Одним из самых прибыльных бизнесов организованной кибепреступности стали целевые (таргетированные) атаки на финансовые организации. Методы их проведения совершенствуются, аппетиты хакеров растут.
Для хакеров финансовые организации являются мишенью номер один. Именно в этих организациях путь к деньгам наиболее короткий. Очевидно, бессмысленно, например, атаковать сайт разработчика программного обеспечения – если его сайт не будет функционировать пару часов, это мало кто заметит. А вот для банков атаки представляют весьма серьезную угрозу. Эти атаки называются целевыми, или таргетированными, потому что злоумышленник заранее знает, кого именно (заранее выбранную компанию или физическое лицо) будет атаковать, тщательно готовится, выбирает или разрабатывает сложные средства атаки.
Атакуем банки, атакуем клиентов
Существует несколько видов целевых атак. Наиболее известный вид – это DDoS-атаки (Distributed Denial of Service, с англ. распределенные атаки отказа в обслуживании), которые, на первый взгляд, являются самыми многочисленными. Но на самом деле это не так. Просто DDoS-атаки наиболее заметны.
Суть их состоит в том, чтобы довести до отказа какую-либо информационную систему, например, интернет-сайт, систему дистанционного банковского обслуживания или иногда внутреннюю сеть компании. Этот тип атак актуален и весьма опасен для банков, у которых развита услуга интернет-банкинга (личный кабинет, онлайн-платежи и др.). Когда доступ к сайту невозможен и эти услуги становятся недоступными, это сразу всем заметно. Поэтому такого рода атаки наиболее публичны.
3 октября 2013 года на сайты Альфа-Банка, Сбербанка и некоторых других банков была осуществлена DDoS-атака, приведшая к временной неработоспособности сайтов этих кредитных организаций. В DDoS-атаке участвовало 400 компьютеров, объединенных в единую сеть. Ответственность за эту атаку взяла на себя новоявленная хакерская группировка Anonymous Caucasus. Специалисты подчеркивали, что злоумышленникам не удалось получить доступ к личным данным клиентов банков.
Существуют специализированные сервисы защиты от DDoS-атак. Многие банки об этих сервисах знают. Крупные банки применяют в обязательном порядке. Но полной защиты не дают и они – современные атаки проводятся так хитроумно и с применением такого количества ресурсов, что для их отражения требуется время и кропотливая работа многих специалистов.
Прибыль из DDoS-атак извлекается в основном за счет их заказчиков. То есть некто, желающий навредить какой-либо организации, оплачивает работу злоумышленников и используемые ими ресурсы.
Необходимо разделять атаки, направленные на сами банки, и атаки против клиентов банков. DDoS-атаки направлены на банки. А наиболее распространенным видом атак на клиентов является так называемый фишинг. Фишинг – это подмена страниц онлайн-банка с целью сбора конфиденциальной информации клиентов (логинов и паролей для доступа в личный кабинет, номеров счетов и кредитных карт и т. п.) и перевода средств клиентов на счета злоумышленников.
Из-за этого клиентам банков настоятельно рекомендуется внимательно смотреть на адресную строку страницы онлайн-банкинга. Если адрес страницы, ссылку на которую вам, например, прислали в электронном письме, не совпадает с реальной страницей онлайн-банкинга, которой вы постоянно пользуетесь, и если не соблюдается протокол https, а в адресной строке значится http, следует избегать ввода каких-либо персональных данных на данной странице. Это очень распространенный вид целенаправленных атак, от которых часто страдают клиенты банков.
«Инженеры» человеческих душ
Также на клиентов банков часто осуществляются атаки с использованием методов социальной инженерии. Социальная инженерия – это метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью «социальных инженеров» и других хакеров является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т. п.
Социальная инженерия основана на использовании неопытности клиента в вопросах информационной безопасности. При этом социальный инженер располагает максимально подробной информацией о жертве и использует эту информацию при проведении атаки для обмана. Примером целенаправленной социальной инженерии является отправка жертве якобы от имени клиентского менеджера банка электронного или СМС-сообщения следующего содержания: «Уважаемый Иван Иванович Иванов! Банк такой-то (клиентом которого адресат является – это выясняется заранее) осуществляет проверку системы безопасности. Пожалуйста, пришлите Ваши регистрационные данные (логин и пароль от личного кабинета/номер и ПИН-код кредитной карты) на данный электронный адрес/СМС-номер».
К сожалению, против атаки с использованием социальной инженерии не существует эффективных технических средств защиты. В этом случае банку необходимо заниматься просветительской работой с клиентами в области информационной безопасности. Клиенты должны знать, что банк никогда по собственной инициативе не будет запрашивать логины, пароли, номера карт, ПИН-коды, CVV/CVVC и другие конфиденциальные данные клиентов. Это запрещено правилами информационной безопасности подавляющего большинства банков.
Нередкое явление – атаки на клиентов банков через уязвимости веб-приложений, в частности уязвимости приложений ДБО. Часто в веб-приложениях для администратора оставляют какое-то универсальное слово или код, по которым можно получить доступ к привязанным к веб-приложению данным. Уязвимостями веб-приложения обычно интересуются хакеры, которые далее используют полученную информацию в личных целях. Довольно часто от данного вида атак страдают пользователи игровых приложений и сайтов.
На слуху инцидент с уязвимостью приложения ДБО нескольких российских банков, когда в строке логина от личного кабинета можно было набрать слово select, после чего открывался доступ к полной базе данных клиентов банков.
Для защиты от атак с использованием уязвимостей веб-приложений существуют специализированные файерволы web application, которые знакомы с данными уязвимостями, постоянно проверяют их, фильтруют и не дают злоумышленникам возможность ими воспользоваться.
Шпионы реальные и виртуальные
Ну и, наконец, самый мощный вид атак – таргетированные атаки на крупные организации с использованием специализированного программного обеспечения. Это самый разрушительный и постоянно растущий вид атак. Наиболее известные атаки подобного рода – Stuxnet (ядерные объекты Ирана), ZeuS (кража средств со счетов клиентов европейских банков), атаки на компании RSA и Nortel.
В 2014 году хакеры за неделю похитили более полумиллиона евро. Неизвестные использовали мошенническую схему Luuuk для кражи средств со счетов клиентов одного из европейских банков. Анализ данных показал, что целью технически подкованных преступников стали 190 счетов, принадлежащих в основном клиентам из Италии и Турции. Вредоносная программа была внедрена в систему онлайн-банкинга атакованного банка и работала в фоновом режиме одновременно с легитимной сессией. Злоумышленники использовали украденные учетные данные для проверки баланса счетов жертв и автоматического проведения трансакций.
В основе таргетированных атак лежат технологии-конструкторы, из которых собираются сложные вредоносные программы. Организованная группа хакеров-программистов получает заказ на целевую атаку на конкретный банк. Например, на взлом процессинга и перенаправление платежей или части платежей на сторонние счета. Или на сбор и пересылку заказчику всех персональных и платежных данных клиентов банка. Данная группа засылает в информационные системы банка-жертвы некие вредоносные программы или в сам банк людей-шпионов, которые собирают информацию о том, как устроена система защиты банка, какие установлены системы защиты, уязвимости и т. п.
Затем специально для данной кредитной организации разрабатывается вредоносное ПО и внедряется в банк. Оно может быть внедрено на рабочее место операциониста с подменой счетов при осуществлении банковских переводов или отчислениями небольшой суммы от переводов на сторонние счета. Последнее часто остается незамеченным, если осуществляется за счет клиентов, которые воспринимают эти отчисления как комиссию банка.
Кроме того, вредоносное ПО может быть внедрено в процессинг банка. Это крайне сложно осуществить, так как банковский процессинговый сервер хорошо защищен. Но в случае успеха хакеры получают полный доступ ко всем операциям банка.
Также таргетированные атаки на банки часто осуществляют с целью компрометации персональных данных клиента, воровства данных кредитных карт.
Нестандартная защита
Вредоносное ПО, используемое для осуществления таргетированных атак, умеет обходить стандартные средства информационной безопасности, в том числе антивирусы и файерволы. Поэтому для борьбы с таргетированными атаками были созданы специализированные системы защиты.
Они бывают, во-первых, программные, осуществляющие регулярное динамическое сканирование информационной системы организации на наличие аномалий (неизвестных ранее изменений). Если такие аномалии выявлены, система защиты отправляет данные об аномалиях в специализированное экспертное облако, в котором производится анализ и оценка, имеют ли выявленные аномалии отношение к троянской программе или другому вредоносному ПО.
Во-вторых, существуют программно-аппаратные системы защиты, которые эмулируют информационную систему предприятия, перенаправляют в нее весь трафик и анализируют его на предмет наличия вредоносного ПО. Недостатком таких систем является возможность создания вредоносного ПО, распознающего эмулированную среду и ведущего себя в ней дружественно.
Третий практикуемый подход к защите от таргетированных атак – то, что называется «разбор обломков» консалтинговой группой, которая анализирует произошедший инцидент, использованное вредоносное ПО, сценарий и т. п., чтобы компания могла защитить себя впоследствии от подобных угроз.
Согласно данным мировых аналитических агентств, в 2014 году количество целевых атак с использованием вредоносного ПО на инфраструктуру предприятий превысило число DDoS-атак. Это вполне логично, поскольку при одинаковой себестоимости обоих видов атак целевые атаки с использованием вредоносного кода гораздо более эффективны и прибыльны. В этом случае основной мишенью становятся финансовые организации, так как именно здесь злоумышленников ждет максимальная прибыль. Эта угроза не завтрашнего, а сегодняшнего дня. И бороться с ней необходимо уже сейчас.