ЦБ признал, что поражение систем вредоносными программами является основным трендом для организации кибератак на банки
По данным ЦБ киберпреступники начали использовать более сложные схемы хищений. Для проникновения в инфраструктуру банка преимущественно используется рассылка фишинговых писем, однако и внутренняя атака вполне возможна – недовольный сотрудник ИТ-отдела может принести, например, зараженную флешку. Далее происходит поражение систем вредоносными программами, исследование сети и рабочих процессов атакуемой организации, подготовка атаки, реализация атаки и вывод средств через различные каналы. Отследить такие атаки сложнее, но главная неприятность в том, что, попав в информационную сеть банка, вредонос может сохраняться в ней и после завершения атаки, что приводит к рискам повторных хищений.
Самой известной группировкой хакеров, которой в ЦБ приписывают большинство успешных атак на российские банки в 2017 году, является Cobalt. Группировка названа в честь используемой ею для атак вполне легальной программы Cobalt Strike. Залогом успеха этих хакеров стали упорство и промышленные масштабы атак. «Злоумышленники делают рассылки фишинговых писем, которые в среднем охватывают около сотни банков. Если им не удается нигде "зацепиться", через день-два идет повторная рассылка, — рассказывает руководитель экспертного центра безопасности Positive Technologies Алексей Новиков. — Если же повторной рассылки не происходит, то атака удалась. Как правило, через неделю-две появлялась информация о хищениях». Потом ситуация повторяется, но уже с другой группой банков.
В целом было зафиксировано 240 попыток атак на кредитные организации, а средняя сумма хищения составила 104 млн руб. в 2017 году. При этом нужно учитывать тот факт, что многие банки не обнародуют информацию о том, что их ограбили. Некоторые эксперты утверждают, что реальный ущерб, нанесенный только банкам кибератаками в 2017 году, примерно в 1,5 раза больше озвученного ЦБ. По словам зампреда правления Сбербанка Станислава Кузнецова, анализ банка показывает, что официальные данные могут быть меньше истинного размера ущерба в 10-20 раз. Он подтверждает, что проблема в скрытности кредитных организаций, но «вряд ли кто-то сможет посчитать убытки от хакеров, когда банки молчат, что их ограбили».
Для предупреждения целевой атаки на инфраструктуру банка рекомендуется реализовывать многоуровневую систему защиты. На практике даже проектирование системы многоуровневой защиты является весьма ресурсоемким проектом. Реализация спроектированных многоуровневых мер защиты может быть и вовсе сложно решаемой задачей с негарантированным результатом. Необходимо отталкиваться от принципа «знай свои технологии» и иметь степени свободы в методическом обеспечении проекта внедрения – ИТ-системы банка постоянно изменяются. Необходимо иметь возможность простыми методами предупредить большинство векторов атак и существенно усложнить любые сценарии их подготовки и реализации. Самое простое – это обучение и тренировка персонала, чтобы операционист или другой сотрудник не открыл письмо с вредоносом или не прошел по ссылке, которая инициирует его загрузку. Но такие фишинговые рассылки могут выглядеть очень правдоподобно. «Оптимальный выход из данной ситуации – полностью исключить возможность запуска вируса или другой вредоносной программы на компьютере сотрудника или другом устройстве сети банка», - говорит директор по развитию бизнеса "Протекшен Технолоджи" Светозар Яхонтов. – Это достигается установкой специальной защиты, работающей по принципу белых списков – запускаются только процессы, которые были заранее одобрены. Ранее такие системы имели ряд недостатков, связанных с необходимостью перенастройки при обновлении банковского ПО. И в данный момент востребованность их высока, что позволило сделать необходимые доработки для соответствия требованиям эксплуатации в банках и на других предприятиях с постоянно меняющимся составом используемого ПО».
Самой известной системой, позволяющей обеспечить целостность ПО в процессе работы является TPSecure Teller. Она разработана компанией "Протекшен Технолоджи, работающей на рынке с 2000 года.
