Три четверти российских банков уязвимы для кибератак
По данным исследования ФинЦЕРТ, сотрудники 75% российских банков кликают по ссылкам, которые приходят в фишинговых письмах. В 38% банковских приложений для iOS присутствуют уязвимости высокого уровня риска, для Android этот показатель составляет 43%.
Атаки на банки в 2018 году
Около 75% российских банков уязвимы для атак киберпреступников. К такому выводу пришли специалисты ФинЦЕРТ Центробанка и российских компаний, которые занимаются расследованием кибератак. По данным ФинЦЕРТ, в 2018 г. российские банки стали мишенями 687 атак, из них 177 были целевыми.
Системы компании Group-IB зафиксировали в 2018 г. более 1,9 млн уникальных фишинговых ссылок. Это на 85% больше, чем в 2017 г. Более 26% ссылок нацелены на финансовый сектор. Около 48% финансового фишинга приходится на долю США, 4,7% атак направлены на Нидерланды, 4,51% — на Германию, и 4,46% — на российские банки.
В 2018 г. количество атак на банки возросло по сравнению с предыдущим годом, однако ущерб оказался меньше, чем год назад. Исследователи связывают это с активизацией информационного обмена между банками, в частности, с запуском автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ.
По словам гендиректора компании Positive Technologies Бориса Симиса, на сегодняшний день хакеры научились обходить антивирусы, песочницы и системы IDS. Поэтому банкам, вместо того, чтобы укреплять периметр, следует сосредоточиться на другом: предположить, что хакер уже вошел в систему, и подумать, как максимально сократить время его пребывания в ней, а также ограничить доступные ему действия.
Распространенные уязвимости
Сотрудники 75% российских банков кликают по ссылкам, которые приходят в фишинговых письмах. Еще в 25% финансовых организаций работники могут ввести свои учетные данные в поддельную форму аутентификации. Также в 25% банков есть хотя бы один сотрудник, который может запустить на компьютере вредоносное вложение. Все это особенно опасно потому, что хакеры из APT-группировок (то есть, специализирующиеся на «сложных постоянных угрозах» — Advanced Persistent Threat) используют фишинг в девяти атаках из десяти.
Также в 67% российских банков несвоевременно обновляется серверное ПО, а в 58% чувствительные данные хранятся в открытом виде. В 25% банков из внутренней сети можно получить доступ к управлению банкоматами, как показали тесты компании Positive Technologies.
В 38% банковских приложений для iOS присутствуют уязвимости высокого уровня риска, для Android этот показатель составляет 43%. В 76% мобильных приложений данные хранятся небезопасным способом, результатом чего могут стать утечки паролей, финансовой информации и персональных данных пользователей.
APT-группировки
Из APT-группировок исследователи выделяют группы Cobalt, RTM и Silence. В течение 2018 г. Cobalt осуществила 61 фишинговую рассылку, нацеленную на банки России и СНГ, в то время как на счету RTM 59 таких рассылок, а на счету Silence — шесть. По данным ФинЦЕРТ, ущерб российских банков от атак Cobalt в 2018 г. достиг 44 млн руб., а от атак Silence — 14,4 млн руб.
Cobalt умеет действовать оперативно — например, группа организовала фишинговую рассылку через 34 часа после публикации информации об уязвимости нулевого дня CVE-2018-15982, отмечают исследователи. В течение года группа использовала JS-бэкдор и вредоносное ПО CobInt. Фишинговые рассылки осуществлялись с поддельных доменных адресов, якобы принадлежавших платежной системе Interkassa, а также банкам BBVA Compass Bancshares, Европейскому центральному банку, Unibank, Альфа-банку, Райффайзенбанку. Кроме того, рассылки проводились от имени взломанного группой банка Unistream.
RTM в ходе одной из атак использовала домены в защищенной от цензуры децентрализованной зоне .bit. в качестве одного из центров управления. Но особенности архитектуры блокчейна оказались в данном случае слабым местом хакеров. Специалисты PT Expert Security Center создали алгоритм, который отслеживает регистрацию новых доменов RTM или смену их IP-адресов. Это дает возможность сообщать банкам о новых управляющих серверах уже через несколько минут после того, как хакеры их задействуют, а в некоторых случаях — до начала вредоносной рассылки.
Типы атак
По данным Positive Technologies, по итогам 2018 г. самым популярным методом, используемым в ходе атаки на банки, было применение вредоносного ПО — к этой категории относятся 58% случаев. В 49% случаев использовалась социальная инженерия, в 36% — хакинг, в 11% — подбор учетных данных, в 5% — эксплуатация веб-уязвимостей. По сравнению с 2017 г. значительно увеличилась доля атак с использованием вредоносного ПО — с 48% случаев до 58%. В качестве причины роста исследователи указывают тот факт, что вредоносное ПО становится более доступным.
В большинстве случаев атаки нацелена на систему процессинга банковских карт. Хакеры стремятся перехватить контроль над интерфейсом системы, чтобы увеличить баланс средств или кредитный лимит на банковских картах своих сообщников. После этого средства с карт обналичиваются через банкоматы.
С момента проникновения в периметр банка до обналичивания средств обычно проходит 20-30 дней, но в 2018 г. были случаи, когда этот срок составлял около полугода. Есть два возможных объяснения такому поведению: либо банк изначально не очень интересует злоумышленников и вредоносное ПО в его системе сохраняется в качестве резерва, либо у банка нет своего процессинга платежных карт и хакеры не сразу поняли, как вывести средства.
Небольшие группировки или одиночные хакеры в 2018 г. продолжали атаковать банкоматы и терминалы самообслуживания. Исследователи зафиксировали спад популярности таких методов как скимминг и шимминг (оба метода основаны на считывание данных с карт с помощью специальных устройств, присоединяемых к щели для приема карты). При этом blackbox-атаки с использованием специализированных устройств остались актуальными. При blackbox-атаке устройство подключается к щели для выдачи денег.