2024/11/12 18:59:16

Информационная безопасность в банках

Мошенничество по текущим счетам не только подразумевает использование полного лимита овердрафта держателя счета, но и зачастую открывает двери для последующей мошеннической деятельности. Преступники могут использовать информацию, полученную в результате успешной кражи ваших персональных данных, для последующих махинаций с другими финансовыми продуктами, такими как потребительские кредиты или кредитные карты.

Содержание

Политика ЦБ в сфере защиты информации в банках

Основная статья: Политика ЦБ в сфере защиты информации в банковской системе

Потери банков от киберпреступности

Основная статья: Потери банков от киберпреступности

Утечки данных из банков России

Основная статья: Утечки данных из банков России

Направления атак

Телефонное мошенничество

Основная статья: Телефонное мошенничество

Мошенничество с банковскими картами

Основная статья: Мошенничество с банковскими картами и платежами

DDoS-атаки на банки

Основная статья: DDoS-атаки на банки в России

Взлом банкоматов

Фишинг

2024

Центробанк протестирует, насколько российские NGFW отвечают требованиям банков

В начале ноября Вадим Уваров, директор департамента ИБ Банка России, объявил, что его ведомство приступило к сравнительному тестированию российских межсетевых экранов нового поколения (NGFW). Результаты этой работы планируется озвучить публично, для того, чтобы финансовые компании определились с используемыми продуктами.

«
У нас есть банки, которые предоставили свою инфраструктуру для того, чтобы мы могли провести тестирование тех межсетевых экранов, которые есть на рынке, – заявил Вадим Уваров. – У нас определились четыре лидера. Мы определили методику испытаний, и в настоящее время их тестируем. Надеемся, что публичные результаты позволят участникам, в том числе и финансового рынка, определиться с теми решениями, которые нужно использовать в своих технологических стеках.
»

Тестирование NGFW – один из ключевых векторов развития ИБ в Центробанке

Как минимум два производителя NGFW уже приступили к тестированию своих продуктов в соответствии с принятой Центробанком методикой, уточнил TAdviser инженер одного из крупных банков.

«
Методика была подготовлена рабочей группой при ИЦК «Финансы», в которую входили ЦБ и заинтересованные банки, – пояснил для TAdviser Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности». – В ней проверяются функциональные характеристики: механизмы управления, защиты, миграции с иностранных решений, а также – пропускная способность устройства с рядом включенный функций.
»

Эксперт по NGFW, который просил не называет его имени, поделился с TAdviser следующей информацией. ЦБ запросил банки определиться с набором требований, которым должны соответствовать российские межсетевых экраны. Естественно, они прислали требования по необходимости реализации тех функций защиты и с теми возможностями, которые им уже обеспечивают иностранные решения. Однако российским производителям выполнить их все вместе будет достаточно сложно. Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser 7.3 т

Цель тестирования, по мнению эксперта, заключается в том, чтобы показать, что в России нет устройств с необходимым набором функционала, и нужно хотя бы для банковской сферы отложить вступление в силу требования указа №250 о прекращении эксплуатации иностранных СЗИ в субъектах КИИ, к которым крупные банки относятся. Однако результаты тестирования могут помочь российским разработчикам максимально быстро реализовать именно те функции, которых им не хватает для полноценной конкуренции с западными производителями.

ЦБ РФ утвердил требования к кибербезопасности филиалов иностранных банков. Им придется делать регулярный аудит

Центральный банк России в октябре 2024 года опубликовал проект, устанавливающий новые требования к кибербезопасности филиалов иностранных банков, осуществляющих деятельность на территории страны. Документ предусматривает обязательное проведение регулярного аудита систем безопасности и операционной надежности. Подробнее здесь

Число успешных атак на финансовый сектор в России сократилось на треть. Импортозамещение работает

По итогам первого полугодия 2024 года количество успешных кибератак на финансовый сектор России сократилось на треть по сравнению с аналогичным периодом 2023 года, составив 74 случая. Об этом свидетельствуют данные исследования компании Positive Technologies, опубликованные 4 июля 2024 года.

Как пишет «Коммерсантъ», эксперты компании связывают это снижение с повышением уровня информационной безопасности в финансовых организациях на фоне активного импортозамещения и увеличения инвестиций в кибербезопасность. В 2023 году бюджеты банков на обеспечение информационной безопасности выросли примерно на 30–60%, и эта тенденция сохранится в 2024 году.

Количество успешных кибератак на финансовый сектор России сократилось на треть

Несмотря на общее снижение числа успешных атак, доля инцидентов с использованием социальной инженерии и вредоносного программного обеспечения (ВПО) достигла максимума за последние два с половиной года — 64% и 57% соответственно. Эксперты Positive Technologies объясняют это тем, что злоумышленники переключаются на атаки, направленные на пользователей, поскольку финансовые организации активно повышают уровень защищенности своих систем и сервисов.

В то же время доля атак с эксплуатацией уязвимостей снизилась до 27%, а атаки на цепочки поставок составили лишь 4% от общего числа инцидентов. Специалисты связывают это сокращение с процессом импортозамещения в российском финансовом секторе.

«
Для большинства зарубежных хакеров это становится новым полем, где требуется сначала изучить и найти новые дыры и уязвимости, и только потом появится возможность их использования, — отметил вице-президент Ассоциации банков России Алексей Войлуков.
»

Среди финансовых организаций наиболее атакуемым сегментом остаются банки. Эксперты Positive Technologies объясняют это тем, что банки не только предоставляют прямой доступ к денежным средствам, но и хранят большие объемы персональных данных клиентов, которые могут быть использованы для мошеннических операций или проданы на черном рынке.[1]

Использование дипфейка для ограбления банка. В каких ситуациях это возможно, и как от этого защититься

В февраля 2024 года российские СМИ распространили информацию о случае якобы использования дипфейков для обхода аутентификации в банке «Тинькофф». В первоисточнике высказывалось предположение, что мошенники якобы с помощью дипфейка смогли вывести со счетов пользователя 200 тыс. руб. TAdviser обсудил с экспертами, насколько велик риск обхода банковской аутентификации и кражи средств с помощью дипфейков. Подробнее

Эльвира Набиуллина предлагает бороться с кредитным мошенничеством с помощью процедуры охлаждения

Председатель Центробанка России Эльвира Набиуллина в рамках форума «Кибербезопасность в финансах» в середине февраля подвела статистику по мошенничеству в финансовой сфере и предложила дополнительные методы для снижения ущерба как от мошеннических транзакций, так и от кредитного мошенничества. Подробнее

Злоумышленники атакуют российские банки миллионами SMS, пытаясь взломать личные кабинеты клиентов

К концу 2023 года в России резко возросла интенсивность SMS-атак в банковском секторе. Киберпреступники используют ранее утекшие в интернет комбинации логинов и паролей, пытаясь получить доступ в банковские аккаунты клиентов. Об этом в конце января 2024 года говорится в исследовании компании Servicepipe, которая специализируется на разработке решений в области информационной безопасности.

Как сообщает газета «Ведомости», ссылаясь на данные Servicepipe, в течение 2023-го количество SMS-атак на российские банки увеличилось на 20%. Злоумышленники забрасывают финансовые организации миллионами коротких сообщений. Так, зафиксированы случаи отправки более 600 тыс. SMS в сутки только одному банку. По оценкам аналитиков, ущерб от подобных атак может достигать 2 млн рублей. В результате, затраты организаций на SMS-рассылки только за полгода (к концу 2023-го) выросли в 1,5 раза.

Резко возросла интенсивность SMS-атак в банковском секторе

О росте интенсивности SMS-атак в финансовом секторе также говорят эксперты компании F.A.C.C.T. (бывшая Group IB). Отмечается, что такие вторжения могут привести к перегрузке и даже выходу из строя определенных банковских систем. Киберпреступники получают возможность не только проверить актуальность контактов из украденной базы данных, но и получить финансовую выгоду. С другой стороны, в подавляющем большинстве банков все аккаунты защищены двухфакторной аутентификацией, а поэтому даже при знании логина и пароля похитить средства клиентов у злоумышленников не получится.

В исследовании Servicepipe отмечается, что в ходе SMS-атак киберпреступники применяют так называемые боты-имитаторы, которые действуют максимально схожим образом с легитимными пользователями. В 2023 году не менее 50% такого вредоносного трафика исходит с территории России, а поэтому фильтрация по географическому признаку оказывается неэффективной.[2]

Злоумышленники стали устраивать «ковровые» атаки на российские банки

Хакеры в начале 2024 года стали использовать метод «ковровых атак» российских банков. «Мы фиксируем тренд на так называемые "ковровые атаки", когда злоумышленники одновременно атаковали все ресурсы кредитной организации (не перебором, а все и сразу)», - сообщили 19 января 2024 года в "РИА Новости" со ссылкой на слова руководителя направления по развитию продуктов защиты сетевой и ИТ-инфраструктуры от DDoS-атак компании Servicepipe Даниила Бобрышева.

По словам эксперта, злоумышленники ищут наиболее уязвимые интернет-сервисы кредитных организаций, например точки входа VPN или сервисов дистанционного обслуживания, и именно на них направлять основные объемы атак. Ранее хакеры просто «перебирали» все сервисы кредитной организации и направляли атаку на один из них.

На фоне постоянной работы российских компаний по совершенствованию контура информационной безопасности, мошенники постоянно ищут новые способы добиться желаемого и украсть данные граждан для последующего использования их в противоправных целях, отметил член комитета Госдумы по информационной политике, информационным технологиям и связи, депутат фракции «Единая Россия» Антон Немкин.

«
Количество атак по-прежнему крайне велико, трансформируются и методы, которые используют хакеры. Но, стоит отметить, что и наша страна не стоит на месте – например, уже весной 2024 года должна запуститься российская национальная система противодействия DDoS-атакам, в тестовом режиме она запустилась в конце 2023 года. Операторы, владельцы ресурсов и в целом российские компании подключаются к ней добровольно, никакой ответственности не предусмотрено. Тем не менее, они сами должны быть заинтересованы в такой работе на фоне постоянно растущего числа угроз, - отметил депутат.

»

2023

ЦБ РФ сообщил о смене тактики хакеров при атаках на банки. Схемы

В 2023 году киберпреступники сменили тактику при организации атак в финансовом секторе. Чтобы похитить деньги у клиентов банков, мошенники начали часто использовать персонифицированные сценарии обмана, которые придают максимальную правдоподобность их действиям. Об этом говорится в исследовании Банка России, результаты которого публикованы 23 мая 2024 года.

Основной тенденцией 2023 года стало увеличение количества атак с использованием эксплуатации уязвимостей в веб-сервисах и системах управления веб-сайтами, а также атак, направленных на разработчиков и интеграторов различных ИТ-решений, используемых в финансовой сфере. Ключевые векторы атак не претерпели значительных изменений: наиболее распространенными остаются DDoS-атаки, фишинг, массовые рассылки вредоносного ПО, а также атаки, совершенные методом перебора паролей с целью компрометации учетных записей работников организаций и клиентов.

Киберпреступники сменили тактику при организации атак в финансовом секторе

Одна из актуальных схем обмана — персонализированные атаки с использованием методов социальной инженерии. При их проведении злоумышленники используют сведения о жертве из открытых источников, в том числе социальных сетей, а также извлекают данные из различных скомпрометированных баз. Мошенники могут маскироваться под те или иные организации и органы власти с целью войти в доверие к человеку и затем убедить его перейти на поддельный сайт, скачать вредоносное ПО или предоставить персональную и критическую информацию, такую как код из SMS-сообщения.

В 2023 году повысилась интенсивность атак на третью сторону — поставщиков различных ИТ-решений, используемых на финансовом рынке. Еще одним трендом 2023-го стали атаки с использованием методов перебора паролей для доступа к почтовым сервисам, социальным сетям, маркетплейсам и личным кабинетам клиентов банков. Подобрав учетные данные для авторизации, злоумышленники получают возможность осуществлять те или иные действия, например, похищать конфиденциальные сведения, совершать какие-либо платные операции или красть средства.

В целом, в 2023 году в России зафиксированы более чем 100 тыс. успешных атак на клиентов финансовой сферы, которые осуществлялись с использованием методов социальной инженерии. Это более чем вдвое превышает показатель 2022 года.[3]

За год число кибератак на финансовый сектор выросло на четверть

C начала 2023 года число киберинцидентов в кредитно-финансовой отрасли увеличилось более чем на четверть и достигло 6,8 тысяч. При этом растет и сложность атак на банки. В то же время объем финансирования ИБ не соответствует уровню угроз. Темпы роста инвестиций в кибербезопасность существенно ниже, чем в ИТ – 5% и 12% за год соответственно. Это следует из отчета, подготовленного специалистами ГК «Солар», который компания предоставила 14 февраля 2024 года.

Больше трети атак в банковской сфере (36%) связано с эксплуатацией уязвимостей. На втором месте (28%) – несанкционированный доступ к системам и сервисам (включая компоненты автоматизированной банковской системы и дистанционного банковского обслуживания, внутренний документооборот и ключевые базы данных). Долю в 14% заняли сетевые атаки. В то же время на вредоносное ПО в этой сфере приходится только 4%, что ниже аналогичного показателя в других отраслях. Последнее указывает на высокий уровень базовой защиты финансовой ИТ-инфраструктуры, то есть хорошо настроенную антивирусную защиту и жесткое соблюдение политик ИБ сотрудниками.

Есть сценарии выявления инцидентов, свойственные именно банковской сфере. К ним относятся попытки взлома баз данных (СУБД) основных банковских приложений, а также попытки использования учетных записей сотрудников третьими лицами. Связано это с тем, что базы данных содержат много конфиденциальной информации, а сотрудники проводят критически значимые операции. Именно поэтому банки чаще других просят запустить такие сценарии в рамках мониторинга. Всего в год Solar JSOC запускает около 20 новых сценариев выявления киберинцидентов в финансовых организациях (в других отраслях этот показатель в среднем не превышает 10).

Самым популярным способом доставки хакерских утилит, включая средства разведки, ВПО и средств удаленного администрирования является фишинг: с начала 2023 года число фишинговых писем в адрес российских кредитно-финансовых организаций выросло в 1,5 раза. Чаще всего в своих рассылках злоумышленники имитировали акции или опросы от имени банка. А их главной целью стали не данные банковских карт, а доступ в личный кабинет клиента.

Сохраняется и внешняя цифровая угроза для банков в части эквайринга. Так в 2023 году эксперты центра Solar AURA обнаружили 5,4 тыс. вредоносных интернет-ресурсов, которые принимают электронную оплату от пользователей. При этом 96% из этих сайтов приходятся на незаконный игорный бизнес.

Также с банковской сферой связано около 40% объявлений в даркнете. В топе запросы на открытие счетов, продажа и покупка доступов в личный кабинет, банковских карт, обналичивание, пробив данных и вербовка сотрудников.

Количество киберударов по банковским веб-ресурсам (DDoS- и веб-атаки) постепенно сокращаются, что объясняется высокой защищенностью организаций (наличием решений класса WAF и Anti-DDoS) и неэффективностью массовых атак. Так, в 2023 году количество DDoS-атак в финансовой сфере уменьшилось почти в 9 раз. В то же время заметен рост числа сканирований веб-приложений, то есть поиска уязвимостей для совершения успешной атаки.

«
Финсектор на фоне других отраслей лучше справляется с постоянным ростом кибератак, уровень защиты от базовых угроз здесь выше. Но фокус злоумышленников высокой квалификации вновь сместился на финансовую отрасль, поэтому банкам необходимо обращать внимание на повышение уровня киберграмотности сотрудников, которые зачастую становятся точкой входа в ИТ-инфраструктуру организации. Также на фоне технологических ограничений SIEM-систем в части потока обрабатываемых данных важно увеличивать зону обзора своих центров мониторинга ИБ за счет специальных сенсоров (NTA, EDR и проч.). Кроме того, необходимо выстраивать процессы патч-менеджмента и управления уязвимостями, особенно для публичных сервисов компаний, через которые последние два года происходит порядка 70% всех взломов инфраструктур, — пояснил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC ГК «Солар» Алексей Павлов.
»

По оценке группы аналитики ГК «Солар», финансы, наряду с телекоммуникациями, ИТ, нефтегазовой отраслью, химией и нефтехимией, энергетикой и транспортом входят в список ключевых заказчиков ИБ-вендоров, образуя 67% рынка среди коммерческих компаний и 44% всего рынка ИБ. Непосредственно финансовая сфера занимает 13% в ИБ-рынка. В 2023 году затраты компаний финансовой отрасли на ПАК, лицензии, работы по внедрению, техподдержку и услуги составили 18 млрд рублей. Поскольку задолго до начала драматического роста киберугроз банки выстроили достаточно устойчивые системы безопасности, сейчас затраты идут в основном на обновление и внедрение принципиально новых решений.

Несмотря на то, что бюджеты финансовых организаций превышают только бюджеты федеральных органов исполнительной власти – 20 млрд рублей в 2023 году, отрасль испытывает проблему недофинансирования. За год бюджеты на ИБ выросли на 5%, в то время, как рост ИТ-бюджетов в финансах составил 12% (306 млрд – в 2022 г. и 343 млрд - в 2023 г.)

По оценке аналитиков ГК «Солар» к 2030 затраты финансовых компаний на ИБ могут составить 30 млрд рублей при среднегодовом темпе роста (CAGR) – 8%, что соответствует росту рынка ИБ в целом.

Финансовые компании в России увеличили ИБ-расходы на 7% до 18 млрд рублей

Финансовые компании в России за 2023 год увеличили расходы информационную безопасность на 7% (или на 1 млрд рублей) в сравнении с 2022-м - до 18 млрд рублей. Такие цифры в середине февраля 2024 года привели аналитики ГК «Солар», ссылаясь на данные Росстата о размере отраслевой выручки, затрат на ИТ и средней численности сотрудников.

Как пишут «Ведомости» со ссылкой на исследование группы, ИБ-расходы в финсекторе составляют около 5–6% от бюджета на все информационные технологии в отрасли. В финансовом секторе бюджет на ИТ за 2023 год вырос на 12% до 343 млрд рублей. То есть развитие информационной безопасности в финансовых компаниях не успевает за их темпом цифровизации, считают аналитики «Солара».

Финансовые компании в России за 2023 год увеличили расходы информационную безопасность на 7%

По сравнению с суммарной прибылью банков в 2022–2023 гг. в 1,7 трлн рублей, траты в 17–18 млрд рублей выглядят совершенно незначительными, говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. По прогнозам экспертов «Солара», к 2030 году ежегодные затраты финансовых компаний на ИБ могут составить 30 млрд рублей при среднегодовом темпе роста в 8%.

По данным ГК «Солар», в 2023 году число киберинцидентов в кредитно-финансовой отрасли увеличилось более чем на четверть и достигло 6,8 тысяч. При этом растет и сложность атак на банки. В то же время объем финансирования ИБ не соответствует уровню угроз. Темпы роста инвестиций в кибербезопасность существенно ниже, чем в ИТ — 5% и 12% за год соответственно.

Больше трети атак в банковской сфере (36%) в 2023 году было связано с эксплуатацией уязвимостей. На втором месте (28%) — несанкционированный доступ к системам и сервисам (включая компоненты автоматизированной банковской системы и дистанционного банковского обслуживания, внутренний документооборот и ключевые базы данных).[4]

Треть россиян сталкивались с мошенническими приложениями банков

Треть россиян сталкивались с мошенническими приложениями банков. Об этом 3 октября 2023 года сообщила ITFB Group (АйТиЭфБи Групп). По этой причине 42% хранит лишь небольшое количество денег на карте.

По результатам исследования ITFB Group, 76% россиян продолжают пользоваться приложениями банков, удаленных с AppStore и Google Play. При этом треть (33%) опрошенных отмечает, что они сталкивались с мошенническими приложениями, а 4% респондентов потеряли деньги.

После введения санкций против российских банков и удаления их приложений из маркетов смартфонов, увеличилось количество их мошеннических клонов, распространяющихся по разным каналам. Респонденты, столкнувшиеся с клонами банковских приложений, рассказали, что мошенники распространяют ссылки через мессенджеры, соцсети и электронную почту (44%), звонят по телефону и убеждают установить «обновленное» приложение банка (35%). На маркетах смартфонов фейковое ПО встречали 12% опрошенных, еще 9% переходили на фишинговый сайт.

«
Мошеннические клоны максимально похожи на официальные приложения. Например, приложение «В Банк» — фейк ВТБ, TBank App — «Тинькофф». Они используют официальный дизайн бренда, изображения карт. Распространять вредоносное ПО через маркеты смартфонов у мошенников получается не всегда, поэтому они широко используют социальную инженерию и убеждают пользователей установить приложение с помощью соцсетей, мессенджеров, телефонных обзвонов. Так распространяются приложения «Сбер 2.0» и «Поддержка Сбербанка». Этот софт не имеет никакого отношения к банку, за ним прячутся мошеннические программы удаленного доступа к устройству. Визуально клон полностью имитирует официальное приложение. Для того чтобы заметить несоответствие, нужна насмотренность, которой зачастую нет у неопытного пользователя. Поэтому нередко люди узнают о том, что скачали мошенническое ПО уже постфактум, когда деньги потеряны, — сказал Никита Бородкин, руководитель отдела iOS-разработки департамента мобильной разработки ITFB Group.
»

Россияне продолжают активно пользоваться приложениями банков, даже если они удалены из маркетов. Так, около 40% опрошенных используют софт, установленный до февраля 2022 года. Четверть респондентов сказали, что после введения санкций скачали и установили приложение по ссылке с официального сайта банка, 12% обратились за помощью к сотрудникам банка. У 9% опрошенных официальное приложение банка по-прежнему доступно в маркетах смартфонов, так как банк не под санкциями. Часть россиян (14%) совсем не пользуется банковским мобильным софтом.

«
При скачивании банковского приложения с AppStore или Google Play не всегда можно однозначно установить соответствие. И официальные, и мошеннические программы распространяются на маркетах под сторонними юрлицами или разработчиками. Для того чтобы обезопасить себя, лучше всего обратиться за помощью к менеджеру банка и опираться на официальные источники информации, где обычно указывается ссылка на выпущенное приложение, — поделился рекомендациями Никита Бородкин.
»

Многие россияне стараются не держать на карте крупную сумму (42%). Каждый пятый опрошенный (22%) хранит на карте все свои деньги, предпочитая устанавливать суточные, недельные или месячные лимиты на снятие наличных или переводы. В этом случае, даже если мошенник завладеет данными карты, он не сможет снять с карты больше суммы лимита.Полностью снимают все деньги 9% опрошенных.

Центробанк разрешил ИТ- и ИБ-руководителям без опыта работы в банковской сфере становиться зампредами правления банков

Рабочая группа Банка России по оптимизации регуляторной нагрузки на участников финансового рынка приняла решение о расширении допустимого опыта работы для кандидатов на должности заместителя единоличного исполнительного органа и члена коллегиального исполнительного органа кредитных организаций за счёт опыта руководства подразделениями, связанными с осуществлением деятельности в области ИТ либо ИБ общей продолжительностью не менее двух лет. Об этом говорится в письме за подписью первого зампреда Банка России Владимира Чистюхина, направленном в конце сентября 2023 года в Ассоциацию российских банков[5].

Сейчас, согласно статье 16 ФЗ от 02.12.1991 года № 395-1 «О банках и банковской деятельности» (ФЗ № 395-1) квалификационные требования, предъявляемые к кандидату на должность заместителя единоличного исполнительного органа банка, включают в себя требование по наличию у него опыта работы в банке либо в госкорпорациях на должностях, связанных с осуществлением банковских операций, не менее двух лет.

Инициатива Банка России распространяется и на наиболее значимые некредитные финансовые организации, к которым относятся страховые организации, негосударственные пенсионные фонды, управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, микрофинансовые организации.

Решение Банка России предусматривает внесение изменений в законодательные акты, в том числе в ФЗ «О банках и банковской деятельности». Это предполагается реализовать в рамках одного из находящихся в настоящий момент на рассмотрении в Госдуме законопроектов, сказано в письме регулятора.

В ЦБ РФ решили расширить допустимый опыт работы для кандидатов на должности заместителя единоличного исполнительного органа и члена коллегиального исполнительного органа кредитных организаций по просьбе Ассоциации российских банков (фото: РИА Новости / Наталья Селиверстова)

Расширить допустимый опыт работы для кандидатов на указанные должности Банк России решил после письма от Ассоциации российских банков[6]. В нём за подписью президента ассоциации Гарегина Тосуняна говорилось, что поступают предложения кредитных организаций по вопросу совершенствования квалификационных требований, предъявляемых к кандидатам на должность заместителя единоличного исполнительного органа банка, курирующего развитие финансово- технологических проектов.

В письме ассоциация указывает на текущие требования к квалификации, установленные ФЗ № 395-1. При этом сейчас банковский бизнес вынужден активно трансформироваться, переводя операции на цифровую форму. И для осуществления такой трансформации банки заинтересованы в привлечении специалистов (команд специалистов), имеющих опыт запуска и реализации сложных цифровых продуктов. Кредитные организации полагают, что участники таких команд будут проводниками в выстраивании устойчивых технологических процессов быстрого внесения изменений в банковские продукты и разработки новых цифровых продуктов.

Вышеизложенное особенно важно для небольших банков, поскольку скорость внедрения цифровых продуктов может стать для них ключевым конкурентным преимуществом, подчёркивалось в письме Ассоциации российских банков. Вместе с тем небольшие кредитные организации отмечают, что остро ощущают нехватку квалифицированных кадров, способных курировать подобные изменения.

«
Учитывая высокую мобильность персонала в сфере информационных технологий, банки проигрывают финтех-компаниям в привлечении квалифицированных кадров, в том числе из-за сложных процедур согласования кандидатов и наличия квалификационных требований к опыту работы в банковской сфере, - отмечала ассоциация в своём письме в Банк России.
»

В связи с этим кредитные организации предлагали регулятору рассмотреть вопрос об оперативном внесении изменений в статью 16 ФЗ № 395-1, направленных на установление в качестве квалификационного требования для кандидатов на должность заместителя единоличного исполнительного органа банка, курирующего информационно технологическое и финтех-направления, двухлетнего опыта на руководящих должностях в финтех организации.

ЦБ проверит готовность банков к киберугрозам без предупреждений

10 августа 2023 года стало известно о решении ЦБ РФ проверять готовность банков к киберугрозам без предупреждений. Раньше регулятор уведомлял кредитные организации об учениях заранее. Подробнее здесь.

Банки будут обязаны возместить убытки клиентам, ставшим жертвами мошенников

Владимир Путин утвердил закон[7], согласно которому банки, работающие на территории страны, обязаны проводить проверки всех переводов от физических лиц при подозрении в неправомерных действиях. Закон также предусматривает возможность приостановки подозрительных транзакций на срок до двух дней. Об этом стало известно 25 июля 2023 года. Подробнее здесь.

Обновленный троян Xenomorph автоматизирует кражу средств с банковского счёта

13 марта стало известно о том, что команда Imperva Red в конце 2022 года обнаружила в браузере Google Chrome уязвимость, которая отслеживается под идентификатором CVE-2022-3656. На момент, когда уязвимость была активна, она затрагивала свыше 2,5 миллиардов пользователей Chrome и позволяла злоумышленникам украсть конфиденциальные файлы, такие как криптокошельки и учётные данные облачного провайдера. Подробнее здесь.

Как ошибка подрядчика привела к утечке персданных пользователей Промтрансбанка, а банк и не заметил

Как обнаружил TAdviser в августе 2024 года, в судебных разбирательствах между Промтрансбанком и его бывшим подрядчиком, компанией «Экспресс лаб», приводятся причины и подробности утечки персональных данных пользователей с сайта банка. Сама утечка имела место в 2023 году. Тогда в одной из хакерских группировок обратили внимание на то, что Промтрансбанк сохраняет полученные из единой системы идентификации и аутентификации (ЕСИА) данные в файл «esia.log», который находится в открытом доступе. Записи в нём начинались с 3 ноября 2022 года и по состоянию на январь 2023-го обновлялись в режиме реального времени. Речь идёт о персданных тех, кто подавал заявки на получение кредита. Подробнее здесь.

Даркнет-маркет InTheBox «за копейки» продаёт вредоносные пакеты для кражи данных банковских приложений и криптокошельков

Магазин InTheBox продвигает на российских киберпреступных форумах веб-инжекты для кражи учетных данных и конфиденциальной информации из банковских приложений, криптокошельков и приложений электронной коммерции. Об этом стало известно 2 февраля 2023 года. Подробнее здесь.

Группировка Blind Eagle атакует банки в Южной Америке

9 января 2023 года стало известно о том, что испаноязычная группировка Blind Eagle снова вернулась на киберпреступную арену и принесла с собой обновленный набор хакерских инструментов, а также одну из самых сложных цепочек заражения, направленных на колумбийские и эквадорские организации.

Жертвами фишинговых атак злоумышленников стали банки Эквадора, Испании и Панамы:

Известно, что хакеры прерывают атаку, если их жертва находится за пределами Колумбии. Аналогичным образом они действую и в ходе другой вредоносной кампании, где выдают себя за Налоговую службу Эквадора. Правда в последнем случае Blind Eagle не просто развертывает троян в системе жертвы, а проводит намного более хитрую и сложную атаку, используя VBS-скрипт, встроенный в HTML-файл. Через этот скрипт загружаются два сценария, написанные на Python:

  • ByAV2.py
  • mp.py

Как говорят специалисты, Blind Eagle не собирается останавливаться и продолжит свои атаки, чтобы заработать еще больше денег на неосторожных жертвах[8].

2022

Банки в России стали чаще проводить киберучения

Банки в России в 2022 году стали чаще проводить киберучения. Причем подготовка распространилась на служащих всех уровней – от сотрудников колл-центра до топ-менеджеров. Об этом стало известно 16 февраля 2023 года.

В этот день «Ведомости» выпустили материал со ссылкой на руководителей подразделений информационной безопасности крупных кредитных организаций. Как пояснили в Сбербанке, учения направлены не только на обучение сотрудников верным действиям при угрозах, но и на взаимодействие других отделов между собой. Одним из сценариев для отработки является массовое вирусное заражение (у банка есть имитатор вируса-шифровальщика, которым заражают рабочие станции реальных сотрудников). После этого банк начинает необходимые процедуры, при этом не прерывая процесс обслуживания клиентов.

Участники финрынка активно проводят киберучение и налаживают взаимодействие между разными инстанциями

Второй сценарий — учения с командой атакующих. Как правило, это хакеры, которые либо являются частью команды банка, либо их нанимают специально для таких учений. Задача нападающих — получить информацию различными нелегальными способами. При этом их план действий знает только руководство Сбербанка. Прорабатывается также вариант, когда компанию атакуют не только извне, но и когда атака проводится одним из сотрудников.

В ПСБ тоже есть своя команда нападающих, которая обучается не только обнаруживать и отражать целенаправленные атаки на инфраструктуру, но и выявлять случаи социальной инженерии, рассказал директор департамента информационной безопасности банка Дмитрий Миклухо. Также всех сотрудников банка обучают через рассылку им фишинговых писем, приглашений на нелегальные сайты.

В Газпромбанке больше были сконцентрированы на качественных расследованиях после атак. Сотрудников учили собирать все цифровые артефакты и доказательную базу. Это необходимо не только для того, чтобы выявить, откуда было совершено нападение и какие именно файлы и системы были повреждены, но и для предоставления необходимых данных правоохранительным органам и регуляторам.[9]

Android-троян Godfather атакует банки, криптовалютные биржи и электронные кошельки

21 декабря 2022 года Group-IB сообщила о том, что зафиксировала активность банковского Android-трояна Godfather, атакующего пользователей финансовых сервисов. Подробнее здесь.

Каждая вторая атака на финансовый сектор осуществляется с использованием шифровальщика

В Positive Technologies проанализировали динамику защищенности кредитно-финансового сектора. Каждая вторая атака на этот сектор осуществляется с использованием вредоносного ПОшифровальщика. Кроме этого, эксперты фиксируют двукратный рост продаж доступов к корпоративным сетям финансовых организаций в дарквебе на фоне снижения их стоимости в 4 раза. Об этом 10 ноября 2022 года сообщила компания Positive Technologies.

Как сообщается в исследовании, по итогам трех первых кварталов 2022 года общее число продаж доступов к корпоративным сетям банков в дарквебе выросло в два раза по сравнению с аналогичным периодом 2021 года. Стоимость варьируется от 250 до 30 000 долл. США в зависимости от организации и привилегий в сети, которые получает покупатель. По мнению экспертов, такой рост активности может быть обусловлен четырехкратным снижением минимальной цены: с 1000 до 250 долл. США.

Анализ Positive Technologies показал, что в атаках на финансовые организации злоумышленники чаще всего используют методы социальной инженерии (47% случаев) и реже прибегают к эксплуатации уязвимостей, чем при атаках на другие отрасли. По мнению экспертов, это связано с лучшей защищенностью сетевого периметра организаций финансовой отрасли. Преступникам дешевле и проще найти нелояльных сотрудников банков, которые готовы предоставить им доступ к системам или конфиденциальную информацию, чем взламывать периметр компании путем эксплуатации уязвимостей.

По итогам первых трех кварталов 2022 года общее количество атак на финансовые организации снизилось на 16% по сравнению с аналогичным периодом 2021 года. Доля кибератак на финансовую отрасль в последние годы в целом сокращалась и на ноябрь 2022 года составляет около 5% от числа всех кибернападений на организации. Эксперты объясняют это тем, что банки традиционно вкладываются в безопасность и следуют отраслевым стандартам ИБ.

«
Хотя на ноябрь 2022 года финансовый сектор лучше всего подготовлен к атакам по сравнению с остальными отраслями экономики, в целом уровень защищенности организаций от внутреннего и внешнего злоумышленника остается недостаточно высоким. Об этом говорят результаты тестирований на проникновение и верификации недопустимых событий, проведенные нашими экспертами с 2021 по 2022 год для финансовых учреждений . Так, в рамках внутреннего пентеста во всех случаях экспертам удалось установить полный контроль над инфраструктурой, а также продемонстрировать возможность получения доступа к критически важным системам. В случае успешного использования злоумышленником векторов атак, задействованных нашими специалистами, компании может грозить серьезный ущерб от кибератаки.

поведал Артем Сычев, советник генерального директора Positive Technologies
»

Сычев также отметил, что в России, как и во всем мире, финансовый сектор является одним из наиболее заинтересованных в обеспечении достаточного уровня защищенности: постоянно совершенствуется нормативно-правовая база, поддерживается непрерывный информационный обмен между ФинЦЕРТ и организациями (число которых составляет более 800), проводятся форумы по информационной безопасности. Positive Technologies рекомендует финансовым организациям уделить особое внимание не только регулярным тестированиям на проникновение, но и верификации тех событий, которые могут повлечь серьезный ущерб и недопустимы для их деятельности.

«
На ноябрь 2022 года bug bounty обновленного типа, ориентированная на проверку возможности реализации недопустимых событий, это единственный способ проверить работоспособность своей системы информационной безопасности за счет непрерывного обучения и развития экспертизы продуктов опытным путем. Кредитно-финансовая отрасль традиционно наиболее продвинутая в России в части кибербезопасности и ожидаемо, что именно эта отрасль одна из первых определила недопустимые для нее события и стала первопроходцем в программах bug bounty.

отметил Артем Сычев
»

По данным Positive Technologies, за три квартала 2022 года финансовые организации чаще всего сталкивались с кражей конфиденциальных данных (51% случаев) и остановкой бизнес-процессов (42%). В результате 7% атак компании несли финансовые потери.

Эти данные коррелируют со списком недопустимых для финансовых организаций событий, полученных в ходе проектов по верификации рисков, выполненных за 2021–2022 год:

  • Вывод денежных средств определенной суммы со счетов организации или клиентов.
  •  Остановка операционных процессов на срок более определенного количества часов из-за недоступности поддерживающих информационных систем.
  • Недоступность цифровых финансовых сервисов для клиентов на срок более определенного количества часов.
  • Искажение или уничтожение информации в базах данных (включая резервные копии), используемых в операционной деятельности.
  •  Использование инфраструктуры и цифровых сервисов финансовой организации для выполнения атак на клиентов и партнеров.
  •  Утечка баз данных, содержащих персональные данные клиентов, банковскую тайну и иную конфиденциальную информацию.

ЦБ проверит безопасность российского ПО в банках

В конце июля 2022 года стало известно о решении ЦБ РФ проверить устойчивость ИТ-систем российских банков к кибератакам. В частности, планируется проверка на защищенность отечественных решений, которые начали внедрять после ухода с рынка поставщиков их зарубежных аналогов, сообщил «Ведомостям» представитель регулятора.

По его словам, Центробанк проводит киберучения с кредитными организациями с 2020 года, в 2022-м они пройдут в плановом порядке.

ЦБ РФ проверит безопасность программного обеспечения в банках
«
Во втором полугодии 2022 г. планируется проведение киберучений с учетом актуальных сценариев компьютерных атак, которые предусматривают в том числе тему импортозамещения ПО кредитных организаций, – сообщили в регуляторе.
»

При этом в ЦБ РФ не уточнили, что именно будет проверяться во время учений и какие принципы атак будут имитироваться.

Предыдущие учения проводились с участием 70 российских банков. По данным источника издания, схема выглядит так:

  • ЦБ сообщает о негативном сценарии.
  • Банки запускают свои защитные системы.
  • ЦБ отслеживает их работу и эффективность.
  • Затем следует подведение итогов.

В числе вариантов сценария могут быть варианты отключения определённого программного обеспечения или оборудования, например, SAP, Oracle и т. п. К примеру, систему управления базами данных (СУБД) Oracle использовали в 2021 году все отечественные банки. Об этом заявили разработчики отечественной СУБД Postgres Professional. Причём система использовалась в «самых нагруженных и критичных» местах.

В качестве замены предлагаются решения «», собственные банковские продукты и так далее. Однако полноценной замены решениям SAP и Oracle пока что попросту нет, а созданные аналоги «в значительной степени уступают по своим техническим характеристикам и функционалу». [10]

Мошенники обманом заставляют клиентов настроить переадресацию SMS для доступа в их онлайн-банк

Зафиксирован очередной сценарий телефонного мошенничества с применением методов социальной инженерии. Под видом сотрудников мобильных операторов мошенники заставляют клиента настроить переадресацию SMS, чтобы потом получить доступ в онлайн-банк. Об этом TAdviser сообщили представители ВТБ 28 июня 2022 года. Подробнее здесь.

ЦБ предложил механизм самозапрета на выдачу кредитов для противодействия мошенникам

Банк России для противодействия мошенникам предложил механизм самозапрета на выдачу кредитов. Об этом ЦБ сообщил 14 июня 2022 года. Подробнее здесь.

ЦБ предписало банкам ускоренно перейти на отечественную криптозащиту

На состоявшемся 15 апреля 2022 года совещании ЦБ РФ с банками и отечественными производителями было принято решение о необходимости оперативной замены иностранных HSM-модулей на российские. Об этом пишет «Коммерсантъ» со ссылкой на участников финрынка и советника CryptoPro Владимира Простова.

Аппаратный модуль безопасности (HSM) предоставляет защиту информационным системам от раскрытия данных с помощью криптографии. Выпуск модулей осуществляется в разных версиях: от простой карты расширения до отдельных устройств с антивандальной защитой. Правда, собираются они в основном из импортных деталей, по большей части китайских, а поставки из КНР к апрелю 2022 года затруднены из-за проблем с логистикой.

Банки РФ перейдут отечественную криптозащиту

В публикации издания говорится, что для небольших банков замена может оказаться довольно серьезной финансовой нагрузкой, а полный переход на отечественные системы может занять практически год. По словам заместителя гендиректора «ИнфоТеКС» Дмитрия Гусева, полный переход на отечественные HSM-модули для банков может занять несколько лет, так как необходимо не только произвести оборудование, «но и адаптировать его к работе с процессинговыми системами банков, а также поддержать российскую криптографию на конечном оборудовании: терминалах оплаты, банкоматах».

По данным собеседников издания, Сбербанк и ВТБ будут менять модули самостоятельно, остальные банки — через вендоров. Всего в России нужно заменить несколько тысяч модулей. Стоимость таких устройств начинается от 3 млн рублей за штуку для неплатежных модулей, тогда как платежные могут стоить в разы дороже.

Опрошенные газетой участники рынка считают, что ЦБ необходимо разработать отечественный аналог международному стандарту PCI DSS (комплексный стандарт безопасности платежных систем), так как получить сертификат отечественным вендорам в силу геополитических ограничений невозможно, даже при соответствии требованиям, при этом банки без такого сертификата обычно не хотят использовать оборудование от отечественных вендоров.[11]

Хакеры украли данные 54 млн клиентов кредитного бюро TransUnion и требуют выкуп в $15 млн

В середине марта 2022 года хакеры потребовали $15 млн выкупа за 54 млн клиентских записей, украденных с сервера кредитного бюро TransUnion в Южной Африке. Подробнее здесь.

«Лаборатория Касперского» предотвратила киберограбление ЦБ в Латинской Америке

В середине февраля 2022 года стало известно о том, что в ходе совместного расследования «Лаборатория Касперского» и Интерпол предотвратили хищение средств из центрального банка одной из стран Латинской Америки. О каком государстве идет речь, не уточняется. Подробнее здесь.

2021

Рост вредоносных программ на 428%

3 февраля 2022 года компания Eset сообщила о том, что количество обнаружений вредоносных программ для Android-банкинга выросло на 428% в 2021 году по сравнению с 2020 годом. В пятёрку стран-лидеров по активности угроз вошли Турция, Россия, Испания, Украина и Япония.

Банковские угрозы для Android развиваются быстрее большинства вирусного ПО. Более того, нежелательные программы активно распространяются через официальный магазин приложений Google Play: в период с сентября по декабрь 2021 года их скачали более 300 тыс. раз.

Функционал вредоносных приложений позволяет злоумышленникам красть банковские данные пользователей и впоследствии совершать несанкционированные покупки, снятие наличных, а также переводить средства на сторонние счета.

Аналитики ESET прогнозируют, что в 2022 году вредоносных программ для компрометации онлайн-банкинга станет ещё больше.

«
Несмотря на обилие угроз, экосистема Android совершенствуется и предоставляет пользователям платформы более безопасную среду с высоким уровнем конфиденциальности. Однако в 2022 пользователям необходимо осознать, что во многих случаях им нужно самостоятельно позаботиться о личной кибербезопасности и внести некоторые изменения в настройки своего смартфона по умолчанию, — сказал исследователь киберугроз ESET Лукас Стефанко.
»

После установки финансового приложения изучите разрешения программы. Необходимо деактивировать функции работы поверх других открытых приложений — так вы обезопасите себя от незаметной активности онлайн-банкинга в случае его взлома. Обязательно выставляйте запрет на права администрирования устройства и отключайте разрешения на внешний доступ к смартфону или планшету. Эффективной мерой защиты является использование дополнительных антивирусных программ класса Mobile Security.

Треть взломов ИТ-систем российских банков происходит из-за действий сотрудников

Примерно в 30% случаев взлома ИТ-систем российских банков в 2021 году виноваты были сотрудники - они допустили утечку данных, проявили халатность или участвовали в мошеннических схемах. Такие данные в середине февраля 2022 года были обнародованы компанией RTM Group, предоставляющей услуги в области информационной безопасности.

На внешние хакерские атаки пришлось 15% проникновений в банковские ИТ-системы в России по итогам 2021 года. Эта доля, по мнению экспертов, в 2022 году упадет до 3%, тогда как процент инцидентов, связанных с действиями сотрудников банков, напротив, ощутимо вырастет и достигнет 50%.

Треть взломов ИТ-систем российских банков происходит из-за действий сотрудников

Раньше такой значительной динамики по числу инцидентов с участием внутренних инсайдеров не наблюдалось, отмечают в RTM Group, и она может быть связана с повышением сложности внешних взломов и ростом стоимости внутренних данных. Главной целью злоумышленников будут счета компаний, клиентов и любая информация о них, а также документы и внутренняя переписка, полагают аналитики.

Руководитель отдела аналитики SearchInform Алексей Парфентьев в разговоре с «Коммерсантом» пояснил, что злоумышленникам дешевле и безопаснее использовать инсайдеров, а не внешние схемы. Он отметил, что по закону банки не обязаны устанавливать программы для защиты от утечек данных и других инсайдерских рисков. По оценке Парфентьева, такое ПО есть пока в трети банков.

В самих банках по-разному относятся к прогнозам об усилении атак со стороны инсайдеров. В Росбанке «не ожидают роста внутренних утечек», заявил газете директор департамента информационной безопасности банка Михаил Иванов. При этом в кредитной организации ждут, что, «скорее всего, расти будут и внешние, и внутренние риски», признал он.

Представитель Тинькофф-банка сказал изданию, что там укрепляют все направления безопасности, «отталкиваясь от реальных данных о киберугрозах». Уровень опасности со стороны инсайдеров «со временем практически не меняется», сказал директор департамента информационной безопасности МКБ Вячеслав Касимов.[12]

Хакеры впервые за 3 года похитили деньги банка с его корсчета в ЦБ РФ

В середине декабря 2021 года стало известно о первой за три года успешной хакерской атаке на корреспондентский счет Банка России. Кибернападению подверглась система межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России; через эту систему банки проводят расчеты между собой с корсчетов, открытых в ЦБ), сообщили в компании Group-IB. Подробнее здесь.

Национальный банк Пакистана атакован хакерами

В ночь с 29 на 30 ноября 2021 года Национальный банк Пакистана (NBP) пережил кибератаку. Она затронула серверные системы и серверы, используемые для подключения отделений банка, внутреннюю инфраструктуру, контролирующую сеть банкоматов, и мобильные приложения банка. Подробнее здесь.

Директор по ИБ «Московской Биржи» Сергей Демидов - о предпосылках новой повестки информационной безопасности в финсекторе

Риски информационной безопасности эволюционировали и поменяли ориентацию, полагает Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса группы «Московская Биржа». На конференции TAdviser IT Security Day, прошедшей в октябре, он поделился своим видением новых рисков ИБ и предпосылок формирования новой повестки ИБ в финсекторе.

Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса, группа «Московская Биржа»

Сергей Демидов выделяет пять главных предпосылок новых рисков информационной безопасности:

  • удаленная инфраструктура и связанные с этим атаки (например, атака на новозеландскую биржу, приведшая к длительному простою);
  • массовые риски использования личных устройств (много кейсов, когда злоумышленник проникал на оконечные устройства);
  • снижение внимательности на удаленной работе, в результате чего пользователь становится более уязвимым для фишинга;
  • утрата логинов и паролей;
  • общий спад экономики.

А теперь приходит осознание, что в России в нашей текущей действительности мы оказались в другой реальности, отметил Сергей Демидов. И за последний год возникли предпосылки для формирования новой повестки ИБ в финансовом секторе. Одна из предпосылок – рост цифрового бизнеса, причем не только в технологическом секторе, но и в реальном, производственном, где компании начинают развивать свой бизнес за счет технологических продуктов (например, есть маркетплейсы у «КамАЗ»а, Росавтодора и др.).

Еще одна предпосылка – рост числа уязвимостей, в том числе уязвимостей нулевого дня. В прошлом году был поставлен абсолютный рекорд по числу обнаруженных уязвимостей, подчеркнул Сергей Демидов. Гонка за прибылью теперь начинается в цифровом мире, быстро появляются новые технологии, но не успевают прорабатывать полный цикл поиска уязвимостей, соответственно, последних появляется все больше.

Слайд из презентации Сергея Демидова

Отдельным пунктом представитель «Московской Биржи» обозначил повышение регуляторной нагрузки.

«
Регуляторных требований становится все больше, потому что регуляторы видят эту гонку, понимают, что граждан надо защищать от этого вала уязвимостей, - говорит Сергей Демидов.
»

В финсекторе теперь регулятор проникает во все процессы. Раньше такого не было, отметил директор департамента ИБ «Московской Биржи». Раньше было требование по защите систем, потом появились регуляторные требования, связанные с продуктами, а теперь уже есть требования, связанные с процессами разработки и эксплуатации программных продуктов.

К списку можно добавить и кадровый голод – в России ежегодно не хватает порядка 18 500 специалистов по ИБ, согласно официальной статистике Минтруда. У в стране нет таких мощностей, чтобы этот кадровый голод закрыть, констатировал Сергей Демидов.

Резюмируя, Сергей Демидов отметил, что, с одной стороны, идет ускорение цифровизации и есть необходимость помогать бизнесу зарабатывать, а с другой – присутствует огромное число формальных требований и новые проверки Банка России, которые в больше степени проверяют на формальное соответствие требованиям по защите информации.

Слайд из презентации Сергея Демидова

В этой ситуации непонятно, что делать ИБ-специалисту: с одной стороны, он живет под страхом, что его могут выгнать, так как он нарушил требования ЦБ, а с другой – он понимает, что угрозы, вероятно, не там и делать надо не то. Отчасти разгрузить ситуацию можно, вынеся часть формальных и реальных ИБ-рисков на обработку в ИТ-департамент и синхронизируя стратегии ИТ и ИБ компании.

«
Необходима синергия ИТ и ИБ, — констатировал Сергей Демидов. — У ИТ тоже кадровый голод, и нужно помогать друг другу, синхронизировать работу, стратегии развития ИТ и ИБ.
»

Кроме того, по мнению Сергея Демидова, необходимо взаимодействие с госорганами в вопросах политик и стандартов информационной безопасности.

Слайд из презентации Сергея Демидова

Разработан метод на базе ИИ позволяющий подсмотреть вводимый PIN-код в банкоматах

18 октября 2021 года стало известно о том, что исследователи из Италии и Нидерландов разработали метод машинного обучения, способный определять вводимый человеком PIN-код в банкомат. Данный метод работает даже в тех случаях, когда клиент банкомата прикрывает рукой панель ввода.

Разработанный метод включает обучение сверточной нейронной сети (CNN) и модуля долгосрочной краткосрочной памяти (LSTM) на видеозаписях ввода PIN-кода, прикрытого рукой. Система, отслеживающая движения руки и позиционирование во время ввода PIN-кода, может предсказать 41% 4-значных и 30% 5-значных PIN-кодов за три попытки (максимальное количество попыток, которое банк допускает перед блокировкой счета клиента). В тестах приняли участие 58 добровольцев, которые использовали случайные PIN-коды.

Поскольку экран банкомата вряд ли будет скрыт во время ввода PIN-кода, время нажатия клавиши может быть установлено путем синхронизации движений руки с появлением «замаскированных» цифр (обычно звездочек), которые появляются на экране банкомата в ответ на запрос пользователя. Синхронизация показывает точное расположение рук в «скрытом» сценарии в момент ввода.

Сбор данных проводился в течение двух сеансов с использованием волонтеров-правшей для исследования. Каждый участник набрал 100 случайно сгенерированных 5-значных PIN-кодов, обеспечивая равномерное покрытие всех десяти возможных нажатий на клавиатуре. Таким образом, исследователи собрали 5 800 индивидуальных вводов PIN-кода.

Наборы данных были разделены на наборы для обучения, проверки и тестирования, причем обучение проводилось на процессоре Intel Xeon, работающем на E5-2670 2,60 ГГц и оснащенном 128 ГБ оперативной памяти. Данные были реализованы на Keras2.3.0-tf (TensorFlow 2.2.0) и Python 3.8.6 на трех графических процессорах Tesla K20m с 5 ГБ видеопамяти каждый.

Рассматривая меры противодействия существующим системам, исследователи считают, что реально действенных средств защиты от такого рода атак не существует. Увеличение минимального числа необходимых цифр в PIN-коде затруднит запоминание чисел, случайный порядок расположения цифровых клавиш на программной клавиатуре сенсорного экрана также вызывает проблемы с удобством использования, а защитные пленки для экрана не только будут дорогими для установки на существующие банкоматы, но и, возможно, сделают способ атаки еще более простым в реализации. Исследователи утверждают, что их атака работоспособна даже тогда, когда скрыто 75% клавиатуры (закрытие большего количества затрудняет ввод текста пользователем)[13].

Злоумышленники стали задействовать для атак вектор TCP SYN/ACK Amplification

Киберпреступники возобновили масштабные DDoS-атаки на российский финансовый сектор после недели затишья. Об этом компания Orange Business Service сообщила 29 сентября 2021 года. При этом увеличилось количество атакуемых организаций. Злоумышленники задействуют вектора и техники, которые не использовались ранее, номинальная мощность атак снизилась, но выросла их сложность.

По данным российского центра мониторинга киберугроз (SOC) международного сервис-провайдера Orange Business Services, с 10 по 15 сентября 2021 года количество проведенных атак резко снизилось: было выявлено не более десяти инцидентов свыше 10 Гбит/с, в то время как за предыдущий месяц наблюдения в среднем фиксировалось по пять крупных запросов в сутки. Но уже 16 сентября в 10:30 была детектирована первая атака из волны, характеризующейся еще более высокой интенсивностью, чем в предыдущий месяц наблюдений. С этого момента по вечер 25 сентября выявлено более 75 масштабных инцидентов разных типов, пиковая емкость самого мощного из них составила 45 Гбит/с. При этом на 10% увеличилось количество атакуемых организаций.

Злоумышленники задействуют неизвестные типы атак. К примеру, стал массово применяться до этого редко использовавшийся вектор TCP SYN/ACK Amplification. Это атака использует особенности веб-серверов, которые подвергаются нападениям. С помощью специальных запросов канал связи, соединяющий сервер с интернетом, массово забивается однотипными сообщениями.

Также данную волну атак характеризует поиск киберпреступниками неиспробованных до этого комбинаций техник и векторов. Так, впервые с 9 августа площадные атаки, затрагивающие 256 и более адресов за раз, стали комбинироваться с вектором TCP SYN. Он нарушает работу сервисов через переполнение очереди на подключение к атакуемому веб-серверу, на котором может работать интернет-банк, процессинг или другая внешняя или внутренняя служба.

Главная особенность такой комбинации состоит в том, что, несмотря на невысокую номинальную мощность атак, составляющую в среднем 2 Гбит/с, количество пересылаемых выбранному для нападения сервису паразитных пакетов увеличивается в среднем в 400-500 раз. При этом атака идет сразу на множество служб финансовой организации, что значительно усложняет ее отражение.

Ранее в период с 9 августа по 9 сентября SOC Orange Business Services зафиксировал более 150 масштабных атак на российские финансовые организации. Самая мощная была зафиксирована 6 сентября — ее объем превысил 150 Гбит/с, что в три раза больше самой крупной зафиксированной ФинЦЕРТ атаки на финансовые организации в 2019 — 2020 годах.

«
Киберпреступники не собираются отступать. Они планомерно расширяют список применяемых техник и векторов в надежде найти уязвимость в системах защиты финансовых учреждений. С технической точки зрения в такой ситуации на первый план выходит применение систем защиты, позволяющих инспектировать входящий интернет-трафик для оперативного детектирования аномалий и реагирования на них. На стратегическом уровне критически важной компонентой безопасности всей отрасли остается налаженная координация между финансовыми организациями, регулятором и провайдерами услуг информационной безопасности, работающими с участниками рынка, — сказала операционный директор Orange Business Services в России и СНГ Ольга Баранова.
»

Хакеры нацелились на российский финансовый сектор

С начала августа 2021 года российский финансовый рынок подвергается постоянным масштабным DDoS-атакам. Об этом стало известно 13 сентября 2021 года. При этом злоумышленники продолжают планомерно увеличивать количество и интенсивность атак, а также применять не только хорошо известные, но и самые последние их типы.

Отдельный интерес к российской банковской сфере среди киберпреступников эксперты начали отмечать еще в середине лета 2021 года. В июле Банк России сообщал в СМИ о рисках «заражения» финансовых учреждений через участников их экосистем. В июле 2021 года эксперты в области информационной безопасности Тереза Уолш (Teresa Walsh) и Троелс Оертинг (Troels Oerting) отмечали, что вектор атак смещается в сторону сторонних поставщиков организаций, через которые совершается до 40% атак.

В августе 2021 года ФинЦЕРТ отметил череду масштабных DDoS-атак не менее чем на 12 крупных российских банков, процессинговых компаний и интернет-провайдеров. Запросы шли из США, Латинской Америки и Азии, сообщали СМИ. В начале сентября 2021 года российский финансовый сектор вновь атаковали: под влияние попали крупные банки и телеком-операторы, предоставляющие им услуги связи.

С 9 августа 2021 года российский центр мониторинга киберугроз (SOC) международного сервис-провайдера Orange Business Services фиксирует резкий рост количества запросов. Пытаясь достигнуть своей цели, преступники увеличивают их частоту, площадь адресного пространства и мощность. Кроме того, злоумышленники комбинируют не только хорошо известные векторы атак, такие как TCP SYN, DNS Amplification, UDP Flood и HTTPS Flood, но и только недавно обнаруженные, например, DTLS Amplification. Этот тип атак был впервые замечен в конце 2020 года и начал акутивно применяться в середине 2021 года. Он использует уязвимости в серверах Citrix, и даже небольшая ботнет-сеть способна проводить большую по мощности атаку.

В общей сложности за месяц, с 9 августа по 9 сентября 2021 года, зафиксировано более 150 атак. При этом их интенсивность постоянно нарастает. В докладе ФинЦЕРТ по итогам 2020 года отмечалось, что самая мощная атака в 2019-2020 годах велась с интенсивностью 49 Гбит/с (на 2 Гбит/с выше рекорда 2018 года). Уже в августе 2021 года SOC Orange Business Services отбивал запросы мощностью 100 Гбит/с, а 6 сентября этот показатель превысил 150 Гбит/с. Преступники пытаются постоянно увеличивать мощность атак в надежде, что телеком-провайдеры не смогут провести очистку трафика в столь больших объемах.

Кроме того в отчетный период злоумышленники задействовали крупные международные ботнеты. Так, SOC Orange Business Services выявил одну из сетей, базирующуюся во Вьетнаме и Южной Америке, насчитывающую более 60 тыс уникальных IP-адресов, и которая использовалась для организации атак типа HTTPS Flood на сервис верификации платежей 3D Secure. Сложность защиты от этого вектора состоит в том, что трафик зашифрован, и его содержание не видно телеком-оператору, поэтому выделить источники запросов возможно зачастую только при взаимодействии с финансовой организацией.

Злоумышленники также использовали вектор HTTPS Flood для невозможности использования приложения банков, в этом случае атака совершалась с IP-адресов России, Украины и Франции. В других случаях были задействованы ботнет-сети из Тайваня, Индонезии, Китая, России и США.

Увеличивается площадь атакуемого адресного пространства: если в августе фиксировались в основном адресные запросы на конкретные IP-адреса финансовых организаций, то с сентября проводятся атаки, затрагивающие 256 и более адресов за раз. При этом преступники постоянно меняют или комбинируют типы атак для увеличения сложности их отражения. Весь август финансовый рынок имел дело с векторами HTTPS и DNS Amplification, 31 августа к ним добавились атаки TCP SYN, а 2 сентября были зафиксированы векторы IP Fragmentation и DTLS Amplification. Неоднократно фиксировались сразу несколько типов атак, одновременно совершаемых на финансовые организации: к примеру, атака с целью переполнения магистрального канала связи шла параллельно запросам в зашифрованном трафике на сервис платежей.

«
По тому, как настойчиво и изобретательно действуют киберпреступники, можно говорить, что мы имеем дело со сложной спланированной акцией, направленной на дестабилизацию как минимум российского финансового рынка. В ответ на эту волну атак мы расширили функционал собственной системы автоматизации защиты от DDoS, сократив время от обнаружения атаки до реакции на нее до нескольких секунд. Дополнительно мы подключаем наиболее подверженных DDoS клиентов к мощностям нашего центра очистки во Франкфурте, способного выдержать атаку до 5 Тбит/c, — сказал операционный директор Orange Business Services в России и СНГ Ольга Баранова.
»

Сбербанк объявил войну телефонным мошенникам, число звонков из тюрем резко снизилось

Заместитель председателя правления Сбербанка Станислав Кузнецов 1 июня 2021 года заявил об огромной проблеме телефонного мошенничества в России, в том числе для клиентов Сбербанка. В связи с этим внутри банка приняли программу по борьбе с телефонным мошенничеством.

Станислав Кузнецов рассказал о программе Сбербанка по борьбе с телефонным мошенничеством, разработанной в Сбербанке (фото - Сергей Бобылев/ТАСС)

Программа включает в себя несколько элементов. В их числе – совершенствование банковской антифрод-платформы. Она построена на основе алгоритмов искусственного интеллекта, применяется собственная графовая база данных и графовая аналитика. Кроме анализа транзакций система анализирует рисковые события от телекомов, действия сотрудников, операции в автоматизированных системах, нефинансовые операции. В каталоге Сбера — около 130 изученных мошеннических схем.

Слайд из презентации Станислава Кузнецова

Также программа предполагает развитие инструментов в «Сбербанк Онлайн», мобильном приложении, чтобы они позволяли видеть, что звонит мошенник. У клиентов Сбербанка появилась функция в мобильном приложении, когда звонит мошенник, и высвечивается предупреждающий красный светофор.

Кроме того, банк помогает своим клиентам в мобильном приложении проверять свои персональные данные – где они могут быть выложены в открытом доступе.

«
Сегодня около полутора миллионов наших клиентов за этот короткий срок, буквально 2-3 месяца работы, удалили сами персональные данные, которые случайно сами разместили в сети, - привел данные Станислав Кузнецов.
»

Еще год назад структура всех колл-центров телефонных мошенников, существующих вокруг российских граждан, состояла из следующих направлений: примерно 40% - это тюрьмы, еще примерно 40% - это ближайшее зарубежье, и около 20% - на территории России.

Слайд из презентации Станислава Кузнецова

Прокурор Москвы Денис Попов после посещения центра киберзащиты Сбербанка организовал совместную рабочую группу и принял все надлежащие меры, чтобы провести оперативные мероприятия непосредственно в тюрьмах, включая Матросскую тишину и Бутырку, говорит Кузнецов. Были проведены обыски, изъяты десятки, а то и сотни телефонов. Было вскрыто много мошеннических схем по всей стране за счет кооперации также с ФСИН. После этого примерно на 80% снизилось телефонное мошенничество со стороны пенитенциарных учреждений.

«
Сейчас мы фиксируем большинство колл-центров в ближайшем зарубежье и на территории нашей страны, - говорит Станислав Кузнецов. – Оперативные мероприятия, которые проводятся в последнее время ФСБ и МВД России, показывают, что мы умеем правильно распознавать и выявлять эти колл-центры.
»

Кузнецов отметил, что в России телефонное мошенничество имеет свои особенности: ни в одной стране мира такого же большого роста этого вида преступности нет. А что касается непосредственного Сбера, его не атакует только ленивый, добавил зампред правления банка.

В деле борьбы с телефонным мошенничеством в Сбербанке выявили три проблемы. Во-первых, нет коллаборации, говорит Станислав Кузнецов. Нужно всем вместе создавать новую экосистему обмена информацией.

«
Сегодня, к сожалению, ни правоохранительные органы, ни госкомпании не имеют единой платформы для обмена информацией. Даже внутри МВД существуют разные базы данных, которые даже не коннектятся друг с другом, а надо посмотреть сначала в один компьютер, потом в другой. А из того компьютера, в котором вы зарегистрировали преступление, в тот компьютер, на котором это расследуется, не попадает – много нестыковок, - посетовал топ-менеджер Сбербанка. - То есть нет единой архитектуры, чего нам и не хватает.
»

Сбербанк пошел по этому пути - создание единой платформы обмена информацией, добавил представитель банка.

Кроме того, есть необходимость изменения существующих на сегодня законов, полагают в Сбербанке. Например, закона о связи, который подразумевает некое ужесточение действий для всех телекомов. Сегодня получить лицензию стоит 8 тыс. рублей, привел данные Кузнецов, и ее можно также потерять.

«
Есть четыре лидера наших телекомов, которые достаточно активно противостоят кибермошенничествам. Но примерно около 650 телекомов в регионах сейчас открытым образом продают телефонные номера кому попало на региональном уровне, - заявил зампред правления Сбербанка. – Наберите в интернете слова «виртуальная АТС», и вы увидите, сколько у вас будет предложений. А еще круче – «виртуальная АТС 10 дней, 2 недели бесплатно». Это означает, что можно пользоваться номерами телефонов, не сдавая свои индивидуальные данные телекому. Что, собственно, сейчас и происходит.
»

Противостоять этому можно. И Роскомнадзор обязан за этим следить, говорит Станислав Кузнецов: проводить необходимые надзорные мероприятия, чтобы с этим бороться. Здесь еще есть, над чем работать – «сил у Роскомнадзора пока не хватает на эти мероприятия», и все это продолжает существовать дальше.

Телекомы, в свою очередь, могут видеть подменные номера и «выключить рубильник», чтобы перекрыть этот трафик. Для этого нужны небольшие поправки в закон о связи. Сбербанк, по словам Кузнецова, этим активно занимается совместно с Минцифры уже более полугода. Эта поправка поставлена в график на принятие в осеннюю сессию в Госдуме.

Зарегулированность в сфере ИБ мешает банкам развиваться. Острые вопросы обсудили на конференции TAdviser

Зарегулированность банков в области ИБ — одна из проблемных тем, которые были подняты на конференции TAdviser IT Security Day 2021, прошедшем в апреле. По мнению Руслана Ложкина, руководителя службы ИБ «Абсолют Банка», требований настолько много, что становится тяжело развиваться в своей деятельности, наблюдается дауншифтинг.

«
Все прописано, все указано: как строить ИБ политику, как анализировать модель угроз — абсолютно всё. Остается только работать по документам. Честно говоря, это немного напрягает, - заявил Руслан Ложкин в открытом интервью на TAdviser IT Security Day 2021.
»

А за 2020 год нормативных требований от регуляторов для банков еще больше прибавилось.

«
И эта регуляторика не всегда качественная, часто сырая, с противоречиями, — сказал Руслан Ложкин. — Приходится постоянно писать в ЦБ и ждать разъяснений. На это всё уходит время.
»

Руслан Ложкин поднял тему зарегулированности банков с точки зрения ИБ

Головной болью банков является в том числе импортозамещение, к которому их подталкивает государство. Здесь тоже нужен не только диалог, но и какие-то решительные шаги. Пока финансовые организации стараются внедрять ПО по мере появления качественных отечественных аналогов, но так получается не всегда.

«
В этом году мы внедрили песочницу российского производства, сейчас смотрим на SIEM, думаем о DLP. Но мы используем иностранные средства защиты. Приходится искать аналоги, что делать — есть закон, его надо выполнять. Это сложно, потому что на Западе используют квадрант Gartner, на него можно ориентироваться и выбирать. У нас же только один параметр для выбора: нахождение ПО в реестре, и эти решения не закрывают все потребности. Такая ситуация тормозит импортозамещение, — отметил Руслан Ложкин.
»

Требования по полному импортозамещению пока предлагается распространить не на все финансовые компании, а лишь на значимые объекты критической инфраструктуры. Об этом в феврале 2021 года рассказывал Артем Сычев, первый заместитель директора департамента информационной безопасности Банка России круглом столе комитета Госдумы по финансовому рынку. Он приводил данные, что у банков около 90% ПО являются зарубежными разработками, от которых невозможно отказаться мгновенно без того, чтобы не пострадали клиентские сервисы. Однако во всем остальном внимание регулятора к банкам весьма пристальное.

«
Напомню, что контроль со стороны Центрального банка о реализации этих мер <по защите каналов связи, импортозамещению, а также обеспечению ИБ в целом — прим. ред.> достаточно жесткий. Многие финансовые организации с этим уже столкнулись и знают, что проверки сейчас идут не формально, а конкретно, с определенными выводами. Решения по итогам проверок и выявление нарушений со стороны банков тоже проходят не формально: за последнее время порядка 17 банков получили штрафы за несоблюдение требований в части информационной безопасности.
»

Сычев также добавил, что от проверок ЦБ переходит к киберучениям, которые быстрее помогут выявить риски, связанные с ИБ или устойчивым функционированием банков.

Сами финансовые организации тоже не сидят сложа руки, и превентивно проводят подобные учения. О том, как выглядит этот процесс в «Московской бирже», рассказал Сергей Демидов, директор департамента ИБ этой организации.

«
Мы регулярно проверяем своих сотрудников: рассылаем им письма самого разного содержания, отрабатывая у них навык реакции на фишинг. Например, проектные команды получают сообщение от Демидова Сергея, то есть от меня: «Новые требования по ИБ к проекту» — и всякие неправильные ссылки. И что вы думаете? Половина покупается! Эта борьба будет вечной. Мы много учим, но и фишинг не стоит на месте, он развивается. В письмах были хорошие подделки, вещи, затрагивающие ковид или вакцины, особенно пока их ещё не было. Людей начали ловить на этот крючок, - говорит Сергей Демидов.
»

Наблюдается тенденция к тому, что ЦБ стремится расширить свою область регулирования за пределы непосредственно финансового сектора. Так, Сергей Демидов в открытом интервью на мероприятии TAdviser заметил:

«
Банк России, получив недавно широкие полномочия по регулированию ИБ, заметно активизировался. Как можно заметить из сообщений СМИ, он идет не только в финансовый сектор. В своем консультативном докладе Банк России уже замахнулся на то, чтобы регулировать ИТ-компании типа «Яндекса» или Mail.ru.
»

Сергей Демидов

В докладе для общественных консультаций «Экосистемы: подходы к регулированию», размещенном на сайте ЦБ в апреле 2021 года, говорится, что, несмотря на неоспоримые плюсы для потребителя, которые сегодня дают ему сервисы экосистем, нельзя не сказать, что тем не менее в этой бочке меда есть ложка дегтя.

«
Нерегулируемое развитие экосистем уже сегодня создает значимый арбитраж с другими бизнес-моделями, бросает вызов конкурентной среде, ставит производителя в зависимость от правил и тарифов экосистем, привязывает к себе потребителя и зачастую определяет его модель потребления, - отмечает ЦБ в докладе. - Ситуация усугубляется при отсутствии на рынке национальных экосистем. В таких странах вопрос защиты национального производителя стоит особенно остро. Но и в странах происхождения глобальных экосистем — США и Китае — вопрос регулирования деятельности как своих, так и чужих экосистем сегодня находится в приоритетной повестке дня регуляторов и антимонопольных органов.
»

Сергей Демидов также отметил, что, если говорить о разнице между соблюдением международных и российских стандартов и требований, то она, скорее, в методике оценки соответствия, то есть в том, как именно проверяют.

«
В РФ больше смотрят на формальное соответствие и четкое соблюдение всех пунктов требований, в то время как по международным стандартам и требованиям часто действует принцип «соблюдай или объясняй», что позволяет в отдельных случаях не соблюдать требования буквально, объяснив проверяющим, какие компенсирующие методы используются для того, чтобы в полной мере достигать целей обеспечения информационной безопасности, - пояснил Демидов.
»

В Москве мошенники оформляют кредиты с помощью биометрии

В Москве зафиксированы множественные случаи использования голосов клиентов мошенниками для оформления кредитов или иных финансовых продуктов. Об этом стало известно 10 апреля 2021 гада. Подробнее здесь.

Avast: эволюционировавший банковский троян Ursnif атакует пользователей по всему миру

Исследователи Avast Threat Labs, подразделения компании Avast, представителя в области цифровой безопасности и решений защиты, обнаружили, что эволюционировавший банковский троян Ursnif продолжает атаковать пользователей по всему миру. Уже несколько лет он распространяется через фишинговые письма, написанные на разных языках. Об этом компания сообщила 9 марта 2021 года. Подробнее здесь.

Схема хищения денег компаний с использованием API приложений

ЦБ РФ предупредил банки о новой схеме хищения денег компаний, в которой используются API мобильных приложений. Об этом стало известно в середине февраля 2021 года.

Как пишет «Коммерсантъ» со ссылкой на письмо Центробанка, в одном из инцидентов злоумышленник воспользовался реальным логином и паролем для того, чтобы зайти в мобильное приложение банка. После этого он перевел его в режим отладки и изучил порядок и структуру вызовов API дистанционного банковского обслуживания (ДБО).

Затем мошенники находили номера счетов жертв из открытых источников, создавали «распоряжение на перевод денежных средств, указывая в поле «Номер счета отправителя» счет жертвы».

Банк России предупредил банки о новой схеме хищения денег компаний через API приложений

В ЦБ отметили, что атаки на системы ДБО банков и на мобильные приложения участились, в связи с чем регулятор ожидает, что кредитные организации проведут дополнительный контроль и проверки применяемых систем ДБО. При выявлении уязвимостей банкам рекомендуется обеспечить добавление проверок принадлежности счетов, используемых в банковских операциях, авторизованной учётной записи клиента.

Глава службы информационной безопасности ГК «Элекснет» Иван Шубин в разговоре с изданием сообщил, что описанная ЦБ схема до сих пор использовалась преимущественно при хищении средств физических лиц, а не корпоративных клиентов, и в этом ее новизна.

«
Чтобы эффективно противодействовать злоумышленникам, банкам необходимо, в частности, чтобы при каждой трансакции проводилась сверка расчетного счета клиента с его учетной записью, — пояснил эксперт.
»

Глава SafeTech Денис Калемберг говорит, что такие кибератаки стали результативными из-за «грубейших нарушений принципов проектирования логики приложения», что сделало бесполезными все остальные средства защиты.[14]

2020

Varonis: банковский сотрудник имеет доступ в среднем к 11 миллионам конфиденциальных файлов

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, выпустила четвертый ежегодный отчет 2021 Financial Data Risk Report, в котором обозначила самые актуальные проблемы, связанные с безопасностью корпоративных данных. Об этом стало известно 14 декабря 2020 года.

Аналитики Varonis проанализировали 4 миллиарда файлов в 56 финансовых организациях по всему миру (банки, страхование, инвестиции) на базе случайной выборки результатов аудита киберрисков (Data Risk Assessment).

Выяснилось, что в среднем сотрудник финансовой организации имеет доступ к 13% всех данных, хранящихся в компании. Это означает, что даже сотрудники небольших организаций имеют неограниченную свободу просмотра, копирования, перемещения, изменения и удаления данных для более чем полумиллиона файлов — включая почти 20% всех файлов, содержащих конфиденциальные данные о сотрудниках и клиентах. При этом с увеличением размера компании, количество доступных для всех файлов удваивается. В крупнейших финансовых организациях более 20 миллионов файлов доступны любому сотруднику.

Исходя из данных отчета, в среднем финансовые институты имеют около 20 000 открытых для всех сотрудников папок. ИТ-специалистам требуется около 6-8 часов на одну папку, чтобы найти и вручную удалить глобальный доступ, это означает, что ручное исправление уровней доступа потребует более 15 лет.

Еще один вывод исследования заключается в том, что на обнаружение и предотвращение утечки данных у финансовых организаций уходит около 233 дней — среднее время решения проблемы в отрасли составляет восемь месяцев. Это достаточный срок для нанесения серьезного ущерба репутации, доходам и доверию клиентов. Помимо этого, более 64% компаний, оказывающих финансовые услуги, имеют свыше 1000 конфиденциальных файлов, открытых каждому сотруднику. Еще 70% всех конфиденциальных данных являются устаревшими (то есть хранятся сверх установленного срока).

Аналитики Varonis также отмечают, что в финансовых организациях остро стоит проблема с паролями: 60% компаний имеют более 500 паролей, срок действия которых никогда не истекает, а почти 40% имеют более 10 000 «фантомных» учетных записей (ghost users). Их наличие наряду с привилегированными пользователями с бессрочными паролями дает хакерам лазейку для незаметной кражи данных или нарушения работы компании.

«
Финансовые организации, несмотря на свою защищенность, подвержены атакам злоумышленников, во многом из-за ценности конфиденциальных данных их клиентов. Так средняя стоимость одной утечки оценивается аналитиками в 5,85 млн долларов. В 2020 году финансовые институты могут похвастаться наименьшим средним временем обнаружения и реакции на инцидент, но удаленная работа может значительно увеличить это время. При этом, чем больше времени требуется для реагирования на инциденты, тем выше будет стоимость утечек. Поэтому невозможно переоценить важность полной прозрачности сетевых сред и автоматизации безопасности. По мере того, как финансовые службы переходят к удаленной работе через Office 365, приоритетным становится наличие профессиональных инструментов для усиления контроля и управления возросшим риском, — отметил глава Varonis в России Даниэль Гутман.
»

Атака Winnti Group на российских разработчиков банковского ПО

7 сентября 2020 года стало известно об атаке китайской хакерской группировки Winnti на российских разработчиков программного обеспечения для банков. О кибернападениях сообщили эксперты ИБ-компании Positive Technologies без указания имен кредитных организаций и производителей софта, которые могли пострадать от действий киберпреступников. Подробнее здесь.

ИБ-приоритеты банков в 2020 году

Летом 2020 года TAdviser опросил отечественных специалистов в сфере информационной безопасности и узнал у них, как изменились потребности их клиентов из банковской сферы. Построение защищенной "удаленки", развитие и защита систем ДБО, выполнение требований законодательства в сфере ИБ - ключевые приоритеты банков в сфере ИБ, о которых говорят эксперты в 2020 году.

Построение защищенной «удаленки»

Банковский сектор, также как и компании из других отраслей, были вынуждены организовывать удаленную работу для поддержания своей деятельности. Однако ранее банки не жаловали «удаленку», поэтому далеко не все были готовы к переходу на нее.

«

В начале пандемии были экстренные закупки решений для удаленной работы, но затем пошла плановая работа. Нужно понимать, что ИБ и ИТ в банковском секторе на достаточно высоком уровне, и финансово-кредитные организации смогли перестроить часть своих бизнес-процессов достаточно быстро, - отмечает Дмитрий Горелов, коммерческий директор компании «Актив».

»

«

При этом некоторые крупные банки, заранее озаботившиеся вопросом, перешли на массовую удаленную работу буквально за неделю, а небольшие так и не смогли этого сделать, хотя речь шла о числе пользователей, меньшем в 50-100 раз. Поэтому сейчас масштабируют или строят защищенную «удаленку» очень многие организации финансового сектора. На это не жалеют бюджетов, забирая деньги с других статей и проектов, - рассказывает Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет».

»


Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision), считает, что кредитно-финансовые учреждения столкнулись с необходимостью "пройти между Сциллой и Харибдой": перевести на удаленный режим многие типично оффлайн процессы, одновременно выполняя законодательные требования в области защиты информации.

«

К счастью, ЦБ РФ ещё в начале карантинных мер опубликовал рекомендации по организации безопасной удаленной работы для финансовых организаций, а вендоры смогли предложить соответствующие продукты и сервисы, - добавляет он.

»

По мнению Никиты Семенова, руководителя отдела ИБ компании «Талмер», банки столкнулись с тем, что, соблюдая требования стандартов в области ИБ, их инфраструктура потеряла гибкость и масштабируемость, а главное – оказалась абсолютно не готова к удаленному режиму работы, не имея путей оперативного решения данной ситуации.

«

Речь безусловно не идет о работе дополнительных банковских офисов, где личное присутствие сотрудника критически необходимо. Однако и бэк-офис оказался в той ситуации, когда информацию, необходимую для работы и обрабатываемую во внутреннем контуре сотрудники не могли получить удаленно, - поясняет эксперт.

»

Тем не менее в связи с переводом большого количества сотрудников банковской сферы на удаленную работу, как и в других отраслях, востребованными стали решения по контролю доступа к различного рода информации и защиты от целевых атак на прикладном уровне, отмечает Дмитрий Агафонов, директор по развитию «Иновентика технолоджес».

«

Банковская сфера одной из первых перешла к внедрению процедур контроля информационной безопасности, конфиденциальности и защиты данных. Поэтому с переходом на «удаленку» банкам потребовалось увеличение производительности уже существующих решений, - добавляет он.

»

Развитие и защита систем ДБО

Банки стали делать акцент на развитие своих систем ДБО, несмотря на то, что многие их офисы и филиалы в период пандемии продолжали свою работу в ограниченном режиме. Данную тенденцию можно было заметить по периодичности обновления соответствующих приложений.

«

С точки зрения приложений особое внимание банков вызывает соответствующие нормативные акты ЦБ РФ Положения 382-П и 672-П, обязывающие их ежегодно осуществлять анализ защищенности мобильных приложений и проводить регулярные тесты на проникновение систем ДБО. На сегодняшний день основная головная боль банковского офицера информационной безопасности, где дешево и качественно сделать анализ исходного кода и провести тест на проникновение, - говорят в компании «Кросс Технолоджис».

»

По словам Андрея Янкина возросшая нагрузка на системы ДБО привела к спросу на системы их защиты (как правило, масштабирование существующих) и пентесты.

Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта» (входит в группу «Ланит»), добавляет, что банки, учитывая перспективы развития онлайн-банкинга, аккумулирующего возрастающий ускоренными темпами объем персональных данных в сети, ставят в приоритет защиту персональной информации и укрепляют инструменты ИБ.

«

Для финансового сектора ИБ всегда является одним из актуальных вопросов. При этом многие из них задолго до начала пандемии активно развивали цифровые каналы. Это и определяет приоритеты. Защита онлайн-сервисов, API, контейнеризации – почти у каждого банка эти вопросы на повестке дня, - говорит Дмитрий Пудов, заместитель генерального директора по технологиям и развитию группы компаний Angara.

»

Соблюдение требований законодательства в сфере ИБ

Вместе с тем часть приоритетов для банков в 2020 году продолжают тенденции прошлых лет. В первую очередь, это так называемый compliance, т.е. соблюдение требований законодательства в сфере информационной безопасности, нормативов ЦБ и требований ФСТЭК и ФСБ.

«

Наиболее крупные банки активно развивают проекты по внедрению и модернизации центров оперативного реагирования (SOC), которые позволяют обеспечить оперативную реакцию на хакерские атаки, а также закрыть требования по обмену информацией об инцидентах с ФинЦЕРТ и ГосСОПКА, - рассказывает генеральный директор R-Vision Александр Бондаренко.

»

Как известно, в банковском секторе самый большой процент киберпреступлений. За уровнем информационной безопасности следят не только сами банки, но и государство. Так регулятором были разработаны акты, устанавливающее требования к прикладному программному обеспечению, в части сертификации, анализа уязвимостей, ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.

«

Это позволит снизить риски использования в программных продуктах вредоносного кода, что повлечёт за собой снижение количества компьютерных инцидентов. Только за первое полугодие к нам в испытательную лабораторию за добровольной сертификацией на ОУД4[15] обратилось десятки банков, - рассказывает Дмитрий Донской, директор по развитию компании «Эшелон Технологии».

»

Кроме того, одним из основных изменений для банков стала необходимость реализации комплекса мероприятий, направленных на выполнение требований ГОСТ 57580.2-2018[16].

«

Это связано с тем, что, согласно требованиям Положения Банка России № 683-П, кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 1 января 2021 года, - отмечает Виктор Сердюк, генеральный директор «ДиалогНаука».

»

Напомним, что согласно третьему уровню соответствия (по ГОСТ Р 57580.2-2018), организационные и технические меры процесса системы защиты информации реализуются в значительном количестве на постоянной основе в соответствии с общими подходами (способами), установленными в финансовой организации. Контроль и совершенствование реализации организационных и технических мер процесса системы защиты информации осуществляются бессистемно и/или эпизодически.

Другие приоритеты

Денис Суховей, директор департамента развития технологий компании "Аладдин Р.Д.", считает, что в 2020 году может возобновиться прошлогодний тренд развития – активное применение банками средств криптографической защиты своих СУБД. Этот тренд существенно подогревается масштабными утечками из баз данных ведущих отечественных и западных банков.

При этом Алексей Сухов, коммерческий директор «Гарда Технологии», полагает, что постепенно приоритеты от защиты от внешних угроз переходят к защите от внутренних угроз.По его словам, наиболее громкие случаи утечек данных в текущем году были связаны как раз с деятельностью внутри банков, а не со взломом извне.

Лев Матвеев, председатель совета директоров «СёрчИнформ», замечает потребность банков в нетипичных ИБ-продуктах.

«

Банки, в частности, начали активнее интересоваться системами категоризации данных. Показательный пример: наш FileAuditor мы разработали по запросу ритейла и промышленности, а с начала 2020 года провели сразу несколько крупных сделок с банками. Также под запрос клиентов из финансовой сферы мы разработали продукт для контроля действий в базах данных, - рассказывает Лев Матвеев.

»

Илья Кондратьев, заместитель директора Департамента информационной безопасности АМТ-ГРУП, говорит, что все больше клиентов финансовой сферы интересуются защитой облачных сред и контейнеров. Кроме того, отмечает он, существенно возросли потребности в автоматизации процессов ИБ, часто выполняемых с помощью бумажного документооборота - например, управление ИТ и сетевым доступом, работа по инцидентам, управление рисками ИБ.

Владимир Лавров, руководитель управления информационной безопасности группы компаний Softline, отмечает, что банки стали активно применять новые технологии, которые позволяют им работать в условиях необходимости соблюдения социальной дистанции: блокчейн, искусственный интеллект, интернет вещей и другие. В то же время он добавляет, что цифровая трансформация несет за собой новые риски в области информационной безопасности, порождая новые тренды в данной сфере:

«

Например, в ответ на внедрение биометрической аутентификации мошенники создали технологию Deep Fake, позволяющую ее обходить. Сегодня банкам приходится внедрять многоуровневые технологии безопасности, позволяющие контролировать взаимосвязанные конечные устройства, рабочие и персональные гаджеты как сотрудников, так и их клиентов.

»

Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта» (входит в группу «Ланит»), добавляет, что один из новых приоритетов банков – это внедрение и развитие машинного обучения как в части улучшения предоставляемого сервиса, так и в части информационной безопасности для отслеживания и оценки финансовых транзакций.

По мнению Руслана Рахметова, генерального директора ГК «Интеллектуальная безопасность» (бренд Security Vision), устойчивой тенденцией является роботизация действий аналитиков при реагировании на инциденты ИБ.

«

Это помогает повысить эффективность деятельности SOC-центров, снизить рутинную нагрузку на сотрудников, а в период удаленной работы еще и обеспечить своевременную обработку угроз в условиях размытого периметра защиты, большого количества новых рисков и возможных задержек в оперативной коммуникации, - отмечает он.

»

Банки в России внедрили новый стандарт безопасности

В конце июля 2020 года стало известно о том, что банки в России внедрили новый стандарт безопасности 3D Secure 2.0, в связи с чем начали разрешать делать покупки в интернете без SMS-кода. Подробнее здесь.

МВД и Group-IB задержали мошенников, похищавших деньги у VIP-клиентов банков с помощью клонов SIM-карт

16 июля 2020 года стало известно о том, что сотрудники московского уголовного розыска при содействии экспертов Group-IB задержали организаторов преступной группы, специализирующейся на перевыпуске SIM-карт и хищении денег у клиентов российских банков. Группа действовала несколько лет, ущерб от ее деятельности оценивается десятками миллионов рублей, а их жертвами становились даже те, кто находился в местах лишения свободы.

МВД и Group-IB задержали мошенников, похищавших деньги у VIP-клиентов банков с помощью клонов SIM-карт

Как сообщалось, пик мошенничеств с перевыпуском SIM-карт пришелся на 2017-2018 годы — злоумышленники взламывали аккаунты Instagram, мессенджеров, почты у известных блогеров, предпринимателей, звезд шоу-бизнеса и спорта, и вымогали выкуп для возврата доступа. Значительная часть преступлений была связана с получением доступа к онлайн-банкингу и хищению денег с банковского счета жертвы.

Одна из преступных групп специализировалась на VIP-клиентах российских банков. Для сбора информации о жертве жулики использовали специальные сервисы «пробива» в телеграм-каналах или на подпольных хакерских форумах. Как правило, у владельцев подобных сервисов были налажены контакты с инсайдерами в банках с необходимым уровнем доступа. Так что они в режиме реального времени могут получить не только персональные данные клиента, но и состояние его банковского счета.

На следующем этапе мошенники пользовались услугами сотрудницы подпольного сервиса по восстановлению SIM-карт, также довольно популярной услуги в теневом сегменте интернета. Изготовив поддельную доверенность (бланк стоит на форумах около 1500 рублей, также используют поддельные печати или печатают бланки на цветном принтере), девушка перевыпускала SIM-карту в салонах сотовой связи Москвы и Подмосковья. В качестве удостоверения личности девушка использовала поддельные водительские права.

Сразу после активации SIM-карты-клона, сотовая связь у жертвы пропадала, зато в этот момент владелец сим-карты отправлял в банк запросы на получение одноразовых кодов доступа в мобильный интернет-банкинг. В ряде случаев подельница мошенников даже не утруждала себя пересылкой SIM-карты — она просто отправляла или диктовала полученные коды по телефону. Деньги — в среднем 50 000-100 000 рублей выводились со счета жертвы на счета третьих лиц и через цепочку транзакций обналичивались в других городах, например, в Самаре.

При этом если в 2017-2018 годах преступники выводили крупные суммы практически моментально, то, начиная с 2019 года — после того, как банки усилили борьбу с фродом, — им потребовалось больше времени. Мошенники могли совершать транзакции только спустя сутки после перевыпуска SIM-карт.

По этой причине мошенники стали выбирать жертв из числа состоятельных людей, которые находились в местах лишения свободы. Обязательное условие — у жертвы должны быть деньги на счете и подключен мобильный банкинг. В учреждениях ФСИН подследственным и осужденным запрещено пользоваться сотовой связью, однако известны не только случаи «проноса» смартфонов за решетку, но и работы целых тюремных колл-центров, что вылилось в совместную инициативу МВД, ФСБ и ФСИН по блокировке сотовой связи местах лишения свободы.

Многочисленные случаи хищения денег у клиентов российских банков стали поводом для проверки и возбуждения уголовного дела. В процессе расследования сотрудники столичного МУРа установили организаторов преступной группы и привлекли экспертов Group-IB. Двое организаторов группы были задержаны в Солнцево и Коммунарке, их подельница из «сервиса восстановления SIM-карт» — в Подмосковье. Еще один участник группы, связанный с обналичкой, был пойман в Самаре. Примечательно, что один из участников преступной группы был судим за аналогичные мошенничества с перевыпуском SIM-карт в 2014-2015 годах, но оказавшись на свободе, вновь вернулся к прежнему ремеслу.

При обыске оперативники и специалисты Group-IB обнаружили многочисленные SIM-карты, ноутбуки, смартфоны и кнопочные телефоны-«звонилки», поддельные документы — паспорта и водительские удостоверения, а также банковские карты и привязанные к ним SIM -карты, на которые приходили похищенные деньги. Для хранения конфиденциальной информации мошенники использовали флешки-криптоконтейнеры. Задержанные дали признательные показания — им предъявлены обвинения ч.4 по статье 159 УК РФ (Мошенничество). В деле несколько эпизодов, количество потерпевших увеличивается, суммарный ущерб оценивался в несколько десятков миллионов рублей.

«
В отличие от известных на июль 2020 года схем с телефонным мошенничеством — вишингом, когда злодеи пытаются получить у жертвы CVV или СМС-код, схема с перевыпуском сим-карт не такая массовая и ориентирована в первую очередь на солидных состоятельных клиентов. Все больше банков договариваются с сотовыми операторами об обмене данными для противодействия фроду: в случае перевыпуска сим-карты, мобильный банкинг временно блокируется и требуется отдельная активация онлайн-банкинга, однако это правило пока действует не у всех.

рассказал Сергей Лупанин, руководитель отдела расследований Group-IB
»

Чтобы не стать жертвой схемы с перевыпуском SIM-карт, эксперты Group-IB рекомендуют написать заявление в салоне оператора сотовой связи о том, что перевыпуск SIM -карты возможен только при личном присутствии абонента. В этом случае, даже если злоумышленник раздобудет скан паспорта и подделает доверенность, он не сможет перевыпустить SIM-карту и использовать её для доступа к мобильному банкингу. Также важно уточнить, что будет делать банк в случае перевыпуска SIM -карты. Если пользователь сам меняет номер мобильного телефона, важно сообщить об этом банку, в ином случае есть риск, что владелец SIM-карты сможет получить доступ к банковскому счёту.

Россия остается мировым лидером по атакам банковских вирусов

В 2019 году Россия осталась лидером по атакам банковских вирусов. Об этом свидетельствуют данные «Лаборатории Касперского», обнародованные 16 апреля 2020 года.

Согласно собранной статистике, более 30% пользователей в мире, которые столкнулись с атаками банковских троянов, проживали в России. Второе место по распространению таких вредоносных программ заняла Германия (7% от общего числа). В тройку лидеров попал Китай (чуть более 3%).

В 2019 году Россия осталась лидером по атакам банковских вирусов

В 2019 году около 774 тыс. пользователей продуктов «Лаборатории Касперского» были атакованы банковскими троянами. Более 35% из них пришлось на корпоративный сектор, тогда как в 2018 году показатель измерялся 24,1%.

На финансовый сектор пришлось 44,7% фишинговых атак в мире против 51,4% в 2018 году. Доли фишинговых атак на платежные системы и онлайн-магазины в 2019 году составили 17% и 7,5% соответственно, что примерно соответствует показателям 2018-го. Доля финансового фишинга, с которым сталкиваются владельцы компьютеров Apple, немного уменьшилась и составила 54%.

По данным «Лаборатории Касперского», количество пользователей Android-устройств, атакованных при помощи банковских вирусов, в 2019 году сократилось до 675 тыс. с 1,8 млн годом ранее. Чаще всего таких пользователей атаковали в России, ЮАР и Австралии.

«
Хотя общее число атак на банкиров в 2019 году уменьшилось, растущий интерес к учетным данным корпоративных клиентов указывает на то, что мы пока не видим прекращения финансовых угроз. Поэтому мы просим всех быть осторожными при проведении финансовых операций на компьютеров. В то время как мы находимся на пике тенденции удаленной работы во время пандемии коронавируса, особенно важно не недооценивать желание преступников воровать деньги, — сообщил эксперт по безопасности «Лаборатории Касперского» Олег Купреев.[17]
»

В каждом втором мобильном банке в России мошенники могут красть деньги

В каждом втором мобильном банке мошенники могут красть деньги, говорится в исследовании, проведённом компанией Positive Technologies.

Эксперты изучили 14 популярных российских приложений для операционных систем Android и iOS, которые были загружены более 500 тыс. раз из каталогов Google Play и App Store.

Данные Positive Technologies

По итогам анализа специалисты пришли к выводу, что в 13 из 14 приложений возможен доступ к их персональным данным. 76% уязвимостей в мобильных банках могут быть использованы злоумышленниками без физического доступа к устройству.

При этом каждое второе мобильное банковское приложение имеет недостаток, позволяющий мошенникам красть денежные средства. Для использования ряда уязвимостей в клиентских частях мобильных банков злоумышленнику достаточно установить на устройство жертвы вредоносное ПО, например, в ходе фишинговой атаки.

Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: так, недостатки в первых были не выше среднего уровня риска, в то время как 29% вторых содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями: именно она выступает точкой входа в приложение для хакеров.

Данные Positive Technologies

Также выяснилось, что в шести из семи веб-приложений банков содержатся уязвимости, связанные с недостаточными мерами по аутентификации пользователя. На практике недостатки мобильных приложений используются очень редко. Сегодня большинство мошеннических схем связаны с социальной инженерией, то есть психологическими методами выманивания у граждан необходимых сведений об их счетах.[18]

Всплеск необычных кибератак на банки и энергетику

Эксперты центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» зафиксировали всплеск достаточно редкого типа атак на банки и энергетическую отрасль. Цепочка вредоносной активности включает целых четыре этапа, что позволяет хакерам получить контроль в ИТ-инфраструктуре организации, оставаясь незаметными для средств защиты — антивирусов и даже песочниц. Об этом «Ростелеком-Солар» сообщил 18 февраля 2020 года.

Многокомпонентная атака начинается фишинговой рассылкой офисных документов в адрес сотрудников банков и энергетических компаний якобы от имени других организаций — представителей отрасли. При открытии вложения активируется исполняемый файл, который обращается к популярному хостингу открытого кода pastebin.com. Оттуда запускается участок кода, который в свою очередь отправляет команду о скачивании на атакуемый компьютер картинки с сервиса по обмену изображениями imgur.com. Дело осложняет использование стеганографии: в загруженное изображение встроено вредоносное ПО, позволяющее хакерам собрать и отправить на свои серверы полную информацию о жертве.

Если полученные данные оказываются интересными для злоумышленников, дальнейший сценарий управления зараженной системой может включать в себя, например, загрузку вирусов для кражи ценных документов и коммерческого кибершпионажа (в случае с энергетическими компаниями) или для вывода денежных средств (если речь идет о банках). Кроме того, хакеры могут монетизировать свои действия, продавая сами точки присутствия в инфраструктуре организаций.

По статистике «Ростелеком-Солар», 80% таких атак было направлено на банки. Но в оставшихся 20% случаев, которые пришлись на энергетику, хакеры атаковали более активно — специалистам из этой отрасли было отправлено около 60% от общего числа фишинговых писем, причем их качество также говорит о более тщательной подготовке со стороны злоумышленников.

«
Любопытно, что стилистика вредоносного кода очень похожа на ту, что использует русскоговорящая хакерская группировка Silence, которая до недавнего времени специализировалась исключительно на банках. То есть либо Silence осваивает различные отрасли и способы зарабатывания денег, либо появилась очередная, очень профессиональная группировка, которая удачно имитирует код Silence, сбивая прицелы специалистов по информационной безопасности,
комментирует Игорь Залевский, руководитель центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар»
»

Как отмечают эксперты JSOC CERT, cтоль непростой механизм доставки вредоносного ПО до конечной точки встречается крайне редко и обычно свидетельствует о целенаправленной атаке. Автоматизированные средства защиты — антивирусы и песочницы — не могут детектировать подобные инциденты, так как они рассчитаны на выявление атак из одного – максимум двух этапов. В этих условиях службам безопасности организаций рекомендуется особенно внимательно подойти к вопросу повышения киберграмотности сотрудников.

Повышение киберрисков интернет-банкинга с вязи с окончанием поддержки Windows 7

Центр правительственной связи Великобритании призывает с 14 января 2020 г. не использовать Windows 7 для интернет-банкинга, а также электронную почту с компьютеров на этой ОС. Об этом стало известно 14 января 2020 года. Подробнее здесь.

2019

Зафиксирован 27-кратный рост объема утечек данных в финансовом секторе

В 2019 году более чем в 27 раз увеличился объем утечек персональных данных и платежной информации, скомпрометированных в результате неосторожности или неправомерных действий персонала банков, страховых компаний, иных организаций финансового сегмента, а также в результате активности внешних злоумышленников (хакерские атаки). Подробнее здесь.

В России рынок высокотехнологичных преступлений в финансовой сфере сократился на 85%

29 ноября 2019 года международная компания Group-IB представила глобальный отчет о высокотехнологичных преступлениях Hi-Tech Crime Trends 2019-2020. Сокращение в России ущерба от всех видов киберпреступлений с использованием вредоносных программ, направленных как напрямую на банки, так и их клиентов привело к рекордному падению рынка на 85%. Согласно оценке Group-IB рынок высокотехнологичных преступлений в финансовой отрасли России, сократился до 510 млн рублей за период H2 2018 — H1 2019 против 3,2 млрд рублей в предыдущем периоде. На фоне исхода финансово мотивированных группировок из зоны «РУ», сокращения числа Android-троянов и групп, занимающихся фишингом, в России растет количество преступлений против клиентов банков с использованием социальной инженерии и телефонного мошенничества.

Команда Group-IB Threat Intelligence выделяет 5 групп, которые успешно проводят целевые атаки на банки и представляют реальную угрозу финансовому сектору в мире. Среди них «русскоязычная тройка» — Cobalt, Silence и MoneyTaker, а также северо-корейская Lazarus (Северная Корея) и группа SilentCards из Кении. По-прежнему только Cobalt, Silence и MoneyTaker обладают троянами, которые позволяют управлять диспенсером банкомата и выводить деньги. При этом за исследуемый период через банкоматы атаковали только хакеры Silence, через карточный процессинг - Silence и SilentCards, через SWIFT - Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму 16 млн долл).

Группы, атакующие банки

Только северокорейская APT-группа применяет метод хищения FastCash. Он стал известен в конце 2018 года, хотя впервые был использован в Азии еще в 2016 году. За всеми атаками этого типа стоит группа Lazarus. Silence снизили активность по собственным фишинговым рассылкам и начали приобретать доступ в целевые банки у других хакерских групп, в частности, у ТА505. На ноябрь 2019 года, SilentCards является наименее технически подготовленной среди указанных групп и пока успешно совершает целевые атаки только на банки в Африке.

В отношении российских банков Cobalt и Silence провели по одной успешной атаке за исследуемый период, MoneyTaker – две. Первые две русскоязычные группы переключили свой фокус на иностранные цели, что привело к многократному сокращению ущерба «по РУ». Согласно отчету Group-IB до 93 млн руб, то есть почти в 14 раз сократились потери от целевых атак на банки в России со стороны финансово мотивированных группировок. По сравнению с прошлым периодом, средняя сумма хищения от целевых атак на банки в России упала со 118 до 31 миллиона рублей.

По прогнозам Group-IB «русскоязычная тройка» продолжит географическую экспансию вне «РУ». Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом ИТ-инфраструктуры из строя для сокрытия следов. Предположительно SilentCards пока останется локальной группой, атакующей банки в своем регионе.

Оценивая рынок высокотехнологичных преступлений в России, эксперты Group-IB выделяют несколько сегментов, в каждом из которых фиксируется снижение. По хищениям с помощью троянов для ПК, «родиной» которых всегда была Россия, ущерб сократился на 89% и составил 62 миллиона рублей. Русскоязычные хакеры перестали создавать десктопные трояны. Осталось всего две группы, которые похищают деньги в России с помощью троянов для ПК — Buhtrap2 и RTM. Активность проявляет только последняя.

Оценка рынока высокотехнологичных преступлений в России

Трояны под мобильные Android-устройства исчезают медленнее, но хищения с помощью этого типа вредоносного ПО также на спаде: ущерб в этом сегменте составил 110 млн. рублей, что на 43% ниже аналогичного показателя в прошлом периоде. Количество групп, использующих Android-трояны в России, сократилось с 8 до 5: при этом со сцены ушли «тяжеловесы» — трояны, на счету которых наибольшее количество мошеннических транзакций. Оставшиеся группы отказались от SMS-канала для хищений, его заменил метод перевода card2card, что привело к увеличению среднего размера хищения с 7 до 11 тысяч рублей. В целом, за истекший период 22 трояна вышли из употребления, им на смену были созданы всего 7 других.

Ущерб от финансового фишинга в России упал на 65% до уровня 87 миллионов рублей. На общую цифру повлияло как сокращение количества активных групп, так и уменьшение `среднего чека` атаки. Снижение финансовой выгоды привело к выходу из игры 15 групп, зарабатывавших на фишинговых атаках. Активных осталось 11.

Снижение экономической эффективности от этих типов атак, вынуждает мошенников искать другие способы заработка на данных банковских карт. В итоге мошенничество с использованием приемов социальной инженерии вышло на первое место по степени распространения угрозы в России. Прежде всего, речь идет о телефонном мошенничестве — вишинге, который начиная с конца 2018 года буквально захлестнул банковский рынок. Поведенческий анализ пользовательских сессий для выявления подозрительной активности в системах ДБО по-прежнему является прерогативой крупных банков. Именно поэтому в России именно этот вид атак на клиентов банков сохранит высокую динамику.

Объем рынка кардинга за исследуемый период вырос на 33% и составил более 56 млрд. руб. (879 680 072$). Количество скомпрометированных карт, выложенных на андеграундные форумы, возросло 38% с 27,1 до 43,8 млн. относительно прошлого периода. Дампы (содержимое магнитных полос карт) составляют 80% рынка кардинга. За исследуемый период было обнаружено 31,2 млн дампов в продаже, что на 46% выше, чем в 2018 году. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%. Средняя цена на текстовые данные поднялась с 9 до 14$, при этом снизилась средняя цена дампа — с 33$ до 22$.

Наиболее низкая цена выставляется, как правило, на скомпрометированные данные американских банков, они, в среднем, идут по 8-10$ за свежие текстовые данные карты и 16-24$ за дампы. Традиционно высокий прайс на карты европейский банков: 18-21$ за текст, 100-120$ за дамп. Российские карты остаются редкостью в крупных кардшопах, большинство из которых не работает «по РУ». Карты российских банков обычно находятся в среднем ценовом диапазоне, при этом с прошлого периода значительно выросла средняя цена за дамп – с 48$ до 71$ (4 500 руб) и немного снизилась цена за текст с 15$ до 12$ (760 руб). При этом максимальная цена за дамп карты российского банка в 2018 году достигала 170$ (10 000 руб), а в 2019 поднялась до отметки 500$ (32 000 руб).

Очередным трендом, работающим на увеличение объема текстовых данных банковских карт в продаже стали JS-снифферы. В этом году эксперты Group-IB выявили минимум 38 разных семейств JS-снифферов, их количество растет и уже превышает число банковских троянов. По масштабам компрометации с помощью JS-снифферов первую позицию занимает США, а вторую — Великобритания. Эта угроза будет актуальна в первую очередь для стран, где не распространена система 3D Secure.

Фишинг – остается «долгоиграющим» методом о получения мошенниками текстовых данных о банковских картах пользователей. Конкуренция в этом сегменте растет: атакующие стали использовать панели для управления веб-инжектами и автозаливом, которые раньше были прерогативой банковских троянов. Разработчики фишинг-китов начали больше внимания уделять самозащите: они используют блокировку подсетей вендоров по безопасности, хостинг компаний, отдают фишинговый контент только с IP-адресов региона, где находятся их жертвы, перенаправляют на легитимные сайты, проверяют аномальные user-agent.

Новый Android-вирус затерроризировал российские банки

В конце ноября 2019 год стало известно об атаке нового вируса на российские банки. Этот троян способен автоматически переводить средства через банковские мобильные приложения для операционной системы Android, сообщили эксперты Group-IB. Подробнее здесь.

Русскоязычные хакеры перестали атаковать банки в РФ и переключились на зарубежные

Русскоязычные хакеры перестали атаковать банки в РФ и переключились на зарубежные кредитные организации. Об этом в конце ноября 2019 года сообщили в компании Group-IB в своём отчете Hi-Tech Crime Trends 2019, составленном по результатам исследования за второе полугодие 2018 года и первую половину 2019-го.

По словам экспертов, до 2018 года русскоязычные хакерские группировки чаще атаковали банки в России и СНГ, но затем этот тренд кардинально изменился. Киберпреступники «часто начинают работать в своем регионе: так было с Cobalt, с Silence в России, а также с SilentCards в Африке».

Русскоязычные хакеры перестали атаковать банки в РФ и переключились на зарубежные кредитные организации
«
Домашние» регионы для них тестовый полигон: отработав техники, они идут дальше. Например, та же «русскоязычная тройка» сфокусировалась на целях в Азии, Африке, Европе и Америке, — сообщил РБК представитель Group-IB.
»

В «Лаборатории Касперского» подтвердили изданию существование такой тенденции и отметили, что хакеры теперь активны в менее защищённых странах в Восточной Европе, СНГ, Азии и т. п.[19]

Специалисты указали на пять группировок, которые, по их мнению, представляют реальную опасность для банков: три из них (Cobalt, Silence, MoneyTaker) причисляют к русскоязычным, еще две группы — северокорейская Lazarus и кенийская SilentCards.

За 12-месячный исследуемый период, завершившийся в июне 2019 года, Cobalt и Silence провели только по одной подтвержденной успешной атаке на российские банки и сконцентрировались на иностранных целях, что и привело к многократному сокращению ущерба от них в российском секторе, говорится в отчете. MoneyTaker атаковал два раза (во втором случае ущерб был предотвращен).

Cobalt ограбила российский банк в сентябре 2018 года, еще одна атака была предпринята в ноябре. Silence в феврале 2019 года удалось украсть у омского ИТ-банка 25 млн рублей, говорится в отчёте.

Актуальные проблемы ИТ-безопасности банков

Цифровая трансформация увеличивает качество, скорость взаимодействия потребителей финансовых услуг и финансовых организаций, но вместе с тем создает дополнительные риски.

Как отмечает Константин Маркелов, руководитель департамента R&D компании ОТР, к ключевым рискам безопасности в кредитно-финансовой сфере относятся:

  • финансовые потери потребителей финансовых услуг, подрывающие доверие к современным финансовым технологиям;
  • финансовые потери отдельных финансовых организаций, способные оказать критическое воздействие на их финансовое положение;
  • нарушение операционной надежности и непрерывности предоставления финансовых услуг, приводящее к репутационному ущербу и нарастанию социальной напряженности;
  • развитие системного кризиса в случае возникновения инцидентов информационной безопасности вследствие кибератак в значимых для финансового рынка организациях.

В России, по данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, объем несанкционированных операций со счетов юридических лиц по итогам 2018 г. составил 1,469 млрд руб. (в 2017 г. – порядка 1,57 млрд руб., в 2016 г. – порядка 1,89 млрд руб., в 2015 г. – порядка 3,7 млрд руб.). «Снижение налицо и это положительный факт», - говорит Константин Маркелов.

На территории России и за ее пределами объем несанкционированных операций с использованием платежных карт, эмитированных российскими кредитными организациями, в 2018 г. составил 1,384 млрд руб. (в 2017 г. – 0,961 млрд руб., в 2016 г. – 1,08 млрд руб., в 2015 г. – 1,14 млрд руб.). «Здесь заметен разнонаправленный тренд, а это плохо», - добавляет эксперт ОТР.

По его мнению, поскольку цифровая трансформация качественно изменяет технологии предоставления финансовых услуг, Банк России на регуляторном уровне (и каждый банк – на уровне внутренних регламентов и политик безопасности) должен сформулировать новые подходы к информационной безопасности и киберустойчивости финансовой системы с учётом следующих факторов:

  • изменение архитектуры информационных систем (в т.ч. использование технологий распределенных реестров);
  • возможность удаленного доступа к финансовым услугам и повсеместного использования мобильных технологий;
  • применение новых перспективных технологий для целей информационной безопасности и киберустойчивости (Big Data, искусственный интеллект, роботизация);
  • «Интернет вещей» как элемент платежного пространства.

Говоря о проблемах ИТ-безопасности банков, отечественные эксперты чаще всего упоминают такие задачи, как необходимость защиты данных, борьба с мошенничеством и противодействие целенаправленным атакам.

Обеспечение безопасности данных

Появляется всё больше систем, где собирается много данных. К тому же данные дорожают. Поэтому всё большее значение приобретает задача обеспечения безопасности работы с ними, но не в ущерб возможности их обрабатывать.

Как отмечает Михаил Комаров, директор направления Informatica в компании DIS Group, раньше для защиты данных значительно ограничивался доступ к ним. Сейчас это невозможно: такое ограничение замедлит развитие бизнеса. Поэтому будет усиливаться контроль за доступом и использованием данных сотрудниками внутри организации. Кроме того, будет расти востребованность решений для интеллектуального обезличивания данных, которые с одной стороны защищают данные, с другой – сохраняют их особенности и возможность обрабатывать их.

«

Важно отметить, что это будут средства как для обезличивания данных в непромышленных средах, так и для обезличивания в реальном времени в продуктивных системах, - говорит Комаров.

»

По мнению Дмитрия Пудова, заместителя генерального директора по технологиям и развитию Angara Technologies Group, актуальность вопросов защиты данных связана с реализацией большого количества проектов, трансформирующих ИТ-ландшафт банка – внедрения систем анализа больших данных, робоэдвайзинга, проектов по персонализации предложений (связанных с ML, social mining).

«

С учетом трансформации используемых подходов в разработке и фокусом на скорость доставки новых систем и продуктов, риски ИБ существенно возрастают. И это, в свою очередь, заставляет банки активно рассматривать методы и решения, которые позволяют найти разумный компромисс между рисками ИБ и скоростью разработки и вывода новых сервисов на рынок. В последнее время мы отмечаем интерес со стороны банков к следующим классам решений: средства контроля привилегированных пользователей, безопасность контейнеризации, безопасность Big Data, анализ и безопасность ПО с открытым исходным кодом, - рассказывает он.

»

Внутренний фрод

Сергей Косецкий, коммерческий директор X-Com, считает, что защита информационных систем крупных банков достаточно высока, в связи с чем фокус угроз от классических кибератак смещается к человеческому фактору. Свидетельство тому – серия громких скандалов последнего времени, связанные с утечкой персональных данных клиентов банков из первой десятки.

Рустем Маннанов, эксперт компании «ICL Системные технологии», добавляет, что для защиты от недобросовестного сотрудника, стоит применять системы класса User Behavior Analytics. Они позволяют на ранних стадиях обнаружить и предотвратить инциденты. В этих решениях используются такие подходы, как сценарии, основанные на правилах, предиктивные технологии, машинное обучение и детектирование аномалий.

Илья Полесский, директор по развитию бизнеса DTG (направление в группе компаний «Ланит»), считает наиболее острой проблемой для банков внутреннюю безопасность и взаимодействие с партнерами, раскрывающими данные об основном бизнесе. По его словам, защита информации теперь связана не только со множеством продуктов, недоступных ранее, но и с обилием систем, интегрированных в банковскую деятельность.

«

Пресловутый человеческий фактор — то, с чем приходится сталкиваться на всех уровнях взаимодействия финансового института, - отмечает он.

»

Внешний фрод

С разрешением на использование биометрии граждан для идентификации и удаленного оказания банковских услуг появились и новые виды мошенничества. Например, злоумышленники пытаются завладеть «голосовым профилем» клиентов через запись фраз и команд, чтобы пройти идентификацию и получить доступ к операциям со средствами. Двухфакторная аутентификация с использованием телефона также дает мошенникам поле для деятельности — SIM-карта или гаджет клиента банка дадут возможность завладеть и его счетами.

Среди основных угроз также можно выделить мошенничество с использованием социальной инженерии. Учащаются и случаи мошенничества - как телефонного, так и с использованием фишинга. Это попытки незаконного получения у клиентов банков информации, касающейся их пластиковых карт.

«

Для решения описанных проблем требуется внедрение самых разных решений, начиная от маскирования данных, заканчивая разнообразными организационными мерами, - отмечает Максим Тикуркин, генеральный директор компании «Системный софт».

»

По мнению Марии Бар-Бирюковой, заместителя генерального директора ГК «Корус Консалтинг», для борьбы с этими угрозами нужно соблюдать баланс безопасности и удобства – использовать автоматические средства мониторинга, ситуационные центры, вести проактивную работу с пользователями и клиентами.

Противодействие целенаправленным атакам

На протяжении последних нескольких лет наиболее актуальной проблемой остаются вопросы противодействия целенаправленным атакам. В случае успешной атаки потери могут измеряться десятками и даже сотнями миллионов рублей, поэтому банки активно инвестируют в современные средства детектирования атак на ранних стадиях.

«

Практически все решения ведут к росту операционных затрат на информационную безопасность, так как средства детектирования признаков кибератак требуют последующего оперативного анализа специалистами. Этим также обусловлен повышенный интерес и инвестиции банков в создание и развитие центров кибербезопасности Security Operations Center (SOC), которые являются ответом на возрастающие требования банков к операционной эффективности подразделений ИБ, - рассказывает Дмитрий Пудов, заместитель генерального директора по технологиям и развитию Angara Technologies Group.

»

По словам Петра Филатова, коммерческого директора компании Oberon, принцип выбора банка-«жертвы» прост: чем больше бизнес, тем больше внимания и серьезнее потенциальные потери, которые могут обойтись дороже. Например, утечки данных пользователей будут стоить крупному банку в разы дороже и в деньгах, и репутационно: согласно информации Сбербанка, потери от кибератак в нашей стране — порядка 650 млрд руб. ежегодно, при этом количество инцидентов продолжает увеличиваться.

Проверки ЦБ РФ показывают, что ни один банк в России не выполняет в полном объеме его требования в сфере информационной безопасности. В 2018 году Центробанк опубликовал стандарт, который нормирует взаимодействие банков с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. Как показывают исследования, лишь 25% банков в России используют цифровые инновации вместе с инструментами кибербезопасности. 44% банков ограничивается инфраструктурными средствами защиты.

«

Участие в таких инициативах, как системы быстрых платежей и «цифровой профиль гражданина», а также создание партнерских экосистем на основе OpenAPI, требуют от банков новых подходов к обеспечению кибербезопасности. Ожидается, что в ближайшие годы для улучшения мер обеспечения информационной безопасности будут использоваться шифрование, блокчейн, машинное обучение и аналитика. В результате, более 50% предупреждений о безопасности будут обрабатываться автоматически и в реальном времени на базе искусственного интеллекта. Если заглянуть немного в будущее, то для обеспечения кибербезопасности будут использоваться поведенческая биометрия и технологии квантового шифрования информации, - говорит Александр Рожков, директор по продажам управления сервисов ГК Softline.

»

В Bell Integrator полагают, что пока вся борьба с кибер-преступлениями сконцентрирована на самих атаках, она так и будет носить более или менее паритетный характер: всё более продвинутые системы безопасности против всё более продвинутых средств взлома и хищения.

«

Перелом, вероятно, наступит тогда, когда внимание обороняющейся стороны, наконец, переключится с самих атак на устранение их последствий. Мы имеем в виду возможность отката любых мошеннических транзакций, что фактически поставит под сомнение сами атаки. Ведь если похищенные вами средства могут быть изъяты назад столь же легко, как они попали в ваш карман, то смысл самой операции хищения становится сомнительным. Это произойдёт не завтра и даже, пожалуй, не в ближайшие десять лет, но технология блокчейн создаёт для этого очевидные предпосылки, так что рано или поздно это обязательно случится, - отмечает директор по стратегическому развитию бизнеса Bell Integrator Андрей Эзрохи.

»

Positive Technologies: Техники APT-группировок при атаках на кредитно-финансовые организации

10 октября 2019 года компания Positive Technologies сообщила, что её эксперты проанализировали тактики и техники десяти APT-группировок, атаковавших финансовые компании за последние два года[20], и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные. Подробнее здесь.

Банковский ботнет Geost инфицировал 800 тыс. Android-устройств в РФ

3 октября 2019 года стало известно, что исследователи из Чешского технического университета, Национального университета Куйо (Аргентина) и компании Avast обнаружили один из банковских ботнетов, получивший название Geost. Жертвами вредоносной кампании стали по меньшей мере 800 тыс. владельцев Android-устройств в РФ, в частности злоумышленники получили доступ к их банковским счетам, на которых в общей сложности хранилось несколько миллионов евро. Подробнее здесь.

ЦБ: резко растёт число мошеннических звонков с подменой номеров банков

27 сентября 2019 года стало известно об участившихся в России мошеннических звонков с подменой номера банка. По данным ЦБ, только в июне-августе мошенникам удалось подменить около 200 банковских номеров.

Как пишет «Коммерсантъ», летом 2019 года Центробанк направил операторам связи информацию о более чем 2,5 тысячи номеров, с которых поступали звонки российским клиентам. По требованию финансового регулятора операторы в 218 случаях блокировали номер, в 59 — вводили ограничения на использование финансовых сервисов, и в 198 — обнаруживали подмену номера банка. Однако более чем в двух тысячах случаев никаких мер не принимали из-за отсутствия правовых оснований.

Мошенники стали чаще звонить россиянам с подменой номеров банков

Доля звонков с подменой номера банка к середине лета достигла 35% от общего числа мошеннических звонков, сообщил замдиректора департамента информационной безопасности банка «Открытие» |Илья Сулоев. Росбанк столкнулся с волной звонков от мошенников в начале июля. Альфа-банк тоже фиксировал подмену номера.

Новый всплеск мошеннических звонков был зафиксирован в сентябре 2019 года, рассказал изданию первый замглавы департамента информационной безопасности Банка России Артем Сычев. По его словам, для реализации технических мер защиты потребуются и законодательные поправки.

Многие из поступивших летом обращений ЦБ были «технически некорректны», объяснил изданию представитель «ВымпелКома». По его словам, иногда в списках предоставленных для блокировки номеров были указаны те, которые банки используют для исходящих звонков клиентам. Блокировка таких номеров привела бы к тому, что банки не смогли бы дозвониться клиентам, отметил оператор.

Статистика ЦБ отражает только малую часть проблемы, заявил изданию коммерческий директор «МегаФона» Влад Вольфсон.[21]

Trend Micro: безопасность в банковской сфере в условиях PSD2

24 сентября 2019 года компания Trend Micro представила исследование о состоянии банковской безопасности в рамках платёжной директивы Европарламента и Еврокомиссии, PSD2. В исследовании The Risks of Open Banking — Are Banks and their Customers Ready for PSD2? рассказывается о рисках, с которыми придётся столкнуться финансовым структурам, и о возможных методах киберпреступников, желающих воспользоваться уязвимостями системы Open Banking.

Обновлённая версия платёжной директивы Европейского cоюза PSD2, которую также называют Open Banking, вступила в действие 14 сентября 2019 года. Целью PSD2 стало предоставление пользователям услуг банков дополнительных возможностей и большего контроля над своими банковскими данными. Также директива даёт сторонним компаниям, которые специализируются на финансовых технологиях и предоставляют свои услуги банкам и клиентам, равнозначный с банками доступ к данным пользователей для их анализа и предоставления финансовых рекомендаций.

В PSD2, которая заменит утверждённую в 2007 году первую версию директивы, более чётко описываются конкретные процедуры защиты данных, права и обязанности провайдеров услуг и пользователей, а целью обновленной директивы является стимуляция инноваций и конкуренции в финансовой сфере. И хотя она разработана в первую очередь для государств-членов ЕС, действие и последствия принятия PSD2 распространятся далеко за рамки Европейского союза. Директива считается важным шагом для всей отрасли, так как она отбирает полный контроль над клиентскими данными у банков и даёт пользователям право делиться этой информацией с другими поставщиками финансовых услуг.

Для соблюдения требований PSD2 в сфере безопасности банки открывают свои API финтех-компаниям (когда в этих компаниях создаётся необходимая инфраструктура для обеспечения безопасности данных и клиенты дают согласие на передачу этих данных). Но существует ряд опасений касательно реальной готовности банковской сферы и финтех-компаний к работе в условиях PSD2.

Клиенты, которые решили использовать приложения системы Open Banking для хранения своих финансовых данных и управления ими, вступают в абсолютно новые доверительные отношения: ранее они раскрывали эту информацию учреждениям с многолетней историей и устоявшейся репутацией, а теперь данные будут передаваться намного менее известным сторонним поставщикам услуг, у которых нет такого опыта борьбы с мошенничеством. При этом системы защиты банков станут получать меньше данных для обучения и выявления случаев мошенничества в режиме реального времени, так как финансовая информация их клиентов начнёт «распыляться» по нескольким организациям.

Несмотря на то, что клиенты будут лучше осведомлены о фишинге и методах, которые используются киберпреступниками для получения их данных, у злоумышленников появятся новые возможности для обмана — например, преступники могут назвать себя представителями финтех-компаний, работающих с банками. Также принятие директивы наверняка приведёт к появлению новых фишинговых схем.

Банки уже не раз были замечены в раскрытии персональных данных их клиентов, которые содержались в открытом виде в URL их систем и API. В то же время некоторые финтех-компании используют явно недостаточные меры безопасности и рискованные методы сбора данных, например, screen scraping (сбор и анализ экранных данных). Поэтому очень возможно, что киберпреступники смогут найти уязвимые приложения и функции, которыми постараются воспользоваться сразу после запуска системы.

Для злоумышленников информация о банковских транзакциях крайне ценна — она помогает выявить поведенческие паттерны пользователей, их привычки, расписание и финансовый статус. Поэтому за доступ к таким данным будут готовы платить рекламные агентства, которые занимаются рассылкой спама и рекламы сомнительного содержания, а также некоторые государственные учреждения, связанные, например, с безопасностью или разведкой.

За год работы платформа обмена данными о киберугрозах помогла банкам предотвратить ущерб в 8 млрд рублей

29 августа 2019 года компания BI.ZONE совместно с Ассоциацией банков России сообщили о подведении итогов первого года работы платформы обмена данными о киберугрозах, участниками которой уже стали порядка 70 финансовых организаций. За год работы платформа помогла банкам предотвратить ущерб в 8 млрд рублей. Подробнее здесь.

Банковский троян Amavaldo использует снимки экрана для хищения информации

8 августа 2019 года международная антивирусная компания ESET сообщила, что изучила ряд банковских троянов, которые атакуют пользователей Латинской Америки. Подробнее здесь.

Check Point: Число атак на мобильный банкинг в первом полугодии возросло в 2 раза

1 августа 2019 года компания Check Point Software Technologies выпустила отчет Cyber Attack Trends: 2019 Mid-Year Report. Хакеры продолжают разрабатывать новые наборы инструментов и методы, нацеленные на корпоративные данные, которые хранятся в облачной инфраструктуре; личные мобильные устройства; различные приложения и даже популярные почтовые платформы. Исследователи отмечают, что ни один из секторов полностью не защищен от кибератак. Подробнее здесь.

Немецкие банки отказываются от поддержки авторизации по одноразовому SMS-коду

Несколько немецких банков объявили в июле 2019 года о планах отказаться от использования одноразовых SMS-паролей в качестве метода авторизации и подтверждения транзакции. Причиной отказа от одноразовых SMS-паролей является новое законодательство ЕС, которое вступит в полную силу 14 сентября 2019 года[22].

Handelsblatt сообщает, что Postbank откажется от поддержки одноразовых SMS-паролей в августе, Raiffeisen Bank и Сбербанк Европа (ранее Volksbank AG) осенью, а Consorsbank сделает это к концу 2019 года. Deutsche Bank и Commerzbank также планируют отказаться от поддержки, но пока не объявили сроки. Другие банки, такие как DKB и N26, никогда не использовали данную технологию, а ING пока не делал публичных заявлений о своих планах.

В 2015 году ЕС пересмотрела первую директиву 2007 года о платежных сервисах (набор правил, регулирующий online-платежи в ЕС) и выпустила обновленную версию PSD 2, требующую реализацию надежных механизмов аутентификации клиентов.

За последние несколько лет возросло количество атак с использованием метода «SIM swapping», благодаря которому мошенник может обмануть оператора связи и перенести номер телефон пользователя на другую SIM-карту, получив доступ к online-счетам пользователя в банках и на криптовалютных биржах.

Специалисты кибербезопасности уже несколько лет предостерегают от использования одноразовых SMS-паролей, но не из-за атак методом «SIM swapping». Проблема заключается в присущих и не поддающихся исправлению недостатках протокола ОКС-7 (SS7), которая используется для настройки большинства телефонных станций по всему миру. Уязвимости в этом протоколе позволяют злоумышленникам незаметно похитить номер телефона пользователя, даже без ведома провайдера, позволяя отслеживать его владельца, а также авторизовать online-платежи или запросы на вход в систему.

Эксперты по кибербезопасности рекомендуют использовать приложения-аутентификаторы или аппаратные токены вместо аутентификации на основе SMS.

97% крупных банков уязвимы к кибератакам

10 июля 2019 года стало известно, что только три банка из ста получили высшую оценку в том, что касается обеспечения безопасности своих сайтов и реализации SSL-шифрования.

Подавляющее большинство крупных финансовых организаций из рейтинга S&P Global уязвимы к хакерским атакам. К такому выводу пришли специалисты швейцарской компании ImmuniWeb по итогам масштабного исследования , в ходе которого были изучены 100 сайтов, принадлежащих крупным банкам, 2 336 поддоменов, 102 приложения интернет-банкинга, 55 мобильных банковских приложений и 298 API мобильных банковских приложений.

Специалисты проводили анализ по ряду критериев, включая меры по обеспечению безопасности, соответствие требованиям Общего регламента по защите данных ЕС (GDPR), соответствие стандартам (PCI DSS), использование устаревшего и уязвимого программного обеспечения, реализацию шифрования SSL/TLS и пр.

На сайтах 31% банков были обнаружены уязвимости или некорректная конфигурация, а 5% сайтов содержали эксплуатируемые известные уязвимости, а на 13% ресурсов отсутствовало шифрование или имелись эксплуатируемые уязвимости. При этом только на 4% сайтов не было обнаружено никаких проблем.

По данным специалистов, 40% приложений для интернет-банкинга подвержены уязвимостям или содержат проблемы, связанные с некорректной конфигурацией, 7% содержали известные уязвимости, а в 2% приложений отсутствовало шифрование. Безопасными оказались только 15% из общего числа изученных приложений.

Что касается соответствия стандартам PCI DSS, хорошие результаты показали 62% сайтов и 58% приложений интернет-банкинга, а 38% сайтов и 49% приложений - не прошли проверку. В категории соответствия нормам GDPR ситуация значительно хуже – требования регламента соблюдают только 39% сайтов и 17% приложений интернет-банкинга.

Исследование также показало, что 29% сайтов содержат по меньшей мере одну известную и неисправленную уязвимость средней или высокой степени опасности. В числе наиболее распространенных уязвимостей оказались XSS-уязвимости, а также проблемы, связанные с риском раскрытия данных и некорректными настройками.

55% изученных мобильных банковских приложений содержали уязвимости, раскрывающие конфиденциальные банковские данные, 100% решений – как минимум одну незначительную уязвимость, 92% - по меньшей мере одну уязвимость средней опасности, а 20% приложений были подвержены хотя бы одной серьезной уязвимости[23].

Житель Красноярского края похищал средства с чужих счетов с помощью вредоносного ПО

В мае 2019 года стало известно о том, что сотрудники отдела «К» МВД по Чувашской Республике установили личность киберпреступника, похищавшего деньги с чужих банковских счетов с помощью вредоносной программы. Подозреваемым оказался 31-летний житель Красноярского края, ранее уже привлекавшийся к уголовной ответственности.

Как сообщает[24] в мае 2019 года пресс-служба МВД по Чувашской Республике, весной прошлого года в отделы полиции городов Чебоксары, Новочебоксарск и Канаш одновременно поступили три заявления от граждан о краже средств. Неизвестный перевел деньги с их счетов, но никаких SMS-сообщений о проведенных транзакциях жертвы не получали и узнали о случившемся, только войдя в мобильное приложение. У двоих граждан злоумышленник похитил по 10 тыс. руб., а жительница Канаша лишилась 47 тыс. руб.

Специалисты отдела «К» изучили мобильные устройства потерпевших и обнаружили на них вредоносное ПО, блокирующее сообщения от банка. Вредонос попал на телефоны вместе с популярными мессенджерами, скачанными с неофициальных сайтов.

В отношении жителя Красноярского края возбуждено уголовное дело по ч. 2 ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». По данным МВД, ранее он уже привлекался к уголовной ответственности по ст. 138.1 УК РФ «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации».

В настоящее время подозреваемый находится под подпиской о невыезде. Причиненный ущерб потерпевшим был полностью возмещен.

Карта TAdviser: Поставщики технологий информационной безопасности для банков

В апреле 2019 года аналитический центр TAdviser выпустил карту «Информационные технологии в банке», на которой отразил структуру ключевых процессов банковского бизнеса и отметил ИТ-компании, разрабатывающие продукты и оказывающие услуги для цифровизации этих процессов. Карта охватила 270 игроков рынка – 230 поставщиков ИТ-продуктов, применяемых для цифровизации основных процессов банковской деятельности, и 40 разработчиков решений для обеспечения информационной безопасности (подробнее).

Карта "Информационные технологии в банке" (кликните, чтобы увеличить)

Positive Technologies: Угрозе несанкционированного доступа к банковской тайне подвержены все онлайн-банки

5 апреля 2019 года компания Positive Technologies сообщила, что её эксперты оценили уровень защищенности онлайн-банков в 2018 году и выяснили, что 54% из обследованных систем позволяют злоумышленникам похитить денежные средства, а угрозе несанкционированного доступа к личным данным и банковской тайне подвержены все онлайн-банки. По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.

Среднее число уязвимостей в одном онлайн-банке

Угроза несанкционированного доступа к информации клиентов и банковской тайне, например к выпискам по счету или платежным поручениям других пользователей, оказалась актуальной для каждого исследованного онлайн-банка, а в отдельных случаях уязвимости позволяли развивать атаку на ресурсы корпоративной сети банка. Исследования Positive Technologies показывают, что данные входят в ТОП наиболее популярных для продажи в дарквебе продуктов. При этом непосредственно на долю учетных данных и данных банковских карт приходится более 80% в общем объеме продающихся данных. Средняя стоимость данных одного пользователя онлайн-банка составляет 22 долл. США.

Возможные последствия атак на онлайн-банки (доля приложений)

В ходе анализа в 77% обследованных онлайн-банков были обнаружены недостатки реализации механизмов двухфакторной аутентификации. По словам аналитика Positive Technologies Яны Авезовой, в некоторых онлайн-банках одноразовые пароли для критически важных действий (например, для аутентификации) не применяются или имеют слишком большой срок действия. Эксперты связывают это с тем, что банки стремятся найти баланс между безопасностью и удобством использования.

Уровень защищенности онлайн-банков (доля систем)
«
Отказ даже от части мер безопасности в пользу удобства повышает риск совершения мошеннических операций. Если нет необходимости подтверждать операцию с помощью одноразового пароля, злоумышленнику больше не требуется доступ к мобильному телефону жертвы, а слишком большой срок действия пароля повышает шанс его успешного подбора, поскольку при отсутствии ограничений на подбор одноразовый пароль из четырех символов можно подобрать за считаные минуты, — отметил руководитель группы исследования безопасности банковских систем Positive Technologies Ярослав Бабин.

»

Сравнительный анализ показал, что изученные готовые решения, предлагаемые вендорами, содержат в три раза меньше уязвимостей, чем системы, разработанные банками самостоятельно. А вот количество уязвимостей в продуктивных и тестовых системах сравнялось: согласно статистике, в 2018 году оба эти типа систем в большинстве случаев содержат как минимум одну критически опасную уязвимость. Эксперты связывают это с тем, что разработчики, единожды протестировав систему на безопасность, склонны откладывать повторный анализ защищенности после внесения изменений в программный код, что неминуемо приводит к накоплению уязвимостей, и со временем их число становится сопоставимо с тем, которое было обнаружено при первичной проверке.

Главной позитивной тенденцией в безопасности финансовых онлайн-приложений в 2018 году стало сокращение доли уязвимостей высокого уровня риска в общем числе всех выявленных недостатков. По данным специалистов Positive Technologies, доля критически опасных уязвимостей снизилась вдвое по сравнению с 2017 годом. Однако в целом уровень защищенности онлайн-банков остается низким.

Доли уязвимостей различного уровня риска

2018

75% банков уязвимы для атак методами социальной инженерии

5 июля 2019 года компания Positive Technologies представила сводные данные по основным типам компьютерных атак в кредитно-финансовой сфере за 2018 год. Документ подготовлен специалистами ФинЦЕРТ Банка России совместно с ведущими российскими компаниями в области расследования инцидентов информационной безопасности.

Оценивая защищенность отрасли, эксперты Positive Technologies отметили, что три четверти банков уязвимы для атак методами социальной инженерии. В 75% банков сотрудники переходят по ссылкам, указываемых в фишинговых письмах, в 25% — вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок.

Далека от совершенства и безопасность внутренней сети банков. Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление ПО (67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение доступ к управлению банкоматами из внутренней сети удалось получить в 25% банков.

Низким остается уровень защищенности мобильных приложений: уязвимости высокого уровня риска обнаружены в 38% приложений для iOS и в 43% приложений для платформ под управлением Android. В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей.

Эксперты Positive Technologies подчеркивают оперативность APT-группировок, которые быстро применяют появившиеся возможности в своей деятельности. Так, группа Cobalt провела вредоносную рассылку через 34 часа с момента публикации информации об уязвимости нулевого дня CVE-2018-15982. Всего эта группировка за 2018 год выполнила 61 рассылку по кредитно-финансовым организациям в России и странах СНГ.

Другая APT-группа — RTM, на счету которой 59 рассылок в 2018 году, — использовала в качестве одного из центров управления домены в защищенной от цензуры децентрализованной зоне .bit. Однако особенности архитектуры блокчейна сыграли против злоумышленников. Специалисты PT Expert Security Center разработали алгоритм отслеживания регистрации доменов группировки RTM (или смены их IP-адресов), что позволяет уведомлять банки о появившихся управляющих серверах через несколько минут после начала их использования злоумышленниками (а иногда и до вредоносной рассылки).

Несмотря на общий рост числа атак в 2018 году, финансовый ущерб значительно снизился по сравнению с предыдущим годом. Этому во многом способствует информационный обмен внутри отрасли, в частности запуск автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ. Согласно данным ФинЦЕРТ, ущерб российских организаций кредитно-финансовой сферы от атак группы Cobalt в 2018 году составил не менее 44 млн рублей, а от атак группы Silence — не менее 14,4 млн рублей. Всего за год ФинЦЕРТ получил сведения о 590 атаках на кредитно-финансовые организации, в том числе о 177 целевых атаках.

«
Несмотря на то, что система информационного обмена ФинЦЕРТ позволила снизить суммы потерь банков, опасность целевых атак по-прежнему высока. APT-группировки постоянно совершенствуют техники атак, улучшают качество рассылок, следят за публикацией уязвимостей, приобретают уязвимости нулевого дня и вводят их в свой арсенал за считаные часы. Кредитно-финансовым организациям нельзя больше ставить во главу угла традиционное возведение защитных барьеров. Ситуация изменилась: преступники научились обходить антивирусы, песочницы, системы IDS. Банкам следует исходить из того, что гипотетический злоумышленник уже находится внутри их периметра; главная задача — максимально сократить время его присутствия в ИТ-инфраструктуре и лишить его возможности действовать,
отметил Борис Симис
»

Qrator Labs: Более 55% банков отметили увеличение своего ИБ-бюджета с 2016 года

5 марта 2019 года компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила результаты исследования информационной безопасности в финансовом секторе в 2018 году. Опрос был организован среди банков и платежных систем, работающих в России. В выборку включены банки из рейтинга ТОП 200 по размеру активов.

В Qrator Labs отметили, что количество кибератак в банковской сфере продолжает расти как глобально, так и в России, при этом сами атаки становятся технически все более сложными. Крупнейшие игроки отрасли констатируют рост количества попыток инцидентов в 1,5-2 раза относительно показателей за аналогичный период 2017 года. Осознание масштаба проблемы и рисков стимулирует увеличение инвестиций большинства банков в системы безопасности.

55,3% респондентов, участвующих в исследовании на протяжении двух лет, отметили увеличение своего ИБ-бюджета с 2016 года. Также 35,3% респондентов увеличивали свой бюджет в 2017 году, и 10,6% респондентов адаптировали свой ИБ-бюджет к растущим угрозам непрерывно на протяжении двух лет (2016-2018).

Более половины опрошенных отмечают в числе наиболее существенных последствий от ИБ-инцидентов финансовые издержки, еще около половины – репутационные. Повышение риска отзыва лицензии фиксируют треть респондентов (годом ранее - около четверти).

Обращает на себя внимание реакция финансовых организаций на европейское регулирование о защите данных. Около четверти опрошенных банков отмечают, что на 2018 год уже привели свои системы в соответствие с требованиями GDPR (General Data Protection Regulation), и еще около трети планируют реализовать эту задачу в ближайший год.

«
«Учитывая, что требование GDPR предъявляется не российским законодательством, то есть не подразумевает введение санкций и отзыв лицензии ЦБ, тот факт, что уже четверть банковских систем соответствует нормам европейского регулирования, говорит о высокой приоритизации банками работы с клиентами с европейскими паспортами. Самое главное – мы видим, что банки продолжают всерьез относиться к законодательно предписанной безопасности в любом ее виде».
»

Стимулирует к замене ранее внедренных средств ИБ их недостаточный на фоне растущих угроз уровень защиты, что подтверждают пентесты либо уже зафиксированные инциденты (62% опрошенных, 53% - годом ранее). 31% видят такую необходимость в ситуации перехода на другие инфраструктуры (облака и пр.), где используемые решения перестают быть эффективными (более четверти – годом ранее).

При подходе к выбору решения WAF (web application firewall) 68% респондентов ориентируются на решение реально возникающих технологических задач: от защиты от атак «нулевого дня» до контроля безопасности часто обновляемого кода. В то же время для трети респондентов ключевой фактор — формальное соответствие требованиям стандарта PCI DSS.

Более половины респондентов из финансового сектора отмечают, что за 2018 год уровень угроз DDoS вырос (аналогичный результат фиксировался и годом ранее). По оценке еще около четверти опрошенных, количество атак оставалось за тот же период неизменным (более трети – годом ранее).

Более половины респондентов также указывают, что сталкивались с DDoS-атаками за последний год (в прошлом году таковых было 26%). Помимо DDoS, наиболее часто опрошенные компании из финансового сектора сталкиваются по-прежнему с фишингом (46%). Более трети утверждают, что избегали инцидентов ИБ за последний год.

«
«Среди причин, которые могли спровоцировать подобный рост, можно назвать резкое падение курсов всех криптовалют. DDoS-атаки остаются одним из простейших методов монетизации вредоносного ПО, будь то зараженные серверы или ботнеты, основанные на персональных компьютерах и телефонах. В 2017 году у злоумышленников была возможность с определенной выгодой для себя использовать ботнеты и взломанные серверы для майнинга криптовалют. Как известно, основные затраты от майнинга – это электроэнергия, и если доступ к компьютеру получен нелегитимным образом, то за энергию злоумышленнику платить не приходится, и криптовалюту он получает «из воздуха» вне зависимости от ее объемов. В 2018 году не только в связи с падением обменных курсов, но и категорической нестабильностью курса криптовалют для злоумышленников определенную привлекательность вновь обрели «старые добрые» способы зарабатывания на ботнетах: проведение атак с целью вымогательства».

Артем Гавриченков, технический директор Qrator Labs
»

Большинство респондентов (65%) считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети).

Как отметили в Qrator Labs, рост количества банков, привлекающих внешние решения для защиты от атак, также во многом связан с повышенным уровнем угроз за 2018 год и ростом числа высокоскоростных DDoS-атак с использованием техники амплификации на основе memcache, LDAP-амплификации, атак с использованием протокола CoAP (Constrained Application Protocol) и пр.

Group-IB: более 70% банков не готовы противостоять кибератакам

19 февраля 2019 года Group-IB, международная компания, специализирующейся на предотвращении кибератак, проанализировала высокотехнологичные преступления 2018 года, к реагированию на которые привлекались ее эксперты-киберкриминалисты. По данным исследования, основная масса хакерских атак традиционно пришлась на финансовый сектор, при этом 74% банков оказались не готовы к кибератакам, у 29% были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом. Среди опасных тенденций 2018 года — трансграничные атаки, запускающие «цепную реакцию», что приводит ко множественным заражениям финансовых организаций. В 2018 году команда реагирования Group-IB фиксировала использование данного вектора как в России, так и в Восточной Европе.

Общее количество реагирований (Incident Response) Лаборатории компьютерной криминалистики Group-IB выросло более чем в 2 раза относительно 2017 года. Основные угрозы, с которыми сталкивались пострадавшие компании, возглавляют целевые атаки, конкурентный шпионаж, атаки с помощью вирусов-шифровальщиков, криптомайнинг. Главный вывод экспертов-криминалистов Group-IB – подавляющее большинство российских компаний, ставших жертвами хакерских атак в 2018 году, не имели плана реагирования на киберинцидент, не были готовы в сжатые сроки мобилизовать работу профильных подразделений и не способны организационно и технически противостоять действиям атакующих. Эксперты Group-IB обращают внимание на высокую вероятность повторных инцидентов в таких компаниях.

Группа риска: банки не готовы отразить кибератаку

По данным исследования Group-IB, на банки пришлось порядка 70% хакерской активности в 2018 году. Схемы для обналичивания денежных средств хакерами остались прежними: через заранее открытые «под обнал» банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и SIM-карты. При этом скорость обналичивания в России выросла в несколько раз: если 3 года назад вывод суммы в 200 млн руб., в среднем, занимал около 25-30 часов, то в 2018-м году компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России.

Анализируя данные, полученные в рамках реагирований на киберинциденты, эксперты пришли к выводу, что 74% атакованных в 2018 году банков не были готовы к хакерским атакам: более 60% не способны централизованно управлять свой сетью, особенно, в территориально распределенной инфраструктуре, около 80% не имеют достаточной глубины журналирования событий протяженностью более месяца, более 65% тратили на согласование работ между подразделениями более 4 часов. При этом среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента составляло 12 часов.

Цепная реакция

Исследование Group-IB выявляет не только несогласованность в работе внутренних подразделений и слабую проработку организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, но и недостаточную техническую подготовку персонала банков. По данным компании, профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Столько же не имеют четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения. Высокие риски несет неготовность технических специалистов к оперативной реакции на инцидент: более 60% пострадавших банков не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.

«
Банк, чья инфраструктура оказалась взломанной, может не просто потерять денежные средства, но и стать угрозой для других игроков финансового рынка. Атакуя цель, финансово мотивированная хакерская группа стремится извлечь максимальную выгоду: получая контроль над системами банка, она заинтересована не только в выводе денег из него, но и в заражении максимального количества жертв. Для этой цели запускается «принцип домино» — вредоносная рассылка из скомпрометированной инфраструктуры идет по спискам компаний-партнеров банка. Такой вектор опасен, прежде всего тем, что письма отправляются из реального банка, то есть отправитель не подделан, что повышает вероятность их открытия в банке-партнере. Таким образом запускается цепная реакция, которая может привести ко множественным заражениям финансовых организаций. В 2018 году мы зафиксировали использование данного вектора как в России, так и в Восточной Европе.
Валерий Баулин, глава Лаборатории компьютерной криминалистики компании Group-IB
»

«Двойное дно» кибератаки

По данным Group-IB, не менее 17% компаний, в которых проводилось реагирование, подверглись повторной эксплуатации ранее не устраненных уязвимостей в течение года после последнего заражения. В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций по устранению последствий киберинцидента, а также халатности со стороны персонала банков. Кроме того, в течение 2018 года у 29% организаций финансового сектора экспертами Group-IB были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала. В 52% случаев обнаружены следы совершения атак в прошлом.

В 2018-м году командой реагирования Group-IB зафиксированы случаи, когда киберинцидент приводил к созданию резко негативного фона вокруг банка, что провоцировало информационную атаку, репутационные потери, а в отдельных случаях – уход с рынка.

«
Вокруг банка намеренно или уже по факту создается негативный фон: оценки потенциального ущерба, недопустимо низкий уровень защиты, вероятный отзыв лицензии. Это приводит к оттоку клиентов и партнеров, банк сталкивается с недостаточной капитализацией. Использование кибератаки, как инструмента нанесения урона репутации и вытеснения конкурента с рынка, еще один опасный вектор, который потенциально может получить дальнейшее развитие, так как уровень кибербезопасности небольших банков по-прежнему остается крайне низким.
Валерий Баулин, глава Лаборатории компьютерной криминалистики компании Group-IB
»

Ситуация на рынке информационной безопасности банков в 2018 году

Автоматизация бизнес-процессов в банковской сфере вышла за рамки применения стандартных, привычных для банков решений, как например АБС или ДБО – систем для автоматизации банковских операций или дистанционного обслуживания клиентов. Информационным технологиям доверяют все больше задач по оптимизации нетипичных процессов с применением новых математических моделей и алгоритмов – это и автоматизация управления различными видами рисков, претензионно-исковой работы, решения для борьбы с мошенничествами и т.п.

При реализации стратегии цифровой трансформации высокотехнологичный банк становится гораздо более уязвимым к киберугрозам, считает Дмитрий Лившиц, генеральный директор «Диджитал Дизайн». Поэтому целью автоматизации становится не только сокращение издержек на операционную деятельность за счет ускорения внутренних процессов или предоставление новых сервисов клиентам.

«
На первое место выходит информационная безопасность, и, полагаю, в ближайшие два года это направление будет удерживать первенство среди трендов банковской информатизации, - отмечает он.
»

Максим Болышев, заместитель директора департамента банковского ПО RS-Bank компании R-Style Softlab, говорит, что в настоящее время банковский сектор находится под пристальным вниманием ЦБ в связи с участившимися кибератаками, объектами которых становятся не только клиенты банков, но и сами банки. В связи с этим Банк России разрабатывает требования к кибербезопасности (например, 382-П или 552-П) и настаивает на их выполнении. ЦБ организует участие информационного обмена банков с ФинЦЕРТ для коллективной борьбы с киберугрозами.

Владимир Волков, старший вице-президент компании «Техносерв», считает, что финансовый сектор является законодателем моды в информационной безопасности, ориентиром для всего остального рынка. Банки - это самый лакомый кусок для киберпреступников различной степени подготовки и возможность быстро монетизировать свои навыки и умения.

«
В отношении банковского сектора применяется большое количество регуляторных требований в области информационной безопасности, от традиционных международных PCI DSS и SOX, до выпущенных за последний год новых обязательных требований со стороны ЦБ РФ и Swift в области информационной безопасности. Напомню, что сперва начал свою работу ФинЦЕРТ и только теперь все остальные отрасли начинают подключаться к государственной системе противодействия компьютерным атакам ГОССОПКА. Сбербанк строит, пожалуй, крупнейший корпоративный Security Operations Center (SOC) в мире, - борьба с киберпреступностью ведется ежедневно, так как злоумышленники постоянно находят новые способы атак на банки, - рассказывает Владимир Волков.
»

Еще одним ключевым сегментом для банков является обеспечение так называемой "реальной" безопасности.

«
Понимание банками проблем в защите своих информационных систем, наличие логических дыр – это сохранение не только средств банка, но и его репутации. «Техносерв» может предложить банкам защиту от киберугроз, включая такие технологии как "песочницы", защиту от целевых атак, построение SOC с особым упором на проработку методологии, процессов (например, реагирования на инциденты, управления уязвимостями), - добавляет он.
»

В банках складывается интересная ситуация: с одной стороны, необходимо стремительно выводить на рынок новые онлайн-продукты и постоянно менять ИТ-инфраструктуру, чтобы не отстать от рынка; с другой – обеспечивать высокий уровень безопасности. Главный вызов для ИБ-служб в том, чтобы найти и удержать этот баланс.

«
Распространенное решение данной проблемы – формирование типовых сервисов ИБ, которыми удобно пользоваться ИТ и бизнесу, а также сильное вовлечение в вопросы ИБ этих блоков, - считает Вадим Шустов, заместитель генерального директора компании «Инфосистемы Джет».
»

По его словам, с точки зрения регулирования в области ИБ, в России давление на финсектор одно из самых сильных, но и сам регулятор, очевидно, наиболее продвинутый в этой области.

«
Его требования не пустая формальность – они действительно продиктованы печальными примерами взломанных банков. В результате требования ужесточаются каждый год и их выполнение, особенно для небольших финансово-кредитных организаций, становится все более и более неподъемной задачей, - полагает Шустов.
»

Анатолий Набока, директор по работе с корпоративными заказчиками компании «Системный софт», считает, что наибольший интерес с точки зрения безопасности сейчас представляют EDR-решения — системы обнаружения инцидентов на рабочих местах с возможностью оперативного реагирования на них. В этом сегменте на российском рынке появляются новые интересные игроки: например, сейчас на рынок выходят предиктивные ИБ-системы Carbon Black, объединяющие в себе функциональность EDR, антивируса, системы управляемого поиска и сортировки угроз, а также решения для безопасности на уровне дата-центра.

«
Банки заинтересованы в таких инструментах, так как в них применяется проактивный подход: EDR собирают и анализируют большие объемы данных и помогают предотвратить новые, ранее неиспользованные злоумышленниками виды атак. Для финансовой организации это означает уровень киберзащиты, предоставляющий очевидное конкурентное преимущество, - отмечает Анатолий Набока.
»

Россиянам дали крупные сроки за кражу денег из интернет-банков

В Москве закончилось рассмотрение дела о банде киберпреступников, которые взламывали личные кабинеты граждан в банках, после чего выводили оттуда различные суммы денег[25].

Всего речь идет о 30 эпизодах, которые подпадают под несколько статей уголовного кодекса: создание, использование и распространение вредоносных компьютерных программ, неправомерный доступ к компьютерной информации, мошенничество в сфере компьютерной информации. Группа состояла из двух лидеров и четырех их подельников, все они получили разные сроки.

«
«Братья Дмитрий и Евгений Попелыши приговорены к наказанию в виде восьми лет колонии со штрафом 900 тысяч рублей каждый, еще трое получили наказание от четырех с половиной до шести лет колонии со штрафами до 700 тысяч рублей. Отбывать наказание они будут в колонии общего режима. Еще один подсудимый был приговорен к трем годам условно, но амнистирован», - рассказала пресс-секретарь Савеловского суда Мария Михайлова.
»

Проблемы информационной безопасности банков

В российском банковском секторе отмечается рост уровня информационной безопасности. В связи c появлением большого числа киберугроз, организации финансовой сферы переходят от «бумажной» безопасности к реальному эшелонированному подходу, который основан на оценке рисков. Так за 2017 год количество ИБ-инцидентов в финансовой сфере выросло более чем в два раза по сравнению с предыдущим годом. Атаки происходят как на клиентов — физических и юридических лиц, так и на банки и платежные системы.

Низкий уровень культуры ИБ

Высокая доля успешных атак связана в первую очередь с низким уровнем культуры информационной безопасности как среди клиентов, так и среди сотрудников банков.

«
Пренебрежение основным правилам кибергигиены влечет за собой риски, например, социальной инженерии — инструмента кибермошенничества, который также может служить началом масштабной кибератаки, - поясняет Мария Воронова, руководитель направления консалтинга ГК InfoWatch.
»

Решению озвученной проблемы, по её мнению, способствует качественное регулирование вопросов информационной безопасности отрасли — с 1 января 2018 года вступил в силу новый ГОСТ по защите информации финансовых организаций. Стандарт предлагает комплексный подход к планированию, реализации, контролю и совершенствованию процесса защиты информации в финансовых организациях.

Андрей Гридин, руководитель отдела решений информационной безопасности компании «Форс – Центр разработки» (ГК Форс), считает, что необходимо информировать сотрудников о важности безопасности, проводить инструктаж по основам ИБ с приведением примеров из практики, вводить личную ответственность каждого сотрудника, и при необходимости привлекать административные ресурсы.

Аналогичного мнения придерживается и Сергей Шерстобитов, генеральный директор Angara Technologies Group. По его словам, потеря конфиденциальных данных, как правило, связана не с «дырами» в ИТ-системах или несовершенством технических средств защиты, а с человеческим фактором, поэтому особое внимание должно уделяться обучению персонала в области информационной безопасности и повышению осведомленности в ИБ.

Антон Головатый, директор по развитию бизнеса «Ланит-Интеграция», добавляет, что все больше наших данных находится у финансовых организаций. При этом, с ростом количества совместных платформ количество персонализированных данных от банков и их партнеров будет только расти, а информация будет ещё более детализированной. Поэтому вопрос о защите персонализированных данных в будущем будет еще актуальнее, уверен он.

Алексей Трефилов, директор ELMA, говорит об опасности, которая подстерегает клиентов.

«
Удобные банковские сервисы стали для всех привычными. Парадоксально, но удобство и доступность банковских услуг, делают нас более легкомысленными. Если все вокруг постоянно пользуются телефоном для оплаты услуг и получения информации о состоянии счета, то и нам это кажется абсолютно безопасным. Поэтому очень просто потерять бдительность и, например, случайно разрешить какой-нибудь игре в телефоне читать ваши СМС, в том числе и от банка, - поясняет он.
»

Фишинг и DDoS-атаки

По данным исследования Qrator Labs, наиболее часто компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Подробнее здесь.

Слабое взаимодействие специалистов ИБ и ИТ

Как правило, при построении новых или модернизации существующих систем специалисты по ИБ не участвуют в процессе проектирования, а только «согласовывают документацию», и защита информации ограничивается размещением оборудования в защищенном сегменте, обеспечением сетевого доступа и разграничением прав пользователей, а после ввода системы на нее «навешиваются» средства защиты информации. В результате начинаются проблемы с производительностью, рассказывает Андрей Гридин, руководитель отдела решений информационной безопасности компании «Форс – Центр разработки» (ГК Форс).

По его словам, для решения проблемы должны быть четко сформулированы требования к интеграции/взаимодействию с компонентами системы ИБ. Следует проводить регулярный инструктаж специалистов ИТ по применению/реализации этих требований. Также должно быть регламентировано обязательное включение специалиста по ИБ в проектную команду еще на этапе проектирования или модернизации системы.

Защита мобильных рабочих мест

По мнению экспертов, уже недостаточно обеспечить безопасность на уровне мобильного приложения. Когда личное устройство становится полноценным рабочим местом сотрудников, необходим более широкий, но не менее надёжный способ защиты данных.

Дмитрий Лившиц, генеральный директор «Диджитал Дизайн», рассказывает, что для устранения этой проблемы его компания разработала решение, которое позволяет произвольное корпоративное приложение заказчика погружать в защищённую среду, так называемый защищённый контейнер. В нем можно работать с любым приложением на персональном устройстве, не переживая, что информация утечет во вне.

«
Интеграция приложения в «контейнер» реализуется путём «обёртывания» – автоматической подмены используемых в приложении стандартных библиотек работы с файлами, локальной базой данных и сетью на их шифрованные аналоги, - поясняет он.
»

Безопасность мобильных и интернет-банков

Максим Никитин, вице-президент Maykor, генеральный директор БТЕ (BTE), отмечает, что в банковской сфере по-прежнему не теряют актуальности проблемы в области безопасности мобильных и интернет-банков в следствии недостаточного уровня шифрования данных и возможности запуска мобильного приложения в общественных интернет-сетях, где высока вероятность перехвата трафика.

«
Решение лежит на поверхности и заключается в разработке и внедрении улучшенных систем шифрования и тестировании приложений на возможность атак в общественном месте, - поясняет он.
»

Несертифицированные средства защиты информации

Банки столкнулись с тем, что для обработки огромных массивов данных, которые растут ежедневно, они не могут так же бесконечно наращивать ресурсы. Имеет смысл хотя бы часть данных переносить в облака, куда устремляются не только централизованные ресурсы, сосредоточенные в ЦОД, но и конечные рабочие станции.

Поэтому актуальность перехода в облака растет, но с выполнением стандартов Банка России и других нормативных документов в части выполнения требований по защите информации, отмечает Михаил Головачев, генеральный директор «Амтел-Сервис». При этом, проблема, по его словам, состоит в том, что многие современные средства ИБ не сертифицированы на соответствие требованиям по защите информации.

Большие финансы киберпреступности

Киберпреступность – огромный, хорошо организованный бизнес, который ежегодно оперирует миллиардами долларов по всему миру. Далеко не всегда от кибератак защищают антивирусные программы или технологии защиты данных, потому что технологии хакеров так же постоянно совершенствуются, как и инструменты безопасности.

«
Основная проблема в том, что финансирование киберпреступности на порядок выше финансирования компаний, которые борются с ней. Как следствие, продолжение наращивания возможностей у ИТ-преступников, и все возрастающая потребность в новых технологиях ИТ-безопасности. В целом, сотрудники информационной безопасности еще долгое время будут ценными кадрами для кредитных организаций, - отмечает Алексей Колесников, директор по продажам iSimpleLab.
»

Юрий Гольцер, технический директор департамента CRM компании Navicon, добавляет, что постоянно совершенствуются механизмы защиты информации клиентов, в том числе разрабатываются новейшие алгоритмы шифрования.

«
В 2017 году начались тестирования инструментов квантового шифрования: Российский квантовый центр (РКЦ) запустил первую в России линию связи с квантовой защитой между двумя офисами Сбербанка. Сейчас за экспериментами в области применения квантовых компьютеров для обеспечения безопасности данных пристально следят разработчики блокчейн-проектов. Кроме того, банки видят перспективы защиты от киберпреступности в создании универсальных механизмов совместной работы с правительствами и правоохранительными органами. По мнению участников рынка, чтобы сделать рынки, инструменты и системы киберпреступниками неэффективными, необходимо, прежде всего, налаживать коммуникацию между банковскими системами различных стран, - говорит представитель Navicon.
»

Он также напоминает, что в начале года американские банки и онлайн-кредитеры Citigroup, Kabbage, Depository Trust & Clearing Corporation, Hewlett Packard и швейцарская Zurich Insurance Group объявили о создании консорциума по кибербезопасности в сфере финтеха – управлять им будет Всемирный экономический форум.

«
Подобные инициативы мы видим по всему миру. Например, британские офисы Lloyds joins Barclays, Deutsche Bank, Santander UK и Standard Chartered объединились в Альянс по киберзащите (Cyber Defence Alliance). Тенденция к объединению против общей угрозы будет только расти, - уверен Юрий Гольцер.
»

Минюст обязал банки проводить пентесты и аудит кибербезопасности

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного оборудования. Документ подписало летом 2018 года Министерство юстиции Российской Федерации. Само собой, соответствие этим требованиям ляжет финансовым грузом не только на плечи банков, но также и на плечи их клиентов. Таким образом, поправки в положение ЦБ 382-П наконец приобрели завершенный вид и были зарегистрированы Минюстом. 26 июня, два дня назад, ЦБ направил банкам этот документ. Теперь кредитным организациям придется использовать программное обеспечение, сертифицированное ФСТЭК.

Специалисты считают, что в некоторых случаях банки не уделяют сертификации должного внимания, что приводит к последующему обнаружению уязвимостей в программах. Анализ защищенности могут себе позволить лишь те финансовые организации, в штате которых имеются сильные ИБ-специалисты. Пентесты теперь, согласно документу, будут проводиться ежегодно, а раз в два года кредитным организациям придется осуществлять внешний аудит кибербезопасности. Основная озабоченность в данной ситуации — рост расходов. Центробанк же считает, что расходы не будут чрезмерными.

Банки РФ получили возможность блокировать операции по снятию средств через системы ДБО

Госдума РФ 5 июня 2018 года одобрила в третьем чтении правительственный законопроект, направленный на противодействие хищению денежных средств при совершении операций с использованием систем дистанционного банковского обслуживания (ДБО).

Документ устанавливает порядок действий банков при выявлении признаков нелегитимных транзакций — то есть, переводов средств, совершаемых без ведома и согласия владельца счёта. За банком или оператором по переводу денежных средств закрепляется обязанность приостановить на срок не более двух рабочих дней исполнение распоряжения, а также заблокировать на такой же срок электронное средство платежа, если обнаружены признаки совершения перевода денежных средств без согласия клиента.

Эти признаки определяются Центральным банком РФ. Наряду с этим, банку предлагается предоставить право совершать аналогичные действия при выявлении дополнительных признаков совершения перевода денежных средств без согласия плательщика — их банки будут вправе устанавливать самостоятельно в соответствии с требованиями ЦБ.

После приостановки перевода денежных средств и блокировки электронного средства платежа банк будет обязан незамедлительно запросить у клиента подтверждение о возможности исполнения платежного поручения (возобновления использования электронного средства платежа). При получении подтверждения клиента банк обязан будет исполнить распоряжение (возобновить использование электронного средства платежа) незамедлительно, при неполучении — совершить аналогичные действия по истечении двух рабочих дней.

Кроме того, вводится особый порядок действий банка, нацеленных на возврат денежных средств законному владельцу в случае осуществления несанкционированного списания со счета клиента. Указанный порядок предназначен только для защиты юридических лиц: для физических лиц процедура возврата средств была закреплена более ранним законом.

Законопроект закрепляет полномочия ЦБ по формированию и ведению базы данных о случаях совершения перевода денежных средств без согласия клиента и определению порядка направления и получения операторами по переводу денежных средств, операторами платежных систем и операторами платежной инфраструктуры информации из указанной базы данных.

«
Банковская система во всём мире несёт колоссальные убытки из-за действий кибермошенников, крадущих средства со счетов физлиц и организаций, — отметил Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Злоумышленники постоянно совершенствуют свои инструменты, используемые для хищений, однако нелегитимные транзакции всегда имеют определённые индикаторы, по которым их можно выявить. Предлагаемый законопроект регламентирует процедуры, которые необходимо предпринимать, если происходит подозрительная транзакция. Вопрос пока только в том, насколько грамотно будут составлены списки признаков таких транзакций — на уровне ЦБ и отдельных банков.
»

Документ вступит в силу по истечении 90 дней после дня его официального опубликования; по-видимому, осенью 2018 года он уже будет действовать.[26]

ЕЦБ привлечет хакеров для проверки кибербезопасности финансового сектора

Европейский Центробанк (ЕЦБ) объявил в мае 2018 года о запуске программы проверки на кибербезопасность банковской системы. Как сообщает «Коммерсантъ» со ссылкой на заявление банка, тестировать системы на прочность будут штатные сотрудники, а также специально нанятые команды хакеров, которые попытаются обнаружить недочеты, моделируя реальные попытки взлома.

Соответствующий проект называется «Европейская программа по отражению угроз с использованием специальных экспертов, атакующих систему извне» (European Framework for Threat Intelligence-based Ethical Red Teaming — TIBER-EU). Программа носит рекомендательный характер — в ЕЦБ подчеркивают, что страны-члены ЕС могут сами решать, когда и как проводить проверки своих финансовых учреждений.

В ходе тестов предлагается использовать «полный спектр приемов, которые применяют реальные хакеры». В частности, ЕЦБ предлагает подвергнуть условным кибератакам критически важные системы финансовых учреждений.

По итогам проверок будут даны рекомендации по совершенствованию конкретной системы безопасности того или иного финансового учреждения, уточнили в ЕЦБ. При этом в пояснениях к программе TIBER-EU говорится, что «власти будут признавать прохождение тестов только в том случае, если в них будут участвовать не только внутренние специалисты, но и внешние стороны».

Positive Technologies: веб-приложения банков наиболее уязвимы

Специалисты Positive Technologies подготовили статистику по уязвимостям веб-приложений, которые были исследованы в рамках работ по автоматизированному анализу защищенности с применением PT Application Inspector в 2017 году.

По результатам автоматизированного анализа исходного кода было установлено, что все веб-приложения имеют уязвимости, причем всего лишь в 6% исследованных систем отсутствуют уязвимости высокой степени риска.

Наибольшему риску, как и следовало ожидать, подвержен финансовый сектор (его доля составляет 46% от общего количества исследованных веб-приложений). Во всех приложениях банков и других финансовых организаций были найдены уязвимости высокой степени риска.

Финансовые, а также государственные организации, отмечают эксперты Positive Technologies, наиболее заинтересованы в анализе исходного кода, так как их веб-ресурсы являются приоритетными целями для злоумышленников, что подтверждается регулярными аналитическими отчетами компании.

Автоматизированный анализ защищенности с применением PT AI показал, что все протестированные веб-приложения содержат уязвимости различной степени риска. При классификации уязвимостей по степени риска было установлено, что большая их часть (65%) относится к среднему уровню опасности, 27% — к высокому.

Самой распространенной уязвимостью, выявляемой при автоматизированном анализе исходного кода приложений, является «Межсайтовое выполнение сценариев», с помощью которой злоумышленник может проводить фишинговые атаки на клиентов веб-приложения или заражать их рабочие станции вредоносным программным обеспечением (встречается в 82% протестированных систем).

На основании анализа последствий от эксплуатации выявленных в веб-приложениях уязвимостей специалисты Positive Technologies составили рейтинг угроз безопасности. Самая распространенная угроза — это возможность проведения атак на пользователей веб-приложения (ей подвержены 87% банков и все без исключения государственные учреждения).

Как подчеркнули в Positive Technologies, большинство пользователей таких веб-ресурсов очень плохо осведомлены в вопросах информационной безопасности и легко могут стать жертвами злоумышленников. Кроме того, среди веб-ресурсов госучреждений распространены и другие критически опасные уязвимости. Например, при исследовании веб-приложения администрации одного из муниципальных образований была обнаружена уязвимость высокой степени риска «Внедрение SQL-кода», с помощью эксплуатации которой возможно получить чувствительную информацию из базы данных.

Уязвимости, проводящие к отказу в обслуживании, представляют наибольшую проблему для интернет-магазинов, так как сбой в работе веб-приложения для организации, занимающейся электронной торговлей, напрямую связан с финансовыми потерями. Кроме того, чем популярнее интернет-магазин, тем больше клиентов посещают его каждый день и тем вероятней, что злоумышленник попытается использовать уязвимости данного веб-ресурса для атак на его пользователей.

«
Веб-приложения являются одной из основных мишеней для злоумышленников, потому что большое число неисправленных уязвимостей и простота их эксплуатации помогают атакующим успешно достигать своих целей — от кражи чувствительной информации до доступа к внутренним ресурсам локальной вычислительной сети, — отметила Анастасия Гришина, аналитик Positive Technologies. — Важно понимать, что большинство уязвимостей можно выявить задолго до атаки, а анализ исходного кода веб-приложений позволяет обнаружить в несколько раз больше критически опасных уязвимостей, чем тестирование систем без исследования кода.
»

FinCERT: главные факты о финансовом мошенничестве в России

Как стало известно в феврале 2018 года, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере [[ЦБ


===FinCERT: главные факты о финансовом мошенничестве в России

Как стало известно в феврале 2018 года, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ выпустил обзор мошеннических финансовых операций в России за 2017 год.

Первая удачная атака через SWIFT

Согласно обзору, в 2017 году хакерам впервые удалось успешно атаковать российский банк через систему SWIFT и похитить при этом 339,5 млн рублей. По информации "Ведомостей" и "Коммерсанта", жертвой атаки стал банк "Глобэкс". Президент финансовой организации Валерий Овсянников подтвердил, что "была попытка атаки", но отметил, что средства клиентов не пострадали. Сумму хищения банк раскрыл в конце декабря 2017 года: хакеры смогли вывести около $1 млн, но большую часть средств удалось заблокировать и вернуть.

В целом, по словам экспертов, использование канала SWIFT необычно для России. Как правило, хакеры используют для вывода средств карты. В мировой практике эту систему используют намного чаще.

Мошенничество со счетами юрлиц

В 2017 году со счетов компаний пытались похитить средства 841 раз. При этом объем таких операций за 2017 год снизился на 17,4% до 1,57 млрд рублей. Вернуть удалось чуть больше половины этой суммы.

Наибольший интерес для мошенников представляют суммы от 100 тысяч до 1 млн рублей. На этот сегмент приходится половина мошеннических операций со счетами компаний. Чуть более трети — на сегмент от одного до десяти миллионов.

Самым популярным способом похищения денег является внедрение вредоносного кода, так как операции в большинстве своем совершаются со стационарных компьютеров.

Атаки на карты

Согласно данным обзора FinCERT, средняя сумма мошенничества с картами в 2017 году в России составила 3 тысячи рублей. Этот показатель снизился, как и объем операций злоумышленников с картами, выпущенными в России, который в 2017 году составил около 1 млрд рублей.

Чуть менее половины операций по российским банковским картам проходит за пределами России. При этом абсолютный лидер по количеству и объему мошеннических операций с использованием банковских карт в России — Москва, отмечается в обзоре.

Возможным объяснением снижения интереса к хищениям с банковским карт, по мнению экспертов, могло бы стать все более активное развитие криптовалют и, как результат, переключение внимания мошенников на них. Однако такая тенденция может оказаться недолгой. Законодательное регулирование рынка криптовалют может привести к росту мошеннических операций, полагают в FinCERT[27].

«
Законодательное регулирование соответствующего рынка (криптовалют — прим. TAdviser) может снизить его привлекательность для злоумышленников, что, возможно, повлечет за собой повышение их активности в области дистанционных платежных сервисов и, как следствие, увеличение количества и объема несанкционированных операций, — говорится в обзоре.
»

Как оказалось, многие россияне и компании предпочитают не обращаться в правоохранительные органы в случае мошенничества с их банковской картой. Так, в случае с 97% несанкционированных операций с использованием карт либо точно известно, что обращения в правохранительные органы не было, либо о таком обращении нет никаких данных.Только 20% юрлиц, сталкивающихся с мошенничеством, обращались в правоохранительные органы.

Атаки на банкоматы и терминалы

Согласно статистике, интерес мошенников к ним снижается. Так, объем незаконных операций с ними сократился на треть до 230,7 млн рублей. А ущерб от действий мошенников составил 42 млн рублей.

По информации FinCERT, в основном используются несколько способов взлома банкоматов: подключение к аппаратам устройств, позволяющих ими управлять, удаленное управление после заражения вирусом и физическое воздействие на них (например, взрыв).

Внимание злоумышленников переключилось на CNP-транзакции (англ. Card not present transaction), при которых держатель карты физически может не присутствовать во время и в месте проведения оплаты. Объем последних несущественно (примерно на 1,5%), но вырос, составив 726,4 млн рублей.

2017

Исследование TAdviser и VMware

Компания VMware представила в декабре 2017 года результаты исследования крупнейших финансовых организаций, проведенного совместно с аналитическим центром TAdviser. Согласно отчету, больше половины (52%) банков и страховых компаний России и СНГ увеличили бюджет на информационную безопасность в 2016-17 г. в связи с ростом киберугроз и активности вредоносных программ[28].

Исследование еще раз подтвердило, что за последний год количество угроз информационной безопасности для корпоративного сектора выросло значительно — это подтверждают 80% опрошенных финансовых организаций. Лишь 16% зафиксировали сохранение прежнего уровня киберпреступности. Репутационные и финансовые потери (в том числе, упущенная выгода) — наиболее критические последствия от инцидентов ИБ в финансовых организациях, считают около 50% опрошенных. Поэтому в условиях роста киберугроз более половины (52%) компаний увеличили бюджет на средства защиты.

Почти треть респондентов (28%) также опасаются мер со стороны регуляторов (например, отзыва лицензий) в результате успешной атаки или утечки данных. Однако какими бы ни были последствия, ни у кого нет сомнений в том, что они неизбежны.

Банки активно предлагают своим клиентам возможность онлайн-взаимодействия, например, через онлайн-банкнинг и мобильные приложения. Поэтому неудивительно, что среди наиболее распространенных угроз компании финансового сектора отметили DDoS-атаки (28%). Недоступность мобильного или онлайн-банка даже в течение нескольких часов может значительно испортить репутацию банка или привести к прямым финансовым потерям. Среди других угроз респонденты отметили фишинг (26%) и атаки шифровальщиков (10%).

Цифровая трансформация банковского бизнеса также подразумевает перевод вычислений в облако. Например, по данным исследования VMware[29], в США 81% респондентов из банков с активами в 100 млрд долларов и более и 68% банков с активами от 15 до 100 миллиардов долларов в настоящее время осваивают облачные вычисления. Однако у финансовых компаний в России есть серьезные опасения в связи с облачной моделью. Так, более двух третей (70%) считают потеряю или хищение данных главными рисками при миграции в облачную среду. С большим отрывом респонденты отметили простои по вине провайдера (26%).

Использование мобильных устройств для решения рабочих задач становится нормой и для самих сотрудников банков. Однако больше половины финансовых организаций (53%) не используют никаких решений по управлению мобильными устройствами (MDM/EMM), что в результате может привести к утечке корпоративных данных.

Опасность для бизнеса состоит в том, что растет не просто количество и масштаб атак — все чаще злоумышленники используют неизвестное вредоносное ПО. Это зловреды, которые не может отследить традиционный антивирус, потому что данных о них еще нет в базах ИБ-компаний. Эффективным ответом на эту новую угрозу является модель «нулевого доверия», которая стала возможной благодаря использованию программно-определяемых сетей (Software-Defined Networks, SDN) — она реализована в решении VMware NSX. Согласно опросу, половина банков (50%) и страховых компаний ориентируются на модель «нулевого доверия» при построении ИБ-систем, однако лишь 4% респондентов уже развернули программно-определяемые сети. К счастью, почти половина организаций (40%) подтверждают свои планы использования SDN.

«В современной цифровой экономике данные являются основным активом банков и страховых компаний. Их утечка или несанкционированный доступ к ним может привести к критическим последствиям для всей организации. Технологии SDN (программно-определенных сетей) призваны помочь нашим заказчикам ответить на эти вызовы в области информационной безопасности, — говорит Александр Василенко, глава представительства компании VMware в России и СНГ. — Стратегия информационной безопасности VMware совместно с партнерскими решениями позволяет обеспечить встроенную защиту на всех уровнях сетей, облаков и конечных устройств. Например, благодаря технологии микросегментации VMware NSX в случае взлома одного сегмента сети можно остановить распространение эпидемии на остальные сегменты. Этот подход позволяет существенно минимизировать ущерб, даже если злоумышленникам уже удалось проникнуть в вашу сеть».

В Google Play бум троянцев, маскирующихся под мобильные приложения банков

Group-IB в конце ноября 2017 года отметила волну массового распространения троянцев, маскирующихся под мобильные приложения ведущих банков страны. Специалисты Group-IB блокируют ресурсы, с которых идет распространение этих приложений, но их объем постоянно растет.

Трояны, предназначенные для мобильных устройств под управлением ОС Android, распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. При этом эксперты Group-IB отметили высокое качество программ-подделок, что сбивает с толку многих пользователей, не обращающих внимание на подозрительные «мелочи». Подробнее здесь.

Исследование Qrator Labs и Валарм

Работы в рамках настоящего исследования проводились в формате полевого опроса. Респондентам предлагалось ответить на вопросы анкеты. Опрос был организован среди банков и платежных систем, работающих в России. В выборку включены банки из рейтинга ТОП 200 по размеру активов.

Бюджет на ИБ

Отрасль информационной безопасности закономерно продолжает расти. По данным проведенного опроса, более трети (32%) респондентов из финансовой отрасли подтвердили увеличение своего ИБ-бюджета в 2016 г., а еще 39% отметили сохранение инвестиций в безопасность в прежнем объёме.

Заметно, что рост ИБ-бюджетов становится напрямую связанным с практической составляющей: финансовые организации планируют увеличение расходов на безопасность, оказавшись перед лицом реальной угрозы. Это примечательно по двум причинам: в то время как формальное соответствие требованиям регуляторов перестаёт быть основным драйвером роста, тем не менее, проактивная тактика защиты и планирование ИБ-архитектуры на основе, по крайней мере, тестирования на проникновение (или пентеста) всё ещё таким драйвером не является.

13% респондентов сообщили, что бюджет на ИБ в их организациях в 2016 г. несколько снизился. При этом опрошенные в целом отмечают отсутствие связи между снижением бюджета и реальным уровнем угроз – причины снижения ИБ-бюджетов в основном лежат в иной плоскости и не зависят от состояния и вызовов дисциплины ИБ. По сути, перед заметной частью департаментов ИБ в 2016 году была поставлена задача оптимизации расходов при сохранении и даже повышении требуемого уровня защищенности от внешних неблагоприятных условий, хотя в целом по индустрии тенденция к росту бюджетов на данный момент сохраняется.

Замена используемых средств защиты

Методы защиты, внедряемые ранее, сегодня обеспечивают недостаточный уровень безопасности: выросли угрозы по уже существующим направлениям, появились и новые риски.

В подавляющем большинстве случаев основной стимул для обновления инфраструктуры ИБ – это внешняя активность: инциденты, связанные с демонстрацией недостаточной защиты и проблемами, которые организованы либо «черными шляпами» – взломщиками, либо «белыми» – тестировщиками. Более четверти респондентов видят для себя необходимость в замене используемых средств защиты при переходе на новые инфраструктуры (облака, микросервисы и пр.), где используемые решения перестают быть эффективными.

Заметную роль при принятии решения об обновлении используемых средств защиты играет вопрос происхождения закупаемых продуктов: около 13% респондентов ответили, что в первую очередь склонны заменять импортные решения на российские аналоги.

Приобретение решения WAF

В качестве основного фактора для покупки решения WAF респонденты отметили защиту от уязвимостей 0 дня – 37%. Такой возможностью обладают только решения нового поколения, использующие бессигнатурный подход для детектирования атак. По-прежнему значительная часть компаний использует WAF для соответствия стандарту PCI DSS – 27%.

36% респондентов используют WAF для обеспечения высокого темпа разработки: 19% – для защиты часто обновляемого кода и 17% – для использования виртуального патчинга уязвимостей. Увеличение числа компаний, применяющих решения по обеспечению безопасности на этапе написания кода, говорит об общем росте осведомленности о стандартных практиках информационной безопасности и формировании качественного подхода к обеспечению комплексной защиты веб-приложений.

Типы угроз

Более половины респондентов из финансового сектора (55%) отмечают, что за последний год уровень угроз DDoS вырос. По-прежнему DDoS-атаки на организации финансового сектора устраиваются чаще, чем на компании из других отраслей, например, ритейл, СМИ. Однако теперь важно не только то, что злоумышленники обладают всей полнотой знаний, где именно хранятся интересующие их средства, но также они понимают, с помощью каких методов эти деньги можно получить. Запустив DDoS-атаку в качестве отвлекающего фактора, злоумышленники с помощью вредоносных программ могут произвести захват системы управления безналичными платежами и, таким образом, получают возможность переводить деньги между любыми счетами до момента своего обнаружения.

Отсюда следует, что системы защиты, применяемые в финансовых организациях, несовершенны, и подходы к развитию ИТ-инфраструктуры требуют пересмотра и обновления.

Угроза атак на отказ в обслуживании продолжает расти: почти половина опрошенных испытывала по крайней мере одну DDoS-атаку в 2016 году. Столкнувшись с наличием мер по защите от атак, злоумышленники обычно переключают своё внимание на иные цели. В том числе, вероятно, ввиду этого целый ряд компаний в финансовой сфере столкнулся с DDoS-атаками в 2016 году впервые. При этом, однако, около 20% компаний находятся в фокусе злоумышленников и вынуждены применять продвинутые методы защиты. Среди основных причин, ведущих к попаданию финансовой организации в фокус организаторов DDoS-атак, можно назвать как размеры организации и её популярность на рынке, так и отсутствие внедрённых адекватных контрмер для борьбы с DDoS-атаками, вследствие чего организация может стать лёгкой добычей для кибервымогателей.

Таким образом, по мере широкого внедрения различных решений для борьбы с DDoS-атаками ландшафт рынка может меняться. В частности, ожидаемое усложнение `пробных` атак продолжит приводить к эволюции средств защиты и к росту угрозы для организаций и предпринимателей, не планирующих адекватные вызовам инвестиции в ИБ.

Наиболее часто опрошенные компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). По сравнению с результатами опроса 2015 года, угроза DDoS-атак осталась примерно такой же (24% в 2015 году). Сохранение числа DDoS-атак и внимания к ним со стороны банковского сектора на достаточно высоком уровне обусловлено волной массированных DDoS-атак на ряд крупных российских банков: в 2016 году были атакованы веб-сайты многих известных финансовых организаций из топ-10.

Угроза фишинга существенно выросла (с 21% в 2015 году до 30% в 2016-м) в связи с компаниями, выходящими на ICO. Неутихающий ажиотаж вокруг ICO привел к высокому риску мошенничества, и среднестатистические пользователи не имеют точного представления, как обеспечить собственную защиту и склонны не замечать интернет-мошенничество. В сфере ICO фишинг стал серьезной проблемой, и это позволяет судить о том, что и в смежных отраслях, например, в финансовом секторе, фокус злоумышленников также смещается в сторону такого метода получения доступа к конфиденциальным данным пользователей.

Смещение фокуса в сторону фишинга – одно из следствий развития инструментов, доступных киберпреступникам. В частности, несмотря на то, что число взломов в единицу времени в целом за последние годы сохраняется на одном уровне, на данный момент финансовые организации уже не всегда могут своевременно обнаруживать и точно фиксировать подобные инциденты.

Среднее количество атак на веб-приложения в финансовой сфере, по данным Валарм, составляет 1500 в день. Основная часть из них – это автоматизированные инструменты и сканеры. Такая активность автоматизированных средств создает большой информационный фон и усложняет выявление реальных инцидентов. По статистике Валарм, основные векторы атак на веб-приложения - это внедрение SQLi операторов – 26,8% и межсайтовая подделка запросов (XSS) – 25,6%. Повышенный интерес к этим типам атак связан с возможностью получения информации о базах данных клиентов и персональной информации пользователей. Третье и четвертое место занимают выход за пределы значений директории - 25% и удаленное выполнение кода – 19,5%. При этом основная часть инцидентов – 60% – связана с удалённым выполнением кода.

Типы используемых решений

Большинство респондентов (68%) считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети).

Как показало исследование, информационная безопасность остается значимым приоритетом для организаций финансового сектора, и этот приоритет неуклонно растет: отрасль находится в стадии пробуждения. Участники рынка пока неокончательно сфокусировались на угрозах ИБ, но в определенной степени уже можно говорить о достижении российскими финансовыми организациями определенного уровня зрелости в вопросах защиты и управления рисками. Переосмысление политик безопасности в банковской отрасли будет продолжать свое развитие, о чем свидетельствует то, что расходы на ИБ не сокращаются, а, наоборот, в основном растут. В ближайшей перспективе с ростом бюджета мы увидим повышения уровня защищенности компаний.

Сбербанк: Большинство хищений денег со счетов клиентов «происходит руками самих клиентов»

Большая часть мошенничества, связанного с хищением денег со счетов клиентов, «происходит руками самих клиентов». Об этом в ноябре 2017 года TAdviser заявил руководитель службы кибербезопасности Сбербанка Сергей Лебедь. Они сами отдают свои пароли, свои карточки, телефоны, передают SMS-коды подтверждения. Такое мошенничество называется социальной инженерией, а внутри социальной инженерии - «самопереводом», говорит он.

В рамках социальной инженерии злоумышленники находят причину, по которой человек может совершить действия, ведущие к утрате денег. Как правило, задействован корыстный интерес - например, купить что-то по скидке или интересное коммерческое предложение. Также используется предлог, что якобы родственник клиента попал в беду, рассказал TAdviser Лебедь.

Сергей Лебедь уверен, что технические способы защиты клиентов Сбербанка достаточно эффективны

Особенно подвержены такому воздействию люди пожилого возраста, которые думают о своих внуках, детях и получив просьбу, сразу бегут к банкомату, делают то, что им говорят злоумышленники, отмечает он

По его словам, часто бывают случаи, когда системы противодействия мошенничеству банка «видят», что мошенничество происходит и почему: когда клиент ни с того ни с сего начал переводить деньги на карту мошенника, и мы знаем, что это карта мошенника. В этом случае мы останавливаем транзакцию и звоним клиенту с целью предупредить и остановить.

Бывает, что на удочку социальных инженеров попадаются даже сами сотрудники Сбербанка, следует из слов Сергея Лебедя.

Технические способы защиты клиентов Сбербанка достаточно эффективны, но противодействие социальным инженерам представляет достаточно большую проблему. Ее решение банк видит в повышении финансовой и компьютерной грамотности населения. По словам Сергея Лебедя, банк проводит большую работу по этому направлению: разъяснительную работу и на площадках Сбербанка, и на федеральных каналах.

Представитель Сбербанка добавил, что одна из задач службы кибербезопасности, помимо предотвращения хищений денежных средств, это обеспечение устойчивости и непрерывности бизнес-процессов банка и обслуживания клиентов. Сергей Лебедь заявил TAdviser, что от компьютерных атак простои Сбербанка в 2017 году были ноль минут: «то есть, мы ни на секунду не прерывали деятельность банка вследствие различных атак».

Атака вируса Silence

31 октября 2017 года «Лаборатория Касперского» сообщила о новой кибератаке на банки. Хакеры рассылают в финансовые учреждения зараженные электронные письма, которые маскируются под сообщения от реальных людей.

Злоумышленники используют троян под названием Silence, который прикрепляют к фишинговым письмам. Часто текст писем выглядит как стандартный запрос на открытие счета, предупреждают в «Лаборатории Касперского».

«Лаборатория Касперского» сообщила о хакерской атаке на российские банки
«
Злоумышленники используют легитимные администраторские инструменты, чтобы оставаться незамеченными. Это усложняет как обнаружение атаки, так и атрибуцию, — отметил старший антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин.
»

В письмах содержатся зараженные вложения формата .chm (файл справки Microsoft). При открытии вложения автоматически запускается прикрепленный него html-файл, содержащий вредоносный javascript-код. Скрипт загружает и активирует дроппер, а тот уже подгружает модули троянца Silence, работающие как службы Windows: модуль управления и контроля, модуль записи активности экрана, модуль связи с управляющими серверами и программу для удаленного выполнения консольных команд.

Таким образом, хакеры захватывают управление зараженным компьютером и могут рассылать письма с вредоносным вложением от имени реальных партнеров банков.

Атакующие получают доступ к внутренней банковской сети, какое-то время изучают ее внутреннюю инфраструктуру и записывают видео с экранов компьютеров сотрудников банка. После анализа того, как используется банковское ПО, злоумышленники осуществляют перевод денежных средств.

Первые атаки с использованием трояна Silence были зафиксированы в июле 2017 года. Распространение вируса продолжается к моменту написания статьи (31 октября). Хакерские атаки с использованием этого вируса замечены в России, а также в Армении и Малайзии.[30]

Банки получат право блокировать счета клиентов при проведении сомнительных операций

Правительство РФ внесло в Государственную Думу разработанный Министерством финансов РФ законопроект, который дает право банкам блокировать карты и счета клиентов в том случае, если проводимые ими финансовые операции представляются кредитным организациям подозрительными. При подозрении на хищение банк должен незамедлительно связаться с физическим лицом по телефону или через электронную почту, с юридическим лицом — в порядке, установленном договором об использовании электронного средства платежа. Законодательная инициатива властей привела к всплеску активности в социальных сетях: пользователи опасаются возможной массовой блокировки личных счетов граждан в банках без веских на то оснований, а также выражают беспокойство, не станут ли кредитные организации злоупотреблять предоставленным им правом.

Критерии, по которым финансовые операции могут быть отнесены к сомнительным, пока не определены.

Комментарий эксперта ЦЕРИХ Кэпитал Менеджмент ИК: Сразу же стоит подчеркнуть, что подготовленный документ носит название «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)». Таким образом, закон изначально нацелен на то, чтобы защитить добропорядочных граждан и осложнить жизнь исключительно мошенникам, пытающимся похитить деньги со счетов юридических и физических лиц.

Для этого Минфин предлагает дать право банкам приостанавливать на срок до двух рабочих дней перевод денег при выявлении признаков совершения такого перевода без согласия плательщика. При подозрении на хищение денег банк должен сразу же связаться с клиентом, чтобы получить подтверждение о необходимости провести проверку платежа.

То, как будет работать вновь принятый закон, во многом зависит от дополняющих его подзаконных актов. В данном случае мы имеем в виду разработку критериев, по которым финансовые операции, проводимые клиентами, могут быть отнесены к разряду подозрительных. Эта работа будет поручена Центробанку, и от точности формулировок регулятора зависит, будут ли возникать проблемы у законопослушных граждан. Поэтому мы предлагаем дождаться публикации данного документа и только после этого делать выводы о том, насколько точно он отражает нынешние экономические реалии.

Еще одним подводным камнем станет право самих кредитных организаций дополнять или изменять перечень установленных ЦБ РФ признаков в соответствии с особенностями их деятельности. Важно понять, имеется ли в виду в данном случае право законодательной инициативы или же кредитные организации, не дожидаясь ответа от вышестоящей инстанции, будут выстраивать отношения с клиентами на основе собственных критериев и оценок. Если ситуация будет развиваться по второму варианту, нельзя исключить возникновения неразберихи в банковском секторе в целом, поскольку у каждого банка будут собственные критерии для блокировки счетов. Причем проблемы у клиентов возникнут не из-за злоупотребления банков своими полномочиями, а из-за их желания перестраховаться.

Важно, как в свете нового закона будет выстраиваться взаимодействие между кредитной организацией и ее клиентом в случае возникновения спорной ситуации. Сегодня при блокировке счета (например, в случае внесения или снятия крупных сумм на карту, при крупных переводах на банковский счет клиента или при переводе крупных денежных сумм третьему лицу) банк просит предоставить пояснения и копии документов, подтверждающие источник поступления денежных средств. При этом после рассмотрения банк может отказаться разблокировать счет клиента с формулировкой «Документы не объясняют экономического смысла операций».

Сегодня уже при первом отказе банка в проведении операции как сомнительной (вне зависимости от того, было ли нарушение в действительности или нет) клиенты попадают в черный список отказников. Его формируют Росфинмониторинг и ЦБ и, начиная с июня текущего года, предоставляют банкам. И хотя список сам по себе носит информативный характер, зачастую именно попадание в список служит основанием для отказа банка клиенту в обслуживании. При этом сегодня отсутствует механизм реабилитации клиентов, которые попали в этот список по ошибке. А таковых, по оценкам ряда экспертов, может быть до 10 процентов.

Сегодня высказывается мнение, что после вступления в силу нового закона банкам следует ожидать массового оттока личных средств из банков и, как следствие, сокращения объемов транзакций. Якобы этот процесс уже активно идет на протяжении последних шести месяцев. Мы полагаем подобные опасения преувеличенными, как минимум, по двум причинам.

  • Во-первых, клиент, который забирает свои средства из банка на том лишь основании, что банк якобы может в любой момент заморозить его счет, должен иметь альтернативный механизм для расчетов с контрагентами. В настоящий момент подобного надежного и эффективно работающего механизма вне банковской системы не существует.

  • Во-вторых, комиссии за расчетно-кассовое обслуживание клиентов, использование систем денежных переводов и различных платежных сервисов составляют существенную долю в доходах кредитно-финансовых организаций. Уменьшение числа их клиентов автоматически приведет к снижению прибыли.

Платежные терминалы в России под атакой трояна

В начале июля 2017 года «Kaspersky (ранее Лаборатория Касперского)» объявила о том, что в России активно распространяется модификация трояна Neutrino, атакующего POS-терминалы и крадущего данные банковских карт. Согласно статистике компании, на страну пришлась четверть всех попыток проникновения этого зловреда в корпоративные системы. В зону интересов Neutrino также попали Алжир, Казахстан, Украина и Египет. Приблизительно 10% всех попыток заражений приходится на предприятия малого бизнеса.

Модификация Neutrino для POS-терминалов — не совсем типичная версия этого зловреда, который уже давно известен исследователям и неоднократно менял свои функции и методы распространения. На этот раз троян охотится за данными банковских карт, которые проходят через зараженные платежные терминалы. При этом Neutrino не сразу начинает активность и приступает к сбору информации — попав в операционную систему POS-терминала, троян выжидает некоторое время. Эксперты полагают, что таким образом он, скорее всего, пытается обойти защитные технологии, запускающие подозрительный код в изолированной виртуальной среде, так называемые «песочницы», с коротким периодом работы.

География распространения троянца Neutrino, атакующего POS-терминалы, март-июль 2017 года


«Neutrino в очередной раз служит подтверждением тому, что киберугрозы постоянно эволюционируют. Новые версии известных зловредов становятся сложнее, их функциональность расширяется, а аппетиты растут. И по мере того, как число различных цифровых устройств увеличивается, области распространения вредоносного ПО также становятся шире. В таких условиях проактивная защита от всего многообразия киберугроз нужна как никогда прежде», – подчеркнул Сергей Юнаковский, антивирусный аналитик «Лаборатории Касперского».

Защитные решения «Лаборатории Касперского» распознают новую модификацию Neutrino как Trojan-Banker.Win32.NeutrinoPOS и блокируют его активность.

Атака вируса-шифровальщика Petya

В регуляторе сообщили 29 июня 2017 года, что атака вируса Petya началась с рассылки email-писем с вложенным вирусом. «В тексте сообщений злоумышленники убеждали пользователя открыть вредоносный файл, после чего активировалась вредоносная программа. Предположительно, заражение происходило при помощи эксплуатации уязвимости CVE-2017-0199 (исполнение произвольного кода из приложений Microsoft Office и WordPad)», — пояснили в ЦБ.

Вредоносное ПО представляется как Pokemon Go

В России зарегистрированы массовые случаи незаконного вывода средств с кредитных карт с помощью вредоносного ПО, которое распространяется под видом игры Pokemon Go. Программа перехватывает SMS, присланные банком, а также обеспечивает доступ к интернет-банкингу. Для максимально широкого распространения ПО преступники воспользовались популярностью игры Pokemon Go, официальный релиз которой в России до сих пор не состоялся[31].

Новость сообщили на пресс-конференции по борьбе с киберпреступностью начальник отдела «К» УМВД РФ по Ярославской области Денис Дуров и замуправляющего отделением по Ярославской области ГУ Центрального банка РФ по ЦФО Евгений Ефремов.

Дуров заявил, что в 2016 г. в Ярославской области было заведено 200 уголовных дел, связанных с мошенничеством, и 92 дела, касающихся незаконного вывода средств с кредитных карт. По его словам, основные способы хищения средств – это подключение к банкоматам специальных приборов, фишинг и использование вредоносных программ, причем последний метод становится все более распространенным.

Однако самым распространенным способом хищения средств с карт остается фишинг. Во время фишинговой акции преступники звонят жертвам, представляются сотрудниками банка и запрашивают данные о кредитной карте, отмечает Дуров. По состоянию на 1 октября 2016 г. в области было выдано 2,1 млн кредитных карт. Многие владельцы карт недостаточно информированы о мерах безопасности при работе с ними и считают нормальным сообщить данные карты сотруднику банка по телефону.

Плагины браузеров - средство для хищения средств с карт

27 января 2017 года компания «Яндекс» сообщила в СМИ: конфиденциальные данные о банковских картах пользователей воруются посредством расширений для браузеров. Киберпреступники научились похищать данные, распространяя вредоносные плагины с более 80 тыс. сайтов в сети Интернет.

Имеются ввиду зараженные программные расширения, которые снабжают пользователей полезной информацией не заходя на специальные сайты - курсы валют или прогноз погоды. Такие программы распространяются через магазин расширений или из непроверенных источников, и могут исполняться, как в стационарных, так и в мобильных версиях браузеров [32].

Реклама карт "МИР", (2015)

Устанавливая непроверенные вредоносные плагины, пользователь открывает кибермошенникам доступ к паролям, логинам и данным банковских карт. Согласно заявлению представителей «Яндекс», ежемесячно с такими проблемами сталкиваются 1,24 млн пользователей.

«
Для защиты от данного вида угроз, помимо общих рекомендаций, необходимо пользоваться только легальными расширениями из официальных магазинов. При этом данные угрозы делятся на два вида: угроза заражения персонального компьютера вредоносным программным обеспечением, которое похищает данные платежных карт при оплате в интернете, а также угроза заражения устройства, с которого осуществляется онлайн-управление банковским счетом (Интернет-банк, мобильный банк).

Николай Пятиизбянцев, начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка
»

Первый вид угроз, по мнению эксперта, можно нейтрализовать использованием технологии 3D-Secure.

«
Мошенник, похитив все данные карты и одноразовый пароль, не сможет ими воспользоваться для следующей операции. Некоторые банки предоставляют держателям карт право установить запрет на выполнение операций без данной технологии. Следует учитывать, что зараженный компьютер и мобильное устройство, на которое приходит одноразовый SMS-пароль - это разные устройства.
»

Второй вид угроз значительно серьезнее и защититься от него трудно.

«
В данном случае можно рекомендовать следующее: мобильный телефон, на который приходят одноразовые SMS-пароли, не должен использоваться для онлайн-банкинга (мобильного банка) - необходимо выделить отдельное устройство (компьютер, смартфон, планшет), с которого осуществляется доступ и управление банковским счетом, данное устройство не должно использоваться ни для каких других целей, кроме онлайн-банкинга, в том числе его нельзя использовать для просмотра Интернет-страниц, социальных сетей, электронной почты, на устройство должно быть установлено специальное программное обеспечение, реализующее функцию "запрет по умолчанию" или "белые списки" (всё, что не разрешено, то запрещено).
»

Греф: 98,5% киберпреступлений происходят в финансовой сфере

Доля киберпреступлений в финансовой сфере в 2016 г. составила 98,5%. Об этом сообщил в январе глава Сбербанка России Герман Греф. При этом Греф подчеркнул, что не смотря на то, что количество совершаемых в киберсреде преступлений исчисляется миллионами, число осужденных за их совершение не превышает нескольких десятков человек.

«Если посмотреть аллокацию специалистов, которые занимаются расследованиями киберпреступлений, то пропорция будет почти обратная: большинство сотрудников следственных органов занимаются расследованием традиционных преступлений. Либо они пытаются расследовать киберпреступления традиционными способами, а так она (киберпреступность) абсолютно не ищется, это трата времени и денег», - цитирует ТАСС Греф.

Глава Сбербанка считает, что для решения проблемы необходимо кардинально переработать учебные программы подготовки специалистов правоохранительных органов, в том числе с учетом планируемых к введению изменений в Уголовный кодекс РФ.

Разработанные с участием Сбербанка и внесенные в Госдуму поправки предусматривают вывод состава киберпреступлений из статьи 159 УК РФ "Мошенничество" и включение его в статью 158 УК РФ "Кража" одновременно с ужесточением наказания - до 10 лет лишения свободы.

«Доктор Веб»: ожидается рост числа атак на Android-системы

20 января 2017 года аналитики компании «Доктор Веб» озвучили вероятность значительного увеличения количества банковских "троянцев" на платформе Android (Android-банкеры) и роста числа атак, совершаемых при их посредстве.

Современные банковские троянцы для ОС Android создаются вирусописателями и продаются, как коммерческие продукты через подпольные интернет-площадки. На хакерском форуме в свободном доступе появился исходный код одного из вредоносных приложений с инструкциями по его использованию. Вирусные аналитики компании «Доктор Веб» полагают, что это может привести к возрастанию количества Android-банкеров и росту числа совершаемых с их помощью атак [33].

Скриншот экрана перед запуском вируса Android.BankBot.33.origin, (2016)

Создатели вирусов опубликовали исходный код вредоносного приложения в декабре 2016 года, а специалисты компании «Доктор Веб» обнаружили Android-банкера, созданного на основе предоставленной кибер-преступниками информации.

Этот троянец под именем Android.BankBot.149.origin распространяется под видом безобидных программ. После загрузки на смартфон, планшет и установки, банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Затем прячется от пользователя, убирая свой значок с главного экрана. Потом вирус подключается к управляющему серверу и ожидает команд.

Троянец может выполнять действия:

  • отправлять SMS-сообщения;

  • перехватывать SMS-сообщения;

  • запрашивать права администратора;

  • получать из телефонной книги список номеров всех имеющихся контактов;

  • рассылать SMS с полученным в команде текстом по всем номерам из телефонной книги;

  • отслеживать местоположение устройства через спутники GPS;

  • запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку SMS-сообщений,

  • выполнение звонков,

  • доступ к телефонной книге

  • работа с GPS-приемником;

  • получение конфигурационного файла со списком атакуемых банковских приложений;

  • показ фишинговых окон.

Троянец крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Исследованный вирусными аналитиками «Доктор Веб» образец контролирует запуск более трех десятков таких программ. Как только вирус обнаруживает, что одна из них начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка и показывает ее поверх атакуемого приложения.

Помимо кражи логинов и паролей троянец пытается похитить информацию о банковской карте владельца зараженного мобильного устройства. Для этого вирус отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter, Play Маркет и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play. При поступлении SMS троянец выключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные SMS из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер.

Украденные данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью кибер-преступники получают информацию, управляют вредоносным приложением. Возможности этого троянца вполне стандартные для современных Android-банкеров. Однако, поскольку кибер-преступники создали его с использованием доступной всем информации, можно ожидать появления множества аналогичных троянцев.

Главные проблемы безопасности мобильных и интернет-банков

Проблемы безопасности мобильных и интернет-банков известны давно, а открываемые новые уязвимости, как правило, не вносят существенных изменений в сложившиеся модели угроз.

Image:Banki_mob_int_pas.png

Эксперты уверены, что основными проблемами на протяжении последних 3-5 лет остаются: априори недоверенная среда (мобильное устройство), опасность заражения мобильного устройства и компьютера через интернет, недостаточность встроенных средств защиты в программные продукты со стороны разработчиков систем ДБО и интернет-банкинга, а также невыполнение элементарных требований безопасности пользователями.

Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.", полагает, что задача имеет решение только в тех банках, где потери умеют считать и квалификация состава ИТ, ИБ и бизнес-подразделений на высоте. Профессионалы, когда это одна команда, всегда находят решение, не важно, чисто организационными или организационно-техническими средствами, уверен он.

Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании "Инфосистемы Джет" называет ключевой проблемой использования сервисов ДБО уязвимость клиента.

«
Любая схема защиты напрямую связана с действиями или знанием клиента. А, значит, какое бы средство защиты или подтверждение операций мы не предоставляли клиенту, оно может быть скомпрометировано как извне, так и самим пользователем, - уверен Сизов. - Именно относительная легкость воздействия на клиента, его доверчивость, неосведомленность, халатность в обращении со средствами ИБ позволяет злоумышленникам обходить самые совершенные средства защиты.
»

При этом использование мобильных платформ только снижает устойчивость продуктов и каналов обслуживания к мошенничеству. Если используя ПК и мобильный телефон для проведения операций (формально – это два независимых канала), обеспечивается некоторая степень информационной безопасности, то совмещая в одну точку и программу, и методы аутентификации, и подтверждение платежа – этот порог снижается.

«
Кто-то решает эту проблему снижением типов допустимых операций, установкой лимитов на такие платформы, но большинство не различают с точки зрения рисков классический web-банкинг и мобильный. К сожалению, это приводит к тому, что сегодня именно среди атак в сегменте мобильных платформ фиксируется наибольший рост, - отмечает эксперт.
»

Еще одой из проблем является рост доли использования социальной инженерии со стороны злоумышленников в схемах атак на клиентов. С одной стороны, это свидетельствует о повышении защищенности технических аспектов банковских сервисов, но с другой - показывает простоту и уязвимость именно клиентской стороны.

«
Если вчера «социалка» использовалась исключительно для получения части данных клиента, а атака проводилась в режиме «без клиентов», и сам пользователь не способствовал совершению неправомерной операции, то сегодня фраз от клиентов «а что же я наделал» становится все больше. Сегодня социальная инженерия это не только возможность провести одну нелегитимную операцию, но и способ получить полный доступ к счету или платежному инструменту, который «сводит на нет» многие технические аспекты защиты от злоумышленников, - считает Алексей Сизов.
»

Управляющий партнер Maykor-BTE Максим Никитин, к типичным проблемам в области безопасности мобильных и интернет-банков относит недостаточный уровень шифрования данных и возможность запуска мобильного приложения в общественных интернет-сетях, где вероятен перехват трафика.

«
Решение лежит на поверхности и заключается в разработке и внедрении улучшенных систем шифрования и тестировании приложений на возможность атак в общественном месте, - полагает он.
»

Дмитрий Демидов, руководитель департамента CRM компании «Норбит» (входит в группу компаний ЛАНИТ) с точки зрения безопасности видит большую проблему в средствах авторизации. В частности, он отмечает, что простая авторизация через код, полученный в SMS-сообщении, легко взламывается. Однако, применение других средств авторизации сильно усложняет активацию мобильного и интернет-банков.

«
Банки решают это проблему по-разному – через активацию при помощи банкоматов или через отделения. Сейчас ведется несколько проектов по созданию таких средств – как с применением аппаратной составляющей, так и при помощи только программного обеспечения. Очень надеюсь, что эта проблема будет решена, - говорит он.
»

Кроме того, разработка мобильных приложений зачастую производится в очень сжатые сроки. Возможно, еще мало кто серьезно занимался изучением взломостойкости мобильных приложений, считает Демидов.

«
Полагаю, что скорость реализации функций может ставиться во главу, в ущерб проработке вопросов безопасности. Не исключено, что нам еще предстоит услышать в новостях о взломах мобильных приложений, - отмечает эксперт.
»

В тоже время Виталий Патешман, директор по продажам компании BSS, говоря о возрастающей актуальности вопросов безопасности ДБО, отмечает, что эксперт в области предотвращения и расследования киберпреступлений и мошенничества с использованием высоких технологий компания Group-IB провела аудит безопасности платформы ДБО BSS, который показал, что эти решения на сегодняшний день обладают высокой степенью защищенности.

«
Дополнительно мы реализовали новые возможности за счет интеграции с решением Group-IB и с решениями компании SafeTech», - рассказывает представитель BSS.
»

Максим Болышев, заместитель директора департамента банковского ПО RS-Bank компании R-Style Softlab выделяет три основных проблемы безопасности. Так, по его мнению, безопасность интернет-банков идет в разрез с удобством пользования, поэтому банки вынуждены искать компромисс между удобством и безопасностью. Вторая проблема – дороговизна электронной подписи для физических лиц, вследствие чего она не получила широкого распространения среди этой группы пользователей. И третья - большое количество разнообразного вредоносного ПО для мобильных устройств и отсутствие универсального, гарантирующего стопроцентную безопасность решения для банка и клиента.

Директор по работе с финансовыми институтами компании «ФОРС-Центр разработки» Юрий Терехин главной проблемой называет увеличение объёмов хакерских атак при снижении их профессионального уровня.

По его словам, это связано с тем, что высокопрофессиональные группы хакеров сместились в более маржинальный сектор по сравнению с розницей, и стали осуществлять атаки на сами банки и платёжные системы (СВИФТ). Вместе с тем, высокая доступность инструментов взлома уязвимостей позволяет проводить атаки на розничных клиентов силами непрофессионалов или начинающих хакеров. Но, поскольку для банковских ИБ это уже пройденный этап, то потери банков в этом направлении, предположительно, не растут.

«
Хорошо известные методы защиты для мобильных и интернет-банков будут совершенствоваться и дальше ради увеличения безопасности клиентских средств, - считает Терехин. - Будет более широко использоваться многофакторная авторизация с использованием биометрических данных (сканирование отпечатков пальцев, радужной оболочки глаз, распознавание голоса и т.п.).
»

Михаил Домалевский, менеджер отдела развития департамента информационной безопасности группы компаний Softline, предлагает взглянуть на проблему безопасности банковской системы России в целом. По его данным, 2016 год оказался переломным для ИБ в банковском секторе. Именно в этом году открыто заговорили о действиях хакеров, мошенников и вообще злоумышленников, о масштабах вреда, который они причиняют банкам.

«
Раньше банки и их клиенты редко несли крупные финансовые потери непосредственно от хакерских атак, стараясь в первую очередь защититься от «сливов» клиентской базы через инсайдеров и не допустить просачивания подобной информации в СМИ. Сейчас из-за хакерских атак банк фактически может потерять лицензию, - рассказывает эксперт. - В ответ на этот вызов финансовые организации объединяют ресурсы и усилия для создания собственных центров мониторинга и реагирования на инциденты ИБ, для развития межбанковского обмена для борьбы с выводом украденных средств.
»

По мнению Домалевского, многое для защиты от хакерских атак делает и регулятор. Так, Центральный банк выпустил ряд дополнительных регламентирующих документов в области ИБ, в частности - положение «О требованиях к защите информации в платежной системе Банка России». Этот документ обязывает банки сообщать о киберинцидентах в жесткие временные сроки.

«
Создание регулятором собственного Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT), интеграция его с имеющимися коммерческими и банковскими центрами мониторинга ИБ, четкий регламент взаимодействия всех участников процесса должны в перспективе уменьшить количество целенаправленных атак организованной киберпреступности и снизить потери от кибератак на банки до допустимых, - считает представитель Softline.
»

2016

Россия - лидер по числу мобильных банковских троянов

В 2016 году количество вредоносных установочных программ на мобильных устройствах по всему миру выросло в три раза по сравнению с 2015 годом, до 8,5 млн, говорится в отчете компании «Лаборатории Касперского». Речь идет о содержащих вирусы программах, которые пользователь устанавливает на устройство как осознанно (например, приобретая сомнительное приложение в магазине), так и неосознанно (уже зараженное устройство само приобретает и устанавливает приложение)[34].

При этом Россия оказалась лидером по количеству мобильных банковских троянов, то есть программ, предназначенных для кражи финансовой информации пользователей. С этим видом угроз столкнулись 4% мобильных пользователей. Следом идет Австралия с долей 2,26%. «Самый популярный мобильный банковский троян Svpeng распространялся в основном в России», — отмечается в сообщении компании. В прошлом году первенство в этом специализированном рейтинге занимала Южная Корея с долей в 13,8% от всех атакованных пользователей. Россия была третьей с 5,1%.

По доле пользователей, атакованных мобильными вредоносными программами всех разновидностей, лидером оказался Бангладеш, где 50,09% владельцев смартфонов или планшетов столкнулись с вирусами и вредоносными программами. В тройке также Иран (46,87%) и Непал (43,21%). Затем идет Китай (в прошлом году занимал первую позицию; в тройке также были Нигерия и Сирия).

В «Лаборатории Касперского» такие результаты объяснили тем, что в указанных странах сильно распространены так называемые рекламные трояны, которые получают доступ к системным настройкам смартфона для показа рекламы. Эти программы могут также воровать финансовую информацию или устанавливать сторонние приложения без ведома пользователя.

Positive Technologies: как крадут деньги у банка

16 декабря 2016 года компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации похищены несколько миллионов рублей (эквивалент в местной валюте).

Случай помог избежать более крупных потерь: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, что не позволило злоумышленникам в полном объеме выполнить свои задачи по выводу денег.

Эксперты Positive Technologies отметили ряд деталей, характерных для современных кибератак на финансовые организации:

  • Злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. В конкретном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троян Beacon класса RAT (Remote Access Trojan), имеющий возможности по удаленному управлению системами. Использованы: программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.

  • Использование фишинговых рассылок остается одним из успешных векторов атаки из-за недостаточного уровня осведомленности работников в вопросах ИБ. Вектор заражения инфраструктуры банка основан на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитирующих финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время выполнили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.

  • Нацеленные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и украли денежные средства: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.

«
Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь "для галочки", с целью соответствия требуемым стандартам.

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России
»

Positive Technologies. Ноябрь 2016

В ходе расследования инцидента экспертами Positive Technologies собрано множество хостовых и сетевых индикаторов компрометации, они направлены в FinCERT Банка России с целью распространения информации среди финансовых организаций и предотвращения подобных атак в будущем.

«За отчетный период FinCERT зафиксировал значительное число атак, связанных с подменой входных данных для АРМ КБР (изменение содержимого XML-документа, используемого для формирования электронного сообщения, направляемого в Банк России). Атака производилась по следующей схеме: В большинстве случаев в кредитную организацию злоумышленниками направлялось электронное письмо, содержащее вредоносное ПО, не детектируемое антивирусными средствами…»

Банковский троянец Tordow 2.0 пытается получить root-привилегии на смартфонах

Исследователи Comodo выявили новую версию банковского зловреда Tordow, атакующего пользователей в России. Троянец пытается получить root-привилегии на устройстве, что делает борьбу с ним чрезвычайно проблематичным делом.

Tordow 2.0 способен выполнять функции шифровальщика-вымогателя, а также перехватывать телефонные звонки, SMS-сообщения, скачивать и устанавливать приложения без ведома пользователя, красть логины-пароли, перезагружать устройства, и, что самое опасное, манипулировать банковскими данными и уничтожать мобильные антивирусы. Подробнее здесь.

SWIFT предупредила банки о растущей угрозе кибератак

Руководство SWIFT разослало в декабре клиентским банкам письмо, в котором предупредило о растущей угрозе кибератак. Аналогичный документ попал в распоряжение редакции Reuters[35].

В письме SWIFT также говорится о том, что хакеры усовершенствовали свои методы кибератак на местные банковские системы. Одна новая тактика связана с использованием программного обеспечения, которое позволяет хакерам получить доступ к компьютерам технической поддержки.

«Угрозы постоянны, изощренны и обладают хорошей степенью адаптивности — и уже вошли в норму, — говорится в письме SWIFT. - К сожалению, мы продолжаем наблюдать случаи, в которых некоторые из наших клиентов в настоящее время скомпрометированы от воров, которые затем рассылают мошеннические инструкции по оплате через SWIFT — аналогичный вид сообщений, которые использовались для кражи средств Банка Бангладеш».

6-кратный рост числа кибератак на российские банки

В декабре 2016 года Центральный банк России опубликовал обзор финансовой стабильности, в котором сообщил более чем о шестикратном увеличении количества кибератак на кредитные организации.

По данным ЦБ, с января по сентябрь 2016 года число несанкционированных операций по счетам физических и юридических лиц с использованием систем дистанционного банковского обслуживания составило 103,1 тыс. против 16,9 тыс. за аналогичный период 2015-го.

Количество кибератак на российские банки выросло в 6 раз

При этом объем удачных хакерских атак уменьшился на 25%: если за первые три квартала 2015 года преступникам удалось похитить у банков около 2,16 млрд рублей, то спустя года — 1,62 млрд рублей. У физических лиц украли 1,2 млрд рублей в январе–сентябре 2016 года, у юридических — порядка 387 млн рублей.

В Банке России считают, что финансовые организации несут убытки от деятельности кибермошенников по следующим основным причинам:

  • уязвимости в ИТ-системах и платежных приложениях;

  • недостатки в обеспечении информационной безопасности и отсутствие должного соблюдения требований, установленных нормативными актами и отраслевыми стандартами;

  • отсутствие необходимой координации деятельности банков в области противодействия массовым и типовым кибератакам.

Для проверки систем онлайн-банкинга на предмет уязвимости к кибератакам ЦБ намерен создать межведомственную рабочую группу, в состав которой, помимо представителей регулятора, войдут сотрудники МВД, Минкомсвязи, ФСТЭК и Министерства финансов. До 2018 года планируется создать систему стандартизации, сертификации и контроля онлайн-сервисов банков и внести соответствующие изменения в законодательство.

Кроме того, ЦБ собирается ввести обязательное двойное подтверждение транзакций, идущих по дистанционным каналам. К началу декабря 2016 года большинство кредитных организаций в РФ используют для идентификации клиента рассылку по SMS одноразовых паролей или специальные электронные USB-ключи и смарт-карты. [36]

ФСБ предупредила о готовящихся кибератаках на банки России

2 декабря 2016 года Федеральная служба безопасности (ФСБ) РФ сообщила о предстоящих кибератаках на российские банки с целью дестабилизации национальной финансовой системы.

«
ФСБ России получена информация о подготовке иностранными спецслужбами в период с 5 декабря 2016 года масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков, — говорится в сообщении российской спецслужбы.
»

Иностранные спецслужбы готовят кибератаки на российские банки

По ее информации, серверные мощности и командные центры для проведения кибератак расположены на территории Нидерландов и принадлежат украинской хостинговой компании BlazingFast.

Силовики установили, что хакерские атаки будут сопровождаться массовой рассылкой SMS-сообщений и публикаций в социальных сетях и блогах провокационного характера в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ряда ведущих банков федерального и регионального значения.

Атака рассчитана на несколько десятков городов России, заявили в службе безопасности, добавив, что проводятся мероприятия по нейтрализации угроз экономической и информационной безопасности. [37]

В Центробанке сообщили, что регулятор осведомлен о готовящихся кибератаках на банки и работает со спецслужбами для их пресечения. [38]

Компания BlazingFast, которую ФСБ считает причастной к планам кибератак на РФ из Нидерландов, подтвердила сведения о клиентах там и будет проверять их возможную незаконную деятельность. Об этом РИА Новости сообщили в BlazingFast. [39]

«
У нас в основном зарубежные клиенты. У нас мало русских или украинских клиентов… Да, у нас есть в Нидерландах. Раз вы позвонили, и эта информацию уже где-то появилась, то мы сейчас быстро начнем проверять это все дело, — сообщил агентству представитель компании.т
»

Trend Micro: Трояны - главная угроза финансовой отрасли

22 сентября 2016 года компания Trend Micro Incorporated опубликовала отчет по информационной безопасности за первое полугодие 2016 года «Время программ-вымогателей» (The Reign of Ransomware), согласно данным которого, банковские трояны остаются одной из наиболее значимых угроз в финансовой отрасли.

В отчетном периоде отмечено повышение активности трояна QAKBOT - многокомпонентной угрозы, цель которой: банковские данные, информация о привычных действиях пользователя, другая конфиденциальная информация. Основная сложность в борьбе с троянами такого типа, как QAKBOT - их непрерывная эволюция и появление модификаций.

От атак с использованием троянов страдают банки, их корпоративные клиенты, сотрудники которых выполняют банковские транзакции, используя устройства, действующие в корпоративной сети. Похищенная банковская информация используется злоумышленниками для проведения мошеннических транзакций или продается на подпольных сайтах для извлечения прибыли. От действий банковских троянов финансовые организации несут потери на компенсацию убытков, которые понесли их клиенты в результате кибератак.

Технология, способная защитить систему пользователя, должна быть комплексной, отметила в отчете компания-исследователь. Система должна блокировать угрозы из Интернета, от вредоносных файлов и электронной почты. Помимо защиты конечных точек, банкам следует использовать на своих сайтах протоколы двухфакторной аутентификации и мотивировать клиентов быть предельно внимательными при открытии сообщений электронной почты, посещении сайтов и загрузке файлов.

Группировка из 50 хакеров задержана за хищение 1,7 млрд рублей

В июне 2016 года СМИ со ссылкой на силовые структуры сообщали[40], что хакеры при помощи вредоносной программы похитили более 1,7 млрд рублей со счетов российских банков. Были задержаны 50 киберпреступников, которые действовали по всей стране. В рамках операции по задержанию хакеров проведены более 80 обысков в 15 регионах страны.

«
МВД России совместно с ФСБ России задержаны 50 подозреваемых в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения, - сообщила официальный представитель МВД России Ирина Волк.
»

Она добавила, что в результате оперативных мероприятий заблокированы фиктивные платежные поручения на 2,2 миллиарда рублей.

В Центре общественных связей ФСБ рассказали агентству «Интерфакс», что в результате обысков были изъяты компьютерная техника, средства связи, банковские карты, оформленные на подставных лиц, а также финансовые документы и значительные суммы наличных.

Было возбуждено уголовное дело по статьям «Организация преступного сообщества и участие в нем» и «Мошенничество в сфере компьютерной информации».

2015

Банки в ЕС обязали делиться информацией о кибератаках

8 декабря 2015 года стало известно о том, что европейские чиновники поддержали первый для ЕС закон о регулировании кибербезопасности. Он обязывает компании делиться данными об атаках на их сервисы. В случае отказа на них могут быть наложены санкции, передает информационное агентство Reuters.

Представители Европейской комиссии, Европейского парламента и стран Европейского союза после пятичасового обсуждения договорились о принятии законопроекта о кибербезопасности. Одним из требований является то, что компании должны будут раскрывать властям информацию об инцидентах, связанных с хакерскими нападениями на их компьютерные системы. В противном случае им будут грозить крупные штрафы.

Европа согласилась принять первый киберзакон

Это касается организаций и предприятий, представляющих критически важные для человека сферы деятельности, в том числе транспортную промышленность, энергетику, финансовый сектор и здравоохранение. Требования относятся и к интернет-компаниям, таким как Google, Amazon и eBay, но не распространяются на социальные сети.

Помимо необходимости уведомлять о кибератаках, от европейского бизнеса потребуют обеспечения высокого уровня информационной защиты своих инфраструктур.

По словам вице-президента Еврокомиссии по вопросам единого цифрового рынка ЕС Андруса Ансипа (Andrus Ansip), новая законодательная директива направлена на повышение доверия потребителей к онлайн-сервисам, особенно международным.

«Интернет не знает границ: проблема в одной стране может легко перекинуться на остальную часть Европы. Именно поэтому ЕС нуждается в глобальных решениях в области кибербезопасности. Принятое соглашение является важным шагом в этом направлении», — заявил Ансип.

Он также отметил, что в данном случае речь идет о первом когда-либо принятом законе, регулирующем вопросы кибербезопасности на территории всей Европы. О том, когда новые требования вступят в силу, не уточняется.[41]

Positive Technologies: основные тенденции кибератак в банках в 2015 году

15 октября 2015 года представители компании Positive Technologies (Позитив Текнолоджиз) выступили на конференции «Тенденции развития преступлений в области высоких технологий — 2015».

Среди основных тенденций в банковской сфере эксперты отметили рост случаев мошенничества по безналичным операциям (покупки в интернет-магазинах и т. п.) и атак на процессинг с обналичиваем украденных средств через банкоматы (потери в каждом из ставших известными случаев варьируются от 3 млн до 14 млн долл.). Также выросло количество физических атак на банкоматы: от традиционных ухищрений типа «ливанской петли» до вирусов GreenDispenser, позволяющих хакерам извлекать банкноты из кассет банкоматов.

По оценке экспертов Positive Technologies, общемировой объем потерь в 2014 году только по мошенничествам с пластиковыми картами составил около 16 млрд долл. По итогам 2015 года ожидается, что эта цифра увеличится на 25% и приблизится к 20 млрд. Это обусловлено ростом объема банковских операций, а не хорошей подготовкой преступников. При этом за последние 20 лет наблюдений доля случаев мошенничества в общем объеме операций практически не менялась: мошенники зарабатывают примерно 6 центов с каждых 100 долларов, проходящих через банки, и эта цифра из года в год меняется всего на плюс-минус полцента с сохранением среднего значения.

С 2006 года, с момента внедрения международного стандарта для операций по банковским картам с чипом EMV, неуклонно снижается объем потерь, связных со скиммингом (кража данных карты при помощи специального считывающего устройства — скиммера). И хотя уровень потерь по-прежнему высок, по итогам следующего года эксперты ожидают значительное снижение. Это связано с тем, что в октябре 2015 к общемировой практике присоединились США, на которых приходится примерно две трети общемировых потерь.

2011: Атаки трояна Carberp

Основная статья: Carberp (троян)

Какие стандарты по информационной безопасности затрагивают компании финансового сектора в РФ?

  • СТО БР ИББС-1.0-2014
  • Письмо Банка России от 24 марта 2014 г. №49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
  • Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств …»
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».
  • Закон о Критической информационной инфраструктуре
  • 152-ФЗ «О персональных данных»
  • PCI DSS
  • ПП № 1119 `Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных`
  • Положение Банка России от 24 августа 2016-го года №552-П "О требованиях к защите информации в платежной системе Банка России"

А также

  • Требования ФСБ (для обладателей лицензий на криптографию)
  • 149-ФЗ «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ»
  • 63-ФЗ «Об электронной цифровой подписи»
  • 98-ФЗ «О КОММЕРЧЕСКОЙ ТАЙНЕ»
  • Гражданский кодекс
  • Уголовные кодекс
  • КоАП РФ

Единая биометрическая система (ЕБС)

Основная статья Единая биометрическая система идентификации

Страхование кибер-рисков

Основная статья Страхование кибер-рисков

Примечания

  1. Хакеры отразились в банках
  2. Злоумышленники атакуют банки миллионами эсэмэсок
  3. Злоумышленники меняют тактику проведения кибератак на финансовые организации и обмана граждан
  4. Финансовый сектор потратил на информбезопасность 18 млрд рублей в 2023 году
  5. Ответ Банка России на письмо АРБ "Об изменении квалификационных требований к заместителю единоличного исполнительного органа кредитной организации"
  6. Письмо АРБ Первому заместителю Председателя Банка России Чистюхину В.В. "О квалификационных требованиях к кандидатам на должность заместителя единоличного исполнительного органа банка"
  7. Федеральный закон от 24.07.2023 № 340-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации"
  8. Группировка Blind Eagle атакует банки в Южной Америке
  9. Банки активизировали проведение киберучений в прошлом году
  10. Российское ПО в банках проверят на безопасность
  11. Банки возьмут под отечественную криптозащиту
  12. Банковские системы все чаще взламывают изнутри
  13. Новый метод на базе ИИ позволяет подсмотреть вводимый PIN-код в банкоматах
  14. Атака с человеческим лицом. Хакеры вскрыли корпоративные мобильные приложения банков
  15. Оценочный уровень доверия 4 (ОУД4) предусматривает методическое проектирование, тестирование и углубленную проверку
  16. [ http://docs.cntd.ru/document/1200158801 ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия]
  17. Over a third of banking malware attacks in 2019 targeted corporate users – demonstrating the need for protection
  18. Уязвимости и угрозы мобильных банков 2020
  19. Русские хакеры переключились с российских банков на иностранные
  20. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и техник
  21. Мошенники заняли телефоны
  22. Немецкие банки отказались от поддержки авторизации по одноразовому SMS-коду
  23. 97% крупных банков уязвимы к кибератакам
  24. Сотрудниками МВД по Чувашии раскрыты хищения денег с банковских счетов, которые совершались с помощью вирусных программ
  25. Россиянам дали крупные сроки за кражу денег из интернет-банков
  26. Госдума приняла законопроект о противодействии хищениям с банковских счетов
  27. Шесть главных фактов о финансовом мошенничестве в России
  28. Исследование провело аналитическое агентство TAdviser среди 50 самых крупных банков и страховых компаний России и СНГ. Экспертами выступали руководители ИТ-департаментов, их заместители, а также руководители со стороны служб ИБ. Агентство использовало формат телефонных интервью. Исследование проводилось в июле — августе 2017 г.
  29. Исследование VMware, проведенное в июне 2017 года среди 166 респондентов из банков с активами не менее 15 миллиардов долларов США: How Technology Will Shape the Bank of the Future
  30. «Лаборатория Касперского» предупредила о новой атаке на российские банки
  31. В России научились воровать деньги с кредитных карт с помощью Pokemon Go
  32. Кибермошенники создали новый способ краж денег с карт
  33. Банковские троянцы увеличат число атак на Android
  34. Россия в 2016 году стала лидером по числу мобильных банковских троянов
  35. SWIFT предупредила банки о растущей угрозе кибератак
  36. Обзор финансовой стабильности
  37. Иностранные спецслужбы готовят кибератаки, направленные на дестабилизацию финансовой системы России
  38. ЦБ осведомлен о готовящихся кибератаках на банки, работает со спецслужбами для их пресечения
  39. BlazingFast проверит клиентов на причастность к подготовке кибератак на РФ
  40. Группировка из 50 хакеров задержана за хищение 1,7 млрд рублей
  41. EU lawmakers, countries agree on bloc's first cyber-security law