Сдали на взлом: мошенники научились маскироваться под ЦБ

Киберпреступники провели серию масштабных атак на российские банки в конце прошлого года. Об этом говорится в отчете IT-компании Positive Technologies (есть у «Известий»). Была обнаружена новая группа хакеров, которая маскировалась под подразделение Центробанка ФинЦЕРТ и «Альфа-Капитал». По оценкам IT-организации, ущерб для кредиторов от атак злоумышленников в 2018 году составил минимум $20 млн, или примерно 1,3 млрд рублей. Опрошенные «Известиями» банки также зафиксировали в прошлом году рост активности хакеров. По их словам, в основном для вывода денег мошенники пытались проникнуть в инфраструктуру.

Здравствуйте, мы из ЦБ

Хакеры усиленно атаковали российские банки в IV квартале 2018 года, сообщают эксперты Positive Technologies. К уже знакомым группировкам Silence и Cobalt присоединилась еще одна. Ее название пока не известно рынку кибербезопасности. Члены этой группы якобы от лица подразделения ФинЦЕРТ Центробанка рассылали вредоносные документы с макросами. Другим примечательным способом атаки эксперты Positive Technologies называют рассылку через скомпрометированную учетную запись сотрудника компании «Альфа-Капитал». В ЦБ и «Альфа-Капитале» на момент публикации не ответили на вопрос «Известий», в курсе ли они, что киберпреступники действовали от их лица.

В Positive Technologies не смогли конкретизировать ущерб за IV квартал. Но там отметили, что за весь прошлый год атаки стоили финансовой отрасли более $20 млн (примерно 1,3 млрд рублей). В последнем отчете отделения по информационной безопасности Банка России ФинЦЕРТ говорится, что за январь–август 2018 года банки потеряли 76 млн рублей от хакерских атак, тогда как за тот же период в 2017-м аналогичная сумма составляла более 1 млрд. Впрочем, итоговый ущерб финансовой сферы в 2018 году может оказаться сопоставимым с показателем 2017 года, так как всплеск активности был зафиксирован в последние месяцы, оценил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Экономика атаки

По данным Positive Technologies, за прошлый год от взломов пострадали более 1 млн человек. В 78% случаев была атакована банковская инфраструктура, в 13% — веб-ресурсы, в 9% — банкоматы и POS-терминалы. Крали киберпреступники чаще всего персональные данные — в 39% случаев. По 15% похищений приходятся на учетные данные, информацию о платежных картах и коммерческую тайну. 8% — личная переписка, остальное — другая информация.

Киберпреступники нацелены либо на вторжение в инфраструктуру банка и прямой вывод денег, либо на информацию, сказал «Известиям» директор экспертного центра безопасности Positive Technologies Алексей Новиков. Например, данные платежных карт дают доступ к финансовым средствам, сведения учетных записей могут быть использованы для дальнейшего развития атаки на банк, коммерческие тайны могут быть реализованы на рынке. Расходы на атаку сравнительно невелики — около $600. Услуга по выводу денег стоит от 25% похищаемой суммы. Если группировке удалось украсть несколько десятков млн рублей за раз, то все затраты на атаку окупаются сразу же, говорит эксперт.

Основная цель хакеров — это получить доступ к финансовым потокам банков, например, к переводам со счета на счет. Но проникнуть в инфраструктуру удается в нескольких процентах случаев. При этом реально до денежных потоков хакеры добираются еще в несколько раз реже, так как на вторжения реагируют системы безопасности. Однако когда это происходит, банк может потерять до нескольких десятков миллионов долларов.

Марш потерпевших

«Известия» обратились в 11 системно значимых банков с вопросом, изменилось ли количество хакерских атак в 2018 году по сравнению с 2017-м и к каким потерям это привело.

В Сбербанке сообщили, что активность киберпреступников существенно возросла. За 2018 год было зафиксировано 96 DDoS-атак, тогда как годом ранее — 45. Также они получили 600 тыс.ч электронных писем, содержащих фишинг и вредоносные вложения. Все атаки отражены, подчеркнули в кредитной организации. Основные виды преступлений в 2018 году — это таргетированные атаки на сотрудников и атаки шифровальщиков. В 2019 году, по прогнозам Сбербанка, основную угрозу будут представлять атаки с использованием социальной инженерии (направлены на выманивание данных при личном контакте с человеком). Ежегодный бюджет на информационную безопасность — 1,5–2 млрд рублей, уточнили в банке.

В Московском кредитном банке сообщили, что зафиксировали несколько десятков серьезных попыток проникновения в инфраструктуру. По словам представителя МКБ, мошенники пытались проникнуть в платежные системы и шлюзы, в которых обрабатываются платежи. Благодаря работе по совершенствованию систем безопасности банк справляется с атаками, однако в целом достаточно создания хотя бы одной нелегитимной трансакции, чтобы обеспечить огромные потери для кредитной организации, отметили там.

В банке «Открытие» сообщили, что активность киберпреступников в 2018 году возросла, а используемые хакерами методы стали сложнее. Кроме кражи денег, часто целью хакеров является блокирование работы отдельных систем и сервисов кредитной организации. Для этого проводятся DDoS атаки, используются недостатки ПО и его настроек. Также в банке рассказали, что в 2018 году клиенты жаловались на получение зараженных писем, замаскированных под официальную рассылку «Открытия».

В ВТБ и Росбанке рассказали, что кредитные организации регулярно подвергаются атакам и активность хакеров с каждым годом увеличивается. Основная цель киберпреступников — проникновение в автоматизированные системы банка для вывода денежных средств. Другие организации из топ-11 не ответили на вопросы «Известий» об атаках в прошлом году.

В Минкомсвязи «Известиям» сообщили, что в ближайшие годы будут усиливать борьбу с киберпреступностью. Например, планируется создать киберполигоны – виртуальную инфраструктуру, моделирующую нагрузку на системы, такую как хакерские атаки. Также запланированы специальные мероприятия по обеспечению безопасности отечественных платежных систем с использованием российских криптографических алгоритмов. Всего до 2021 года министерство запланировало около 140 различных мероприятий, направленных на повышение информационной безопасности.

Дмитрий ГРИНКЕВИЧ