Банки открылись с новой стороны

За год объем хищений хакерами средств у банков снизился на 35%, но злоумышленники работают над повышением эффективности атак. Если годом ранее подавляющее большинство нападений осуществлялось на этапе передачи данных от банка в ЦБ, то сейчас хакеры все чаще получают доступ к счетам через взлом инфраструктуры банка и просто переписки его менеджеров.

Согласно данным отчета одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений — Group-IB, объем хищений хакерами средств у банков снижается. С сентября 2016 по сентябрь 2017 года хакерам удалось вывести из банков 1,63 млрд. руб., что на 35% меньше, чем годом ранее. Однако за год хакеры произвели серьезную работу над повышением эффективности и результативности атак. В 2016 году подавляющее большинство атак на банки осуществлялось по одному сценарию — с одной и той же точкой входа и хищением средств при проведении межбанковских операций. В этом году злоумышленники с помощью специальных программ ищут все возможные уязвимости банка, увеличивая число потенциальных входов в систему и возможностей вывода средств.

В 2016 году основным направлением хищений в банках были атаки с помощью подмены данных АРМ КБР (автоматизированное рабочее место клиента Банка России). При поступлении в банк клиентские платежи собираются в реестры в автоматизированной банковской системе (АБС, защищенный контур), откуда передаются в АРМ КБР, где шифруются и уходят в ЦБ. На этапе передачи данных АБС в АРМ КБР мошенники подменяли реестры фиктивными, которые шифровались и уходили по цепочке на карточные счета в другие банки и обналичивались. «Данный способ позволяет единовременно вывести крупные суммы денег, но длительный процесс их прохождения до банкоматов позволял задержать похищенные средства»,— отметил руководитель отдела расследований и сервиса киберразведки компании Group-IB Дмитрий Волков.

ЦБ принял ряд мер, направленных на борьбу с данной проблемой (см. “Ъ” от 30 января), в результате в 2017 году, по данным “Ъ”, была лишь одна подобная успешная атака с суммой хищения порядка 24 млн. руб.

Трендом последнего года являются хищения, когда злоумышленники сначала используют уязвимости в программном обеспечении банка (в основном в Microsoft Office), а также легальную программу Cobalt Strike, с помощью которой внедряются в инфраструктуру банка, а затем получают контроль над карточным процессингом и совершают хищение. Впрочем, способ вывода средств может быть иным. Характерным примером подобной атаки стало нападение на банк «Союз» летом этого года. Получив доступ к процессингу, злоумышленники «заменили» дебетовые карты на кредитные без лимита и сняли деньги через банкоматы стороннего банка. Попали в систему хакеры с помощью рассылки фишинговых писем, одно из которых открыл операционист банка. По словам собеседника “Ъ”, близкого к правоохранительным органам, у банка было похищено 400 млн. руб. По словам источников “Ъ”, всего в этом году было совершено около десяти успешных подобных атак на российские банки, а попытки атак фиксируются дважды в неделю. «На практике далеко не обо всех инцидентах банки сообщают, в отличие от западной практики публичного разглашения информации об инцидентах. Поскольку недостатки в системе защиты информации сами по себе могут вызвать претензии регулятора, а обращение в правоохранительные органы не всегда могут дать результат, который необходим банкам. И потому сложно оценить реальный объем хищений»,— отмечает руководитель экспертного центра безопасности Positive Technologies (PT ESC) Алексей Новиков. Данные атаки куда более сложные, чем атаки на АРМ КБР, выявлять и противостоять им значительно труднее, отмечает собеседник “Ъ”, близкий к правоохранительным органам.

Еще одним трендом последнего времени, по словам Дмитрия Волкова, являются атаки, нацеленные на саботаж работы банков. Такие атаки, как правило, не направлены на хищение средств. Целью внедрения в инфраструктуру банка является остановка работы его систем, при этом злоумышленники могут дополнительно распространять негативную информацию, например, сообщения о грядущем отзыве лицензий. Такие нападения нередко носят политический характер и осуществляются нередко из-за рубежа. Они могут оказывать влияние на национальную экономику, стабильность финансовой системы страны и курсы валют, указывает господин Волков. При этом такие атаки гораздо опаснее обычных хищений, они могут существенно навредить репутации даже крупнейших игроков и привести к краху средних и небольших банков, отмечают эксперты. Примером подобных атак можно назвать шифровальщики WannaCry и Petya.