Кибератаки, сливы, мошенничество: как атакуют финансовый сектор

Число кибератак на российские банки растет, и атаки становятся более изощренными. Чаще всего мошенники пытаются вывести из строя информационные системы финансовых организаций и получить доступ к инфраструктуре, чтобы украсть данные клиентов и денежные средства. Рассказываем, что делают хакеры и как снизить риски.

Почти половина (46,9 %) всех случаев утечки информации в 2023 году приходится на банки. Объем слитых данных превышает 170 млн записей, что вдвое больше показателей 2021 года.

Каким образом действуют злоумышленники

- Виды кибератак на финансовый сектор

- - Вредоносное ПО (ВПО)

- - DDoS-атаки

- - Фишинговые рассылки

- - Инсайдерская активность

- Слив информации

- Действия мошенников

Почему банки не могут защититься полностью

Как снизить риски и обезопасить финансовую организацию

Заключение

Согласно данным Центробанка, в I квартале 2024 года российские банки отразили почти 14 млн кибератак, тем не менее мошенникам удалось «увести» со счетов клиентов больше 4 млрд рублей.

Вместе с совершенствованием систем защиты банков растет и изобретательность злоумышленников. По статистике, для хищения данных и денежных средств хакеры чаще всего используют следующие типы компьютерных атак:

DDoS-атаки — 41,2 %;
вредоносное ПО — 34,34 %;
фишинговые рассылки — 15,26 %;
другие типы атак (сканирование, подбор паролей) — 9,2 %.

Диаграмма наглядно показывает, какие техники для атак на банки обычно выбирают киберпреступники

Важно! Внушительная часть кибератак носит гибридный характер и нередко совершается с привлечением лиц, работающих в финансовых организациях, или является прикрытием для внутренних хищений. Доля инцидентов, связанных с инсайдерской активностью, достигает 66 %, а это 2/3 всех инцидентов.

Особенность финансового сектора в том, что здесь недопустимыми для бизнеса событиями являются не только утечки персональных данных клиентов и кража средств, но и нарушение внутренних бизнес-процессов, а также сбой в работоспособности клиентских сервисов.

Расскажем об основных видах атак, как они проявляются и к каким последствиям могут привести.

Почти половину всех успешных атак проводят с помощью вредоносного ПО, причем в одной атаке может быть задействовано сразу несколько вредоносных программ.

Чаще всего хакеры используют:

Программы-загрузчики (до 59 % случаев) — они собирают данные о скомпрометированном узле и загружают по сети дополнительную программу для атаки.
ПО для удаленного доступа (до 37 % случаев) — позволяет управлять работой зараженного ПК: собирать информацию о пользователе, скачивать и запускать программы, выполнять вредоносный код.
Шифровальщики (до 18 % случаев) — шифруют критически важные данные и требуют выкуп за доступ, плюс возможен повторный шантаж и плата за неразглашение конфиденциальных данных.
Шпионское ПО (до 18 % случаев) — следит за пользователем ПК: запоминает кнопки, которые он нажимает, крадет логины и пароли, записывает звук с микрофона и видео с веб-камеры.
Банковские трояны (до 12 % случаев) — нацелены на кражу финансовой информации: номеров карт, адресов криптокошельков, данных для входа в личный кабинет онлайн-банкинга.

Успешный взлом через ВПО — это мгновенный куш: можно вывести деньги, продать доступ в систему банка на теневом форуме или зашифровать данные и запросить выкуп

Чаще всего вредоносное ПО распространяют через почту. Письмо от хакера выглядит так, чтобы вызывать доверие. Например, может быть похоже на сообщение от контролирующей организации, рекомендации от высокопоставленного лица или ответ на посланный ранее запрос. Когда человек переходит по ссылке из письма, злоумышленникам открывается доступ в локальную сеть банка.

Аналитики отмечают, что за последнее время число DDoS-атак на финансовый сектор выросло в 10 раз. За I полугодие 2024 года российские банки наблюдали атаки в среднем по 3–5 тысяч раз. Самые масштабные «налеты» случились в июле — около 50 тысяч DDoS-атак на финсектор, из них более 67 % за последнюю неделю месяца.

DDoS-атака — это длительная отправка множества запросов на конкретные IP-адреса с целью перегрузить ресурс и сделать его недоступным для пользователей. Киберпреступники используют DDoS-атаки на банки для вымогательства, взлома систем или просто хотят вызвать хаос и негативное отношение к банку.

В результате подобной атаки у клиентов могут возникнуть проблемы с доступом к онлайн-банкингу, платежным системам или другим сервисам, что, в свою очередь, может повлечь финансовые потери у банка и его клиентов.

DDoS-атаки нередко используют, чтобы вызвать панику и отвлечь внимание от других кибератак

Эта мошенническая схема предполагает отправку хакерами фейковых писем или сообщений, чтобы выманить личную информацию: пароли, номера кредитных карт, данные банковских счетов и другие конфиденциальные данные.

Сообщения составляют, используя методы социальной инженерии, чтобы они вызывали максимум доверия у пользователя, привлекали внимание и побуждали отдать секретные данные.

Фишинговые письма с первого взгляда не отличить от официальных. Но при внимательном изучении можно заметить ошибки и несоответствия

Письмо обычно содержит ссылку для загрузки файла. Кликнув по ней, сотрудник попадает на страницу, где нужно ввести данные корпоративного аккаунта. Как только он вводит данные, они попадают в руки киберпреступников и те получают доступ во внутреннюю сеть банка.

Для справки. Фишинговые рассылки отличаются от писем с распространением ВПО характером вложения. В первом случае человек переходит по ссылке и сам сдает личные данные, во втором — открывает файл (Word, Excel, архив), в результате чего на ПК устанавливается вредоносная программа.

Инсайдерами называют людей, которые имеют доступ к информации, недоступной широкой публике: закрытой финансовой информации, паролям и другим данным. Это то, что нужно киберпреступникам, и они делают так, чтобы заставить инсайдера действовать в их интересах.

Инсайдеры могут сотрудничать со злоумышленниками по своей воле, обычно за вознаграждение, или под действием шантажа. Технически передача информации может происходить любым способом, от простого слива до добровольного фишинга, когда человек целенаправленно пройдет по полученной ссылке и якобы невольно сдаст пароли.

Часто в утечке данных виноваты сотрудники банков, причем как работающие, так и уволившиеся или планирующее увольнение. Но такие случаи не разглашаются, чтобы избежать репутационных потерь.

Причин слива может быть несколько:

Неосторожность — сотрудник по незнанию или из любопытства пересылает секретную информацию, не имея корыстных целей.
Обида — из-за возникших на работе сложностей, разногласий с руководством, несправедливого отношения к себе человек может слить данные злоумышленникам за вознаграждение или напрямую вымогать деньги за украденную информацию.
Шантаж — сегодня стало проще найти компрометирующую информацию, которая позволит надавить на нужного человека, чтобы получить желаемое.
Целенаправленный слив — сотрудник воспринимает слив данных как способ заработать и ищет возможности сбыть добытую информацию.

Кейс. В практике Staffcop был случай, когда сотрудник компании-партнера решил сменить место работы и забрать с собой конфиденциальные данные. Он скопировал документы в папку, заархивировал и ждал возможности, чтобы вынести. ПО Staffcop отследило активность архиватора, проанализировало содержимое папки и выдало офицеру ИБ сигнал о копировании и архивировании важных файлов. Слив удалось предотвратить.

Как защититься от слива данных сотрудниками?

Предоставлять сотрудникам доступ только к тем данным, которые нужны для выполнения рабочих задач.
Не хранить важные данные на рабочих ПК сотрудников, только на сервере.
Установить правило использовать на рабочем месте корпоративный мессенджер и не смешивать личные и рабочие переписки.
Повышать осведомленность сотрудников в вопросах кибербезопасности.
Использовать технические средства ИБ: DLP- и IRM-системы, такие как ПО Staffcop, по контролю действий пользователей.

Чтобы избежать слива данных сотрудниками, важно создать в коллективе дружественную обстановку, интересоваться, какие события происходят в жизни людей. Делать это можно в формате small talk и во время личных бесед с сотрудником, устраивать которые желательно пару раз в месяц.

Атака на финансовую организацию — сложный, многоступенчатый процесс. Но, как правило, все они происходят по схожему алгоритму.

Киберпреступники собирают данные о системах банковской сети, бизнес-процессах, партнерах и сотрудниках.
Разрабатывают или адаптируют под свои задачи ВПО, создают фишинговые письма, продумывают схему отмывания денег, тестируют механизм атаки.
Проникают в локальную сеть банка, например через фишинговое письмо, и ищут уязвимости.
Компрометируют систему, получают доступ к данным и деньгам.

Вредоносное ПО не просто так занимает первое место в списке инструментов киберпреступников. Это связано с увеличением его доступности. Сейчас есть множество ресурсов и партнерских программ, которые предлагают решения из «коробки» с детальной инструкцией.

Громкий случай произошёл в марте 2022 года, когда в даркнете появились данные более 100 000 российских банковских карт. Сведения были получены с помощью ВПО. А затем началось вторичное мошенничество: злоумышленники создали сайты, на которых пользователи якобы могли проверить, не попала ли их карта в слитую базу. Люди переходили на эти сайты по рекламным объявлениям в соцсетях и мессенджерах, вводили данные своих карт и теряли деньги.

В июле 2024 года российский финсектор столкнулся с хитрыми DDoS-атаками, сервисы серьезных игроков рынка, таких как Мосбиржа, «ВТБ», «Альфа-банк», «Газпромбанк», платежная система «Мир», были недоступны долгие часы.

Атака напоминала ковровую бомбардировку: запросы посылались сразу на все IP-адреса финорганизаций, причем с невысокой мощностью на каждый адрес. В этом и заключалась главная хитрость — запрос в 1 Мбит/с сложно детектировать, чаще всего система защиты относит его к фоновой активности. Но в сумме такие атаки превращаются в мощный вредоносный трафик.

Чтобы положить банк, киберпреступникам не обязательно бить в него напрямую. Они могут действовать через провайдера и атаковать его средства защиты с силой больше, чем у используемых коммутаторов и маршрутизаторов. В итоге пострадает не только целевой банк, но и другие клиенты провайдера. Подобная ситуация наблюдалась в Крыму осенью 2023 года.

Что касается фишинговых писем сотрудникам банков, в них в основном идет давление авторитетом, и у человека возникает страх не выполнить требуемое действие. В обзоре Центробанка приводится несколько вариантов писем, которые оказались самыми результативными для мошенников. Это письма от ФинЦЕРТа ЦБ РФ с требованием установить какой-то программный модуль, сообщения от Роскомнадзора, уведомления о внеплановой аудиторской проверке Центробанка, ответы на запросы в Национальное бюро кредитных историй и т. п.

Пример фишингового письма сотруднику банка якобы от Финцентра ЦБ РФ. Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fcbr.ru%2FCollection%2FCollection%2FFile%2F49180%2FAttack_2023.pdf&postId=1619455" rel="nofollow noreferrer noopener" target="_blank">cbr.ru</a>

Фишинговые рассылки выглядят реалистично, но, если проявить бдительность и предельную внимательность, можно обнаружить несоответствия:

Мошенники используют вымышленные имена сотрудников, несуществующие названия отделов.
Домен организации может не соответствовать домену отправителя письма.
Всегда есть важная причина действовать немедленно и побуждение к действию.
Содержание письма может противоречить реальной картине дел. Предположим, только вчера достигнуты договоренности по какому-то вопросу, а в письме обратное требование.
В тексте могут быть орфографические и стилистические ошибки.
В письме может не оказаться заявленного в теме содержимого и т. п.

Для справки. К причинам, почему фишинговые письма работают, относятся также любопытство и желание помочь. Письмо от регулятора может прийти на почту рядового сотрудника банка, и он выполнит требования, изложенные в нем, из интереса или желания помочь руководителю.

Если отбросить такой фактор, как недостаточное внимание к безопасности и слабый контроль, остаются три основные причины:

1. Обновляемые схемы мошенничества — специалисты ИБ внедряют надежные системы защиты от известных угроз, а мошенники видоизменяют атаки, находят узкие места в защите, придумывают новые, изощренные инструменты. Так было с ковровой DDoS-атакой в начале лета, мощные запросы на IP-адреса системы безопасности распознали бы с легкостью, а вот слабые и всесторонние уловить не удалось.

Отношения между безопасниками и киберпреступниками похожи на игру в пинг-понг: как только первые придумывают защиту от угрозы, вторые тут же разрабатывают новый способ атаки

2. Человеческий фактор — можно упустить наличие серьезных финансовых проблем у сотрудника, не заметить его обиду и злой умысел. А сами сотрудники, несмотря на обучение по кибербезопасности, могут попасться на фишинговое письмо.

3. Уязвимое ПО — из-за ухода с рынка западных вендоров многие российские банки перешли на отечественное ПО. Но некоторые продолжают использовать прежние решения без обновлений — в таком ПО множество уязвимостей, известных хакерам. Кроме того, компании нередко создают свои продукты ИБ на базе программ с открытым исходным кодом, в котором есть уязвимости. В результате появляется изначально уязвимое ПО — легкая добыча для киберпреступников.

Чтобы защититься от атак, нужно целенаправленно работать по этим трем пунктам.

Упрощенно формулу эффективной ИБ можно представить как сочетание грамотных регламентов, надежных технических решений и киберобучения.

1. Регламенты по ИБ

должны быть четкими и понятными и точно отвечать на вопросы, что делать можно, а чего — нельзя;
с регламентами по ИБ все сотрудники должны быть ознакомлены под подпись;
регламенты нужно периодически освежать в памяти: повторное прочтение, тесты, геймификация.

2. Технические решения:

импортозамещение и использование надежного отечественного ПО;
многофакторная аутентификация;
шифрование данных;
сетевые фильтры и межсетевые экраны (NIDS/NIPS) для блокирования подозрительной активности в сети;
антишпионское ПО, антивирусное ПО и песочницы (специальные решения для запуска файлов в изолированной среде для проверки их безопасности);
системы обнаружения и предотвращения вторжений, такие как IDS и IPS;
системы контроля за действиями сотрудников, такие как Staffcop Enterprise.

3. Киберобучение:

регулярные тренинги по безопасности для сотрудников банка;
обучение для специалистов по ИБ;
взаимодействие отдела ИБ банка с ФинЦЕРТ и использование технической информационной инфраструктуры Банка России.

Киберпреступники очень изобретательны, и защититься от их атак помогут только комплексные меры.

Реалии нового времени требуют от финансовых организаций предельной бдительности. ИБ выходит на передний план вместе с удобством и доступностью сервисов для клиентов. Только грамотный и системный подход к вопросу кибербезопасности позволит избежать слива данных и кражи денежных средств.

#финансовыеорганизации #кибератаки #сливданных #атакинабанки #информационнаябезопасность

С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.

Оставить заявку