Спецпроекты

Безопасность Стратегия безопасности ИТ в банках Маркет

Аналитики Solar JSOC предупредили о росте количества сложных атак на банки

«Ростелеком-Солар», российский провайдер технологий и сервисов защиты информационных активов, мониторинга и управления информационной безопасностью, представил аналитическое исследование кибератак на российские банки и уровня защищенности организаций финансово-кредитной сферы в 2018 – начале 2019 г.

Всего за 2018 г. Solar JSOC зафиксировал в кредитно-финансовых организациях свыше 120 тыс. компьютерных атак. Доля критичных инцидентов – то есть таких, которых способны привести к остановке деятельности или потерям на сумму свыше 1 млн руб. – составила до 19%. Во второй половине года количество атак, направленных на получение контроля над инфраструктурой, выросло на 50%, количество атак, направленных на кражу денежных средств, – на 60%. Аналитики Solar JSOC прогнозируют дальнейший рост таких атак на финансово-кредитный сектор, подчеркивая, что в 2019 г. количество попыток вывода денежных средств из банков может вырасти в два раза.

Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар», сказал: «Банковская инфраструктура остается одной из самых защищенных, но и самых привлекательных для киберпреступников – за счет большого числа способов быстрой монетизации взлома. Поэтому злоумышленники с одинаковой интенсивностью развивают и совершенствуют все возможные методы атак: от проникновения в защищаемый периметр и взлома веб-сервисов до изощренной социальной инженерии в отношении сотрудников банка».

Большие опасения вызывает безопасность систем дистанционного банковского обслуживания в России: в рамках проектов по анализу защищенности группа пентеста Solar JSOC обнаруживала уязвимость класса IDOR (insufficient direct object references) в каждом четвертом банковском мобильном приложении. Проэксплуатировав такую уязвимость, злоумышленник может узнать номер счета клиента и остаток средств на нем, а также перевести деньги на сторонний счет, минуя этап ввода одноразового пароля. Уязвимости класса XSS (cross-site-scripting), позволяющие атаковать компьютеры или мобильные устройства клиентов банка, обнаруживаются практически в каждом приложении.

Однако основную опасность представляет «социальный» вектор киберугроз. По данным Solar JSOC, 68% сложных целенаправленных атак на банки начинается с рассылки фишинговых писем по сотрудникам. Эффективность фишинга в отношении банковского сектора выше средних значений по рынку – в среднем каждый шестой пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Во многом это связано с тем, что вредоносные рассылки, ориентированные на банки, обычно лучше подготовлены и продуманы. Они примерно на 60% чаще включают персонификацию – обращение к жертве по имени, упоминание реальных рабочих обязанностей сотрудника и т.п. Это повышает уровень доверия к письму, а с ним и вероятность, что сообщение будет открыто.

В первой половине 2018 г. через фишинговые письма, как правило, распространялся троян Dimnie, во втором полугодии он уступил место вредоносному ПО под названием RTM, созданному непосредственно для атак на российский финансовый сектор. Анализ образцов RTM начала 2019 г. показывает, что троян уже был несколько раз модифицирован злоумышленниками с целью предотвращения его обнаружения и повышения надежности работы.

Усовершенствования уже известного хакерского инструментария, выводящие его на новый уровень эффективности, можно назвать трендом. Во второй половине 2018 г. аналитики Solar JSOC регулярно сталкивались с вредоносным ПО, оптимизированным для обхода средств защиты, в том числе антивирусов и «песочниц». Уровень проработки фишинговых писем также заметно повысился. Если раньше получатель мог обратить внимание на ошибки или непривычные формулировки, то теперь письма все труднее отличить от привычных рассылок о промоакциях или приглашений на предстоящие мероприятия для организаций финансово-кредитного сектора.

Несмотря на активную борьбу с массовыми атаками в 2017-2018 гг., темпы устранения уязвимостей в кредитно-финансовой сфере остаются невысокими. Среднее время от выхода патча до полного закрытия критичной уязвимости в банках составляет около 42 дней. Это дает злоумышленникам достаточно времени, чтобы не только разработать эксплойт, но и провести несколько атак до того, как уязвимость будет закрыта.

Короткая ссылка