибератакам, у 29% были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом. Среди опасных тенденций 2018 года — трансграничные атаки, запускающие «цепную реакцию», что приводит ко множественным заражениям финансовых организаций. В 2018 году команда реагирования Group-IB фиксировала использование данного вектора как в России, так и в Восточной Европе.

Общее количество реагирований (Incident Response) Лаборатории компьютерной криминалистики Group-IB выросло более чем в 2 раза относительно 2017 года. Основные угрозы, с которыми сталкивались пострадавшие компании, возглавляют целевые атаки, конкурентный шпионаж, атаки с помощью вирусов-шифровальщиков, криптомайнинг. Главный вывод экспертов-криминалистов Group-IB – подавляющее большинство российских компаний, ставших жертвами хакерских атак в 2018 году, не имели плана реагирования на киберинцидент, не были готовы в сжатые сроки мобилизовать работу профильных подразделений и не способны организационно и технически противостоять действиям атакующих. Эксперты Group-IB обращают внимание на высокую вероятность повторных инцидентов в таких компаниях.

Группа риска: банки не готовы отразить кибератаку

По данным исследования Group-IB, на банки пришлось порядка 70% хакерской активности в 2018 году. Схемы для обналичивания денежных средств хакерами остались прежними: через заранее открытые «под обнал» банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и SIM-карты. При этом скорость обналичивания в России выросла в несколько раз: если 3 года назад вывод суммы в 200 млн руб., в среднем, занимал около 25-30 часов, то в 2018-м году компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России.

Анализируя данные, полученные в рамках реагирований на киберинциденты, эксперты пришли к выводу, что 74% атакованных в 2018 году банков не были готовы к хакерским атакам: более 60% не способны централизованно управлять свой сетью, особенно, в территориально распределенной инфраструктуре, около 80% не имеют достаточной глубины журналирования событий протяженностью более месяца, более 65% тратили на согласование работ между подразделениями более 4 часов. При этом среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента составляло 12 часов.

Цепная реакция

Исследование Group-IB выявляет не только несогласованность в работе внутренних подразделений и слабую проработку организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, но и недостаточную техническую подготовку персонала банков. По данным компании, профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Столько же не имеют четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения. Высокие риски несет неготовность технических специалистов к оперативной реакции на инцидент: более 60% пострадавших банков не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.

«
Банк, чья инфраструктура оказалась взломанной, может не просто потерять денежные средства, но и стать угрозой для других игроков финансового рынка. Атакуя цель, финансово мотивированная хакерская группа стремится извлечь максимальную выгоду: получая контроль над системами банка, она заинтересована не только в выводе денег из него, но и в заражении максимального количества жертв. Для этой цели запускается «принцип домино» — вредоносная рассылка из скомпрометированной инфраструктуры идет по спискам компаний-партнеров банка. Такой вектор опасен, прежде всего тем, что письма отправляются из реального банка, то есть отправитель не подделан, что повышает вероятность их открытия в банке-партнере. Таким образом запускается цепная реакция, которая может привести ко множественным заражениям финансовых организаций. В 2018 году мы зафиксировали использование данного вектора как в России, так и в Восточной Европе.
Валерий Баулин, глава Лаборатории компьютерной криминалистики компании Group-IB
»

«Двойное дно» кибератаки

По данным Group-IB, не менее 17% компаний, в которых проводилось реагирование, подверглись повторной эксплуатации ранее не устраненных уязвимостей в течение года после последнего заражения. В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций по устранению последствий киберинцидента, а также халатности со стороны персонала банков. Кроме того, в течение 2018 года у 29% организаций финансового сектора экспертами Group-IB были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала. В 52% случаев обнаружены следы совершения атак в прошлом.

В 2018-м году командой реагирования Group-IB зафиксированы случаи, когда киберинцидент приводил к созданию резко негативного фона вокруг банка, что провоцировало информационную атаку, репутационные потери, а в отдельных случаях – уход с рынка.

«
Вокруг банка намеренно или уже по факту создается негативный фон: оценки потенциального ущерба, недопустимо низкий уровень защиты, вероятный отзыв лицензии. Это приводит к оттоку клиентов и партнеров, банк сталкивается с недостаточной капитализацией. Использование кибератаки, как инструмента нанесения урона репутации и вытеснения конкурента с рынка, еще один опасный вектор, который потенциально может получить дальнейшее развитие, так как уровень кибербезопасности небольших банков по-прежнему остается крайне низким.
Валерий Баулин, глава Лаборатории компьютерной криминалистики компании Group-IB
»

Ситуация на рынке информационной безопасности банков в 2018 году

Автоматизация бизнес-процессов в банковской сфере вышла за рамки применения стандартных, привычных для банков решений, как например АБС или ДБО – систем для автоматизации банковских операций или дистанционного обслуживания клиентов. Информационным технологиям доверяют все больше задач по оптимизации нетипичных процессов с применением новых математических моделей и алгоритмов – это и автоматизация управления различными видами рисков, претензионно-исковой работы, решения для борьбы с мошенничествами и т.п.

При реализации стратегии цифровой трансформации высокотехнологичный банк становится гораздо более уязвимым к киберугрозам, считает Дмитрий Лившиц, генеральный директор «Диджитал Дизайн». Поэтому целью автоматизации становится не только сокращение издержек на операционную деятельность за счет ускорения внутренних процессов или предоставление новых сервисов клиентам.

«
На первое место выходит информационная безопасность, и, полагаю, в ближайшие два года это направление будет удерживать первенство среди трендов банковской информатизации, - отмечает он.
»

Максим Болышев, заместитель директора департамента банковского ПО RS-Bank компании R-Style Softlab, говорит, что в настоящее время банковский сектор находится под пристальным вниманием ЦБ в связи с участившимися кибератаками, объектами которых становятся не только клиенты банков, но и сами банки. В связи с этим Банк России разрабатывает требования к кибербезопасности (например, 382-П или 552-П) и настаивает на их выполнении. ЦБ организует участие информационного обмена банков с ФинЦЕРТ для коллективной борьбы с киберугрозами.

Владимир Волков, старший вице-президент компании «Техносерв», считает, что финансовый сектор является законодателем моды в информационной безопасности, ориентиром для всего остального рынка. Банки - это самый лакомый кусок для киберпреступников различной степени подготовки и возможность быстро монетизировать свои навыки и умения.

«
В отношении банковского сектора применяется большое количество регуляторных требований в области информационной безопасности, от традиционных международных PCI DSS и SOX, до выпущенных за последний год новых обязательных требований со стороны ЦБ РФ и Swift в области информационной безопасности. Напомню, что сперва начал свою работу ФинЦЕРТ и только теперь все остальные отрасли начинают подключаться к государственной системе противодействия компьютерным атакам ГОССОПКА. Сбербанк строит, пожалуй, крупнейший корпоративный Security Operations Center (SOC) в мире, - борьба с киберпреступностью ведется ежедневно, так как злоумышленники постоянно находят новые способы атак на банки, - рассказывает Владимир Волков.
»

Еще одним ключевым сегментом для банков является обеспечение так называемой "реальной" безопасности.

«
Понимание банками проблем в защите своих информационных систем, наличие логических дыр – это сохранение не только средств банка, но и его репутации. «Техносерв» может предложить банкам защиту от киберугроз, включая такие технологии как "песочницы", защиту от целевых атак, построение SOC с особым упором на проработку методологии, процессов (например, реагирования на инциденты, управления уязвимостями), - добавляет он.
»

В банках складывается интересная ситуация: с одной стороны, необходимо стремительно выводить на рынок новые онлайн-продукты и постоянно менять ИТ-инфраструктуру, чтобы не отстать от рынка; с другой – обеспечивать высокий уровень безопасности. Главный вызов для ИБ-служб в том, чтобы найти и удержать этот баланс.

«
Распространенное решение данной проблемы – формирование типовых сервисов ИБ, которыми удобно пользоваться ИТ и бизнесу, а также сильное вовлечение в вопросы ИБ этих блоков, - считает Вадим Шустов, заместитель генерального директора компании «Инфосистемы Джет».
»

По его словам, с точки зрения регулирования в области ИБ, в России давление на финсектор одно из самых сильных, но и сам регулятор, очевидно, наиболее продвинутый в этой области.

«
Его требования не пустая формальность – они действительно продиктованы печальными примерами взломанных банков. В результате требования ужесточаются каждый год и их выполнение, особенно для небольших финансово-кредитных организаций, становится все более и более неподъемной задачей, - полагает Шустов.
»

Анатолий Набока, директор по работе с корпоративными заказчиками компании «Системный софт», считает, что наибольший интерес с точки зрения безопасности сейчас представляют EDR-решения — системы обнаружения инцидентов на рабочих местах с возможностью оперативного реагирования на них. В этом сегменте на российском рынке появляются новые интересные игроки: например, сейчас на рынок выходят предиктивные ИБ-системы Carbon Black, объединяющие в себе функциональность EDR, антивируса, системы управляемого поиска и сортировки угроз, а также решения для безопасности на уровне дата-центра.

«
Банки заинтересованы в таких инструментах, так как в них применяется проактивный подход: EDR собирают и анализируют большие объемы данных и помогают предотвратить новые, ранее неиспользованные злоумышленниками виды атак. Для финансовой организации это означает уровень киберзащиты, предоставляющий очевидное конкурентное преимущество, - отмечает Анатолий Набока.
»

Россиянам дали крупные сроки за кражу денег из интернет-банков

В Москве закончилось рассмотрение дела о банде киберпреступников, которые взламывали личные кабинеты граждан в банках, после чего выводили оттуда различные суммы денег[13].

Всего речь идет о 30 эпизодах, которые подпадают под несколько статей уголовного кодекса: создание, использование и распространение вредоносных компьютерных программ, неправомерный доступ к компьютерной информации, мошенничество в сфере компьютерной информации. Группа состояла из двух лидеров и четырех их подельников, все они получили разные сроки.

«
«Братья Дмитрий и Евгений Попелыши приговорены к наказанию в виде восьми лет колонии со штрафом 900 тысяч рублей каждый, еще трое получили наказание от четырех с половиной до шести лет колонии со штрафами до 700 тысяч рублей. Отбывать наказание они будут в колонии общего режима. Еще один подсудимый был приговорен к трем годам условно, но амнистирован», - рассказала пресс-секретарь Савеловского суда Мария Михайлова.
»

Проблемы информационной безопасности банков

В российском банковском секторе отмечается рост уровня информационной безопасности. В связи c появлением большого числа киберугроз, организации финансовой сферы переходят от «бумажной» безопасности к реальному эшелонированному подходу, который основан на оценке рисков. Так за 2017 год количество ИБ-инцидентов в финансовой сфере выросло более чем в два раза по сравнению с предыдущим годом. Атаки происходят как на клиентов — физических и юридических лиц, так и на банки и платежные системы.

Низкий уровень культуры ИБ

Высокая доля успешных атак связана в первую очередь с низким уровнем культуры информационной безопасности как среди клиентов, так и среди сотрудников банков.

«
Пренебрежение основным правилам кибергигиены влечет за собой риски, например, социальной инженерии — инструмента кибермошенничества, который также может служить началом масштабной кибератаки, - поясняет Мария Воронова, руководитель направления консалтинга ГК InfoWatch.
»

Решению озвученной проблемы, по её мнению, способствует качественное регулирование вопросов информационной безопасности отрасли — с 1 января 2018 года вступил в силу новый ГОСТ по защите информации финансовых организаций. Стандарт предлагает комплексный подход к планированию, реализации, контролю и совершенствованию процесса защиты информации в финансовых организациях.

Андрей Гридин, руководитель отдела решений информационной безопасности компании «Форс – Центр разработки» (ГК Форс), считает, что необходимо информировать сотрудников о важности безопасности, проводить инструктаж по основам ИБ с приведением примеров из практики, вводить личную ответственность каждого сотрудника, и при необходимости привлекать административные ресурсы.

Аналогичного мнения придерживается и Сергей Шерстобитов, генеральный директор Angara Technologies Group. По его словам, потеря конфиденциальных данных, как правило, связана не с «дырами» в ИТ-системах или несовершенством технических средств защиты, а с человеческим фактором, поэтому особое внимание должно уделяться обучению персонала в области информационной безопасности и повышению осведомленности в ИБ.

Антон Головатый, директор по развитию бизнеса «Ланит-Интеграция», добавляет, что все больше наших данных находится у финансовых организаций. При этом, с ростом количества совместных платформ количество персонализированных данных от банков и их партнеров будет только расти, а информация будет ещё более детализированной. Поэтому вопрос о защите персонализированных данных в будущем будет еще актуальнее, уверен он.

Алексей Трефилов, директор ELMA, говорит об опасности, которая подстерегает клиентов.

«
Удобные банковские сервисы стали для всех привычными. Парадоксально, но удобство и доступность банковских услуг, делают нас более легкомысленными. Если все вокруг постоянно пользуются телефоном для оплаты услуг и получения информации о состоянии счета, то и нам это кажется абсолютно безопасным. Поэтому очень просто потерять бдительность и, например, случайно разрешить какой-нибудь игре в телефоне читать ваши СМС, в том числе и от банка, - поясняет он.
»

Фишинг и DDoS-атаки

По данным исследования Qrator Labs, наиболее часто компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Подробнее здесь.

Слабое взаимодействие специалистов ИБ и ИТ

Как правило, при построении новых или модернизации существующих систем специалисты по ИБ не участвуют в процессе проектирования, а только «согласовывают документацию», и защита информации ограничивается размещением оборудования в защищенном сегменте, обеспечением сетевого доступа и разграничением прав пользователей, а после ввода системы на нее «навешиваются» средства защиты информации. В результате начинаются проблемы с производительностью, рассказывает Андрей Гридин, руководитель отдела решений информационной безопасности компании «Форс – Центр разработки» (ГК Форс).

По его словам, для решения проблемы должны быть четко сформулированы требования к интеграции/взаимодействию с компонентами системы ИБ. Следует проводить регулярный инструктаж специалистов ИТ по применению/реализации этих требований. Также должно быть регламентировано обязательное включение специалиста по ИБ в проектную команду еще на этапе проектирования или модернизации системы.

Защита мобильных рабочих мест

По мнению экспертов, уже недостаточно обеспечить безопасность на уровне мобильного приложения. Когда личное устройство становится полноценным рабочим местом сотрудников, необходим более широкий, но не менее надёжный способ защиты данных.

Дмитрий Лившиц, генеральный директор «Диджитал Дизайн», рассказывает, что для устранения этой проблемы его компания разработала решение, которое позволяет произвольное корпоративное приложение заказчика погружать в защищённую среду, так называемый защищённый контейнер. В нем можно работать с любым приложением на персональном устройстве, не переживая, что информация утечет во вне.

«
Интеграция приложения в «контейнер» реализуется путём «обёртывания» – автоматической подмены используемых в приложении стандартных библиотек работы с файлами, локальной базой данных и сетью на их шифрованные аналоги, - поясняет он.
»

Безопасность мобильных и интернет-банков

Максим Никитин, вице-президент Maykor, генеральный директор БТЕ (BTE), отмечает, что в банковской сфере по-прежнему не теряют актуальности проблемы в области безопасности мобильных и интернет-банков в следствии недостаточного уровня шифрования данных и возможности запуска мобильного приложения в общественных интернет-сетях, где высока вероятность перехвата трафика.

«
Решение лежит на поверхности и заключается в разработке и внедрении улучшенных систем шифрования и тестировании приложений на возможность атак в общественном месте, - поясняет он.
»

Несертифицированные средства защиты информации

Банки столкнулись с тем, что для обработки огромных массивов данных, которые растут ежедневно, они не могут так же бесконечно наращивать ресурсы. Имеет смысл хотя бы часть данных переносить в облака, куда устремляются не только централизованные ресурсы, сосредоточенные в ЦОД, но и конечные рабочие станции.

Поэтому актуальность перехода в облака растет, но с выполнением стандартов Банка России и других нормативных документов в части выполнения требований по защите информации, отмечает Михаил Головачев, генеральный директор «Амтел-Сервис». При этом, проблема, по его словам, состоит в том, что многие современные средства ИБ не сертифицированы на соответствие требованиям по защите информации.

Большие финансы киберпреступности

Киберпреступность – огромный, хорошо организованный бизнес, который ежегодно оперирует миллиардами долларов по всему миру. Далеко не всегда от кибератак защищают антивирусные программы или технологии защиты данных, потому что технологии хакеров так же постоянно совершенствуются, как и инструменты безопасности.

«
Основная проблема в том, что финансирование киберпреступности на порядок выше финансирования компаний, которые борются с ней. Как следствие, продолжение наращивания возможностей у ИТ-преступников, и все возрастающая потребность в новых технологиях ИТ-безопасности. В целом, сотрудники информационной безопасности еще долгое время будут ценными кадрами для кредитных организаций, - отмечает Алексей Колесников, директор по продажам iSimpleLab.
»

Юрий Гольцер, технический директор департамента CRM компании Navicon, добавляет, что постоянно совершенствуются механизмы защиты информации клиентов, в том числе разрабатываются новейшие алгоритмы шифрования.

«
В 2017 году начались тестирования инструментов квантового шифрования: Российский квантовый центр (РКЦ) запустил первую в России линию связи с квантовой защитой между двумя офисами Сбербанка. Сейчас за экспериментами в области применения квантовых компьютеров для обеспечения безопасности данных пристально следят разработчики блокчейн-проектов. Кроме того, банки видят перспективы защиты от киберпреступности в создании универсальных механизмов совместной работы с правительствами и правоохранительными органами. По мнению участников рынка, чтобы сделать рынки, инструменты и системы киберпреступниками неэффективными, необходимо, прежде всего, налаживать коммуникацию между банковскими системами различных стран, - говорит представитель Navicon.
»

Он также напоминает, что в начале года американские банки и онлайн-кредитеры Citigroup, Kabbage, Depository Trust & Clearing Corporation, Hewlett Packard и швейцарская Zurich Insurance Group объявили о создании консорциума по кибербезопасности в сфере финтеха – управлять им будет Всемирный экономический форум.

«
Подобные инициативы мы видим по всему миру. Например, британские офисы Lloyds joins Barclays, Deutsche Bank, Santander UK и Standard Chartered объединились в Альянс по киберзащите (Cyber Defence Alliance). Тенденция к объединению против общей угрозы будет только расти, - уверен Юрий Гольцер.
»

Минюст обязал банки проводить пентесты и аудит кибербезопасности

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного оборудования. Документ подписало летом 2018 года Министерство юстиции Российской Федерации. Само собой, соответствие этим требованиям ляжет финансовым грузом не только на плечи банков, но также и на плечи их клиентов. Таким образом, поправки в положение ЦБ 382-П наконец приобрели завершенный вид и были зарегистрированы Минюстом. 26 июня, два дня назад, ЦБ направил банкам этот документ. Теперь кредитным организациям придется использовать программное обеспечение, сертифицированное ФСТЭК.

Специалисты считают, что в некоторых случаях банки не уделяют сертификации должного внимания, что приводит к последующему обнаружению уязвимостей в программах. Анализ защищенности могут себе позволить лишь те финансовые организации, в штате которых имеются сильные ИБ-специалисты. Пентесты теперь, согласно документу, будут проводиться ежегодно, а раз в два года кредитным организациям придется осуществлять внешний аудит кибербезопасности. Основная озабоченность в данной ситуации — рост расходов. Центробанк же считает, что расходы не будут чрезмерными.

Банки РФ получили возможность блокировать операции по снятию средств через системы ДБО

Госдума РФ 5 июня 2018 года одобрила в третьем чтении правительственный законопроект, направленный на противодействие хищению денежных средств при совершении операций с использованием систем дистанционного банковского обслуживания (ДБО).

Документ устанавливает порядок действий банков при выявлении признаков нелегитимных транзакций — то есть, переводов средств, совершаемых без ведома и согласия владельца счёта. За банком или оператором по переводу денежных средств закрепляется обязанность приостановить на срок не более двух рабочих дней исполнение распоряжения, а также заблокировать на такой же срок электронное средство платежа, если обнаружены признаки совершения перевода денежных средств без согласия клиента.

Эти признаки определяются Центральным банком РФ. Наряду с этим, банку предлагается предоставить право совершать аналогичные действия при выявлении дополнительных признаков совершения перевода денежных средств без согласия плательщика — их банки будут вправе устанавливать самостоятельно в соответствии с требованиями ЦБ.

После приостановки перевода денежных средств и блокировки электронного средства платежа банк будет обязан незамедлительно запросить у клиента подтверждение о возможности исполнения платежного поручения (возобновления использования электронного средства платежа). При получении подтверждения клиента банк обязан будет исполнить распоряжение (возобновить использование электронного средства платежа) незамедлительно, при неполучении — совершить аналогичные действия по истечении двух рабочих дней.

Кроме того, вводится особый порядок действий банка, нацеленных на возврат денежных средств законному владельцу в случае осуществления несанкционированного списания со счета клиента. Указанный порядок предназначен только для защиты юридических лиц: для физических лиц процедура возврата средств была закреплена более ранним законом.

Законопроект закрепляет полномочия ЦБ по формированию и ведению базы данных о случаях совершения перевода денежных средств без согласия клиента и определению порядка направления и получения операторами по переводу денежных средств, операторами платежных систем и операторами платежной инфраструктуры информации из указанной базы данных.

«
Банковская система во всём мире несёт колоссальные убытки из-за действий кибермошенников, крадущих средства со счетов физлиц и организаций, — отметил Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Злоумышленники постоянно совершенствуют свои инструменты, используемые для хищений, однако нелегитимные транзакции всегда имеют определённые индикаторы, по которым их можно выявить. Предлагаемый законопроект регламентирует процедуры, которые необходимо предпринимать, если происходит подозрительная транзакция. Вопрос пока только в том, насколько грамотно будут составлены списки признаков таких транзакций — на уровне ЦБ и отдельных банков.
»

Документ вступит в силу по истечении 90 дней после дня его официального опубликования; по-видимому, осенью 2018 года он уже будет действовать.[14]

ЕЦБ привлечет хакеров для проверки кибербезопасности финансового сектора

Европейский Центробанк (ЕЦБ) объявил в мае 2018 года о запуске программы проверки на кибербезопасность банковской системы. Как сообщает «Коммерсантъ» со ссылкой на заявление банка, тестировать системы на прочность будут штатные сотрудники, а также специально нанятые команды хакеров, которые попытаются обнаружить недочеты, моделируя реальные попытки взлома.

Соответствующий проект называется «Европейская программа по отражению угроз с использованием специальных экспертов, атакующих систему извне» (European Framework for Threat Intelligence-based Ethical Red Teaming — TIBER-EU). Программа носит рекомендательный характер — в ЕЦБ подчеркивают, что страны-члены ЕС могут сами решать, когда и как проводить проверки своих финансовых учреждений.

В ходе тестов предлагается использовать «полный спектр приемов, которые применяют реальные хакеры». В частности, ЕЦБ предлагает подвергнуть условным кибератакам критически важные системы финансовых учреждений.

По итогам проверок будут даны рекомендации по совершенствованию конкретной системы безопасности того или иного финансового учреждения, уточнили в ЕЦБ. При этом в пояснениях к программе TIBER-EU говорится, что «власти будут признавать прохождение тестов только в том случае, если в них будут участвовать не только внутренние специалисты, но и внешние стороны».

Positive Technologies: веб-приложения банков наиболее уязвимы

Специалисты Positive Technologies подготовили статистику по уязвимостям веб-приложений, которые были исследованы в рамках работ по автоматизированному анализу защищенности с применением PT Application Inspector в 2017 году.

По результатам автоматизированного анализа исходного кода было установлено, что все веб-приложения имеют уязвимости, причем всего лишь в 6% исследованных систем отсутствуют уязвимости высокой степени риска.

Наибольшему риску, как и следовало ожидать, подвержен финансовый сектор (его доля составляет 46% от общего количества исследованных веб-приложений). Во всех приложениях банков и других финансовых организаций были найдены уязвимости высокой степени риска.

Финансовые, а также государственные организации, отмечают эксперты Positive Technologies, наиболее заинтересованы в анализе исходного кода, так как их веб-ресурсы являются приоритетными целями для злоумышленников, что подтверждается регулярными аналитическими отчетами компании.

Автоматизированный анализ защищенности с применением PT AI показал, что все протестированные веб-приложения содержат уязвимости различной степени риска. При классификации уязвимостей по степени риска было установлено, что большая их часть (65%) относится к среднему уровню опасности, 27% — к высокому.

Самой распространенной уязвимостью, выявляемой при автоматизированном анализе исходного кода приложений, является «Межсайтовое выполнение сценариев», с помощью которой злоумышленник может проводить фишинговые атаки на клиентов веб-приложения или заражать их рабочие станции вредоносным программным обеспечением (встречается в 82% протестированных систем).

На основании анализа последствий от эксплуатации выявленных в веб-приложениях уязвимостей специалисты Positive Technologies составили рейтинг угроз безопасности. Самая распространенная угроза — это возможность проведения атак на пользователей веб-приложения (ей подвержены 87% банков и все без исключения государственные учреждения).

Как подчеркнули в Positive Technologies, большинство пользователей таких веб-ресурсов очень плохо осведомлены в вопросах информационной безопасности и легко могут стать жертвами злоумышленников. Кроме того, среди веб-ресурсов госучреждений распространены и другие критически опасные уязвимости. Например, при исследовании веб-приложения администрации одного из муниципальных образований была обнаружена уязвимость высокой степени риска «Внедрение SQL-кода», с помощью эксплуатации которой возможно получить чувствительную информацию из базы данных.

Уязвимости, проводящие к отказу в обслуживании, представляют наибольшую проблему для интернет-магазинов, так как сбой в работе веб-приложения для организации, занимающейся электронной торговлей, напрямую связан с финансовыми потерями. Кроме того, чем популярнее интернет-магазин, тем больше клиентов посещают его каждый день и тем вероятней, что злоумышленник попытается использовать уязвимости данного веб-ресурса для атак на его пользователей.

«
Веб-приложения являются одной из основных мишеней для злоумышленников, потому что большое число неисправленных уязвимостей и простота их эксплуатации помогают атакующим успешно достигать своих целей — от кражи чувствительной информации до доступа к внутренним ресурсам локальной вычислительной сети, — отметила Анастасия Гришина, аналитик Positive Technologies. — Важно понимать, что большинство уязвимостей можно выявить задолго до атаки, а анализ исходного кода веб-приложений позволяет обнаружить в несколько раз больше критически опасных уязвимостей, чем тестирование систем без исследования кода.
»

FinCERT: главные факты о финансовом мошенничестве в России

Как стало известно в феврале 2018 года, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере [[ЦБ