Спецпроекты

В России на 85% снизилась киберпреступность против банков

ПО Безопасность Стратегия безопасности ИТ в банках

В России за год было отмечено сокращение объема киберпреступлений против банков на 85% до 510 млн руб. В сегменте троянов для ПК спад составил 89%, троянов для Android — 43%, а в сфере фишинга — 65%. На подъеме только социальная инженерия. Российские группировки начали больше интересоваться целями за рубежом, а не не родине.

Спад по всем направлениям

Киберпреступления против банков и их клиентов в России резко пошли на спад: за второе полугодие 2018 г. и первое полугодие 2019 г. их объем в деньгах составил 510 млн руб., что на 85% меньше, чем за предыдущий год, когда таких преступлений было совершено на 3,2 млрд руб. Об этом сообщает ИБ-компания Group-IB, обнародовавшая глобальный отчет о высокотехнологичных преступлениях Hi-Tech Crime Trends 2019.

Если отдельно говорить о хищениях, произведенных с помощью троянов для ПК, в этом сегменте объем ущерба уменьшился на 89% до 62 млн руб. Такие преступления традиционно характерны для России, но на данный момент русскоязычные хакеры уже не создают новые десктопные трояны. Хищениями с помощью троянов для ПК в России сейчас занимаются всего две группировки — Buhtrap2 и RTM, причем активна в течение года была только вторая.

Сегмент хищений с помощью троянов для Android продемонстрировал годовой спад на 43% до 110 млн. руб. Трояны, которые раньше использовались наиболее широко, вышли из употребления: за год перестали проявлять активность 22 трояна, а создано было всего 7 новых. Количество группировок в этом сегменте сократилось в России с восьми до пяти. Одновременно средний размер кражи вырос с 7 тыс. до 11 тыс. руб., поскольку оставшиеся группировки начали использовать вместо SMS переводы card2card.

Объем преступлений в сфере финансового фишинга сократился на 65% до 87 млн руб. Из этого сегмента за истекший период ушли 15 группировок, поэтому активных групп сейчас всего 11. Средний объем средств, украденных у одного пользователя, также снизился.

Поскольку перечисленные выше типы атак стали приносить меньше денег, преступники начали чаще прибегать к другим методам — например, к социальной инженерии, которая таким образом стала самой распространенной киберугрозой для пользователей банков в России. С конца 2018 г. в стране наблюдается волна вишинга — телефонного мошенничества. Банки занимаются поведенческим анализом действий пользователей для выявления подозрительной активности, но это делают только крупные банки, поэтому вишингу прогнозируют высокую динамику в будущем.

Кража данных банковских карт

Объем преступлений в сфере кражи данных банковских карт вырос на 33% и до 56 млрд. руб. Количество карт, данные о которых утекли в интернет, увеличилось на 38% — с 27,1 до 43,8 млн. Примерно 80% рынка приходится на дампы, то есть содержимое магнитных полос карт. За год исследователи нашли 31,2 млн дампов, выставленных на продажу, это на 46% больше, чем за предыдущий год. Продажа текстовых данных, таких как номер карты, CVV и срок действия, показала рост на 19%. Было зафиксировано увеличение средней цены текстовых данных с $9 до $14, а вот средняя цена дампа упала с $33 до $22.

groupibbanks600.jpg
В России сократился объем киберпреступлений против банков

Дешевле всего стоят данные карт американских банков: средняя цена составляет $8-10 за актуальные текстовые данные и $16-24 за дампы. Данные о картах европейский банков традиционно стоят дорого: $18-21 за текст и $100-120 за дамп. Российские карты в крупных точках продажи встречаются редко, но если встречаются, цена на них средняя. Цена дампа за год выросла с $48 до $71, а цена текста упала с $15 до $12. Максимальная цена за дамп карты российского банка в 2018 г. составила $170, а в 2019 г. подскочила до $500.

Существенно выросла популярность использования JS-снифферов — JavaScript-инструментов, с помощью которых осуществляется кража данных банковских карт на веб-сайтах, в первую очередь текстовых. В течение года было обнаружено 38 семейств JS-снифферов, в настоящий момент их уже больше, чем банковских троянов. По использованию JS-снифферов лидируют США, на втором месте находится Великобритания. Применение JS-снифферов опасно в основном для тех стран, где мало распространен XML-протокол 3D Secure.

Также текстовые данные карт мошенники узнают с помощью фишинга. Этот сегмент становится более конкурентным, появляются новые тенденции. Например, преступники взяли на вооружение панели для управления веб-инжектами и автозаливом, до этого применявшиеся только в преступлениях с использованием троянов. Разработчики фишинг-китов стали больше заботиться о самозащите. Для этого они используют блокировку подсетей вендоров по безопасности и хостинг компаний, а также отдают фишинговый контент только с IP-адресов региона, в котором находится пользователь. Кроме того, используется перенаправление на легитимные сайты и проверка аномальных user-agent.

Активность группировок

Потери от целевых атак на российские банки со стороны финансово мотивированных хакерских группировок снизились в 14 раз до 93 млн руб. Средняя сумма кражи в результате целевых атак на банки в России сократилась со 118 до 31 млн руб.

Распределение киберпреступлений в финансовом секторе по сегментам

Лидерами в сегменте киберпреступлений против банков считаются русскоязычные группировки Cobalt, Silence и MoneyTaker, а также северо-корейская Lazarus и новая группа SilentCards из Кении. Из них только Cobalt, Silence и MoneyTaker имеют в своем распоряжении трояны, с помощью которых можно управлять диспенсером банкомата и выводить деньги. В течение года атаками через банкоматы занималась только Silence, атаками через карточный процессинг — Silence и SilentCards, а через SWIFT — Lazarus, причем последняя сумела совершить два успешных хищения в Индии и на Мальте общей стоимостью $16 млн.

Lazarus единственная использует метод хищения FastCash, известный с конца 2018 г., но впервые опробованный в Азии еще в 2016 г. Silence стали меньше внимания уделять своим фишинговым рассылкам и теперь покупают доступ в целевые банки у коллег — например, у группы ТА505. Из всех пяти группировок SilentCards хуже всех подготовлена технически и пока успешно атакует только африканские банки.

В течение года Cobalt и Silence по одному разу нападали на российские банки, а MoneyTaker — два раза. Первые две группировки теперь больше интересуются целями за рубежом, что очень сокращает ущерб для российского финансового сектора. В дальнейшем все три русскоязычные группировки, вероятно, продолжат атаки на зарубежные цели. Локально в своем регионе будет действовать только SilentCards.

Деньги будут выводиться с помощью атак на систему карточного процессинга и троянов для банкоматов. На SWIFT группировки будут нацеливаться намного реже, только Lazarus будет совершать хищения через SWIFT и ATM Switch. Исследователи считают, что для уничтожение следов после успешных атак хакеры будут выводить из строя инфраструктуру.



Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS

Тема месяца

Обзор: ИТ-тренды CNews 2020

Индексы «ИТ-тренды CNews 2020» и «ИТ-тренды CNews 2020 Реальный сектор».