Мощность DDoS-атак на банки возросла в 10 раз, говорится в отчет ЦБ о кибербезопасности в финансовой сфере.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) подготовил отчет о ситуации в сфере кибербезопасности сложившейся во втором полугодии 2016 года и первом полугодии 2017 года. Финансовые киберзлоумышленники не дремлют, впрочем, как и финансовые киберзащитники.

Какие кибератаки угрожают финансовой безопасности?

За отчетный период были зафиксированы следующие основные типы атак:

DDoS-атаки, в том числе угрозы DDoS-атак. Зафиксированная мощность атак возросла в 10 раз по сравнению с началом 2016 г. и составила 6200 Мбит / с.

Массовые рассылки почтовых сообщений, содержащих загрузчики вредоносного программного обеспечения (ВПО) - атаки, име­ющие отношение к социальной инжене­рии.
Атаки, направленные на устройства само­обслуживания.

Статистика показывает, что наибольшее количесвто DDoS-атак наблюдалось в 4-м квартале 2016 года, а наибольшая интенсивность целевых и нецелевых атак пришлась на 2-й квартал 2017 года. Наибольшая мощность мощности DDoS-атак (6000-6200Мбит/с) фиксировалась в первых двух кварталах 2017 года.

Среди массовых рассылок почтовых сообщений подавляющее большинство (73%) составляют типы вложений «Социальная инженерия с вложением-вирусом, массовая рассылка».

Если говорить о типах ВПО, которое содер­жится в фишинговых письмах, то наибольшее количество рассылок (58%) приходится на вредоносные программы типа Trojan.Downloader. Ее главная цель – загрузка и уста­новка на компьютер различных вредоносных и «троянских» программ.. По сравнению с предыдущим отчетным периодом доля подобных вложений увеличилась на 5%.

Второе место по популярности у киберзлоумышленников занимает Trojan.Encoder – вредоносная программа, шифрующая файлы на жестком диске компью­тера и требующая деньги за их расшифровку. В результате зашифрованными могут оказать­ся файлы *.doc, *.docx, *.pdf, *.jpg, *.rar и так да­лее. Доля таких вложений составила 13%, что на 5% меньше, чем в предыдущем отчетном периоде.

На третьем месте Backdoor – вредоносная программа, назна­чение которой – скрытое от пользователя уда­ленное управление злоумышленником компью­тером жертвы (по сути это программа удаленного администрирова­ния). Часто такие программы используются для создания ботнетов - компьютерных сетей, состоящих из узлов с запущенным однотипным центра­лизованно управляемым вредоносным ПО. Доля подобных вложе­ний составила 11%.

В отчетный период вырос интерес злоумыш­ленников к атакам на банкоматы. Основной тренд логических атак (все операции выполняются че­рез удаленный доступ с использованием программных средств) – использование ПО Cobalt Strike, изна­чально предназначенного для проведения те­стирования на проникновение. В данном слу­чае Cobalt Strike – средство для получения удаленного доступа к банкоматам и передачи на них ПО, непосредственно взаимодействую­щего с XFS-фреймворком банкомата для выда­чи денежных средств. После выдачи денежных средств, как правило, запускаются програм­мы для уничтожения информации наподобие SDelete – легальной утилиты по уничтожению файлов от Microsoft.

Основные категории «физических» атак (повреждение или вскрытие устройства, подключение внешних устройств) остались традиционными:

Скимминг - установка специальных техни­ческих средств, причем не обязательно в кар­топриемник, для хищения данных, записанных на магнитную ленту платежной карты. PIN- код, как правило, похищается с помощью от­дельного технического устройства – видеока­меры или фальшивой накладки на PIN-пад.

В ряде случаев отмечено использование нового вида скиммингового оборудования – так называемого перископного.

Шимминг - установка в картоприемник спе­циальных технических средств, предназна­ченных для хищения данных с EMV-чипа кар­ты. Таким образом похищается следующая ин­формация: история платежей, информация, со­держащаяся на Track 2 карты, срок действия.

Black Box - установка либо подключение тех­нического устройства, взаимодействующего с компонентами банкомата (чаще всего с дис­пенсером) и отдающего последнему команду для выдачи денежных средств.

Атаки на бесконтактные карты (NFC) - не­смотря на отсутствие подтвержденных све­дений о фактах успешного создания в России дубликатов платежных карт, существует техни­ческая возможность хищения бесконтактным методом ряда важных данных, включая тип используемого платежного приложе­ния, срок действия карты, имя держателя карты, PAN (Primary Account Number) карты и др.

Подмена процессинга - в этом случае бан­комат отключается от процессинга кредитной организации и подключается к устройству, ими­тирующему его. Передовые устройства могут эмулировать нормальное состояние банкома­та (обслуживание клиентов) для мониторин­га ПО. Так, суть атаки заключается в передаче банкомату подложных команд о выдаче денеж­ных средств без нарушения общей логики рабо­ты банкомата и модификации его компонентов, как аппаратных, так и программных.

Transaction Reversal Fraud (TRF) – получение наличных денежных средств с одновременным воздействием на ра­боту банкомата и процессингового центра, в ре­зультате чего отсутствует корректное завер­шение операции по выдаче наличных средств и не меняется баланс по карте (манипулирова­ние карточным счетом).

Как защитить финансовую безопасность от кибератак?

В целях защиты финансовой безопасности ФинЦЕРТ регулярно готовит предложения по разделегированию доменов в сети Интернет. Регистраторы домен­ных имен уведомляются о доменах, с которых рассылается вредоносный код и осуществляются мошенни­ческие действия, связанные с использованием платежных карт.

В 2017 году по инициативе регулятора заблокировано 367 доменов. Из них 44 принадлежали лжебанкам, 45 – лжестраховщикам, 84 имитировали деятельность, связанную с услугами по переводу денег с карты на карту, 39 сайтов имели признаки финансовой пирамиды. В среднем за месяц разделегированию подлежат около 50 доменов, находящихся в различных зонах.

Специалисты ФинЦЕРТа также отмечают, что важным условием предотвращения киберугроз является информационное взаимодействие с организациями кредитно-финансовой сферы. По состоянию на 1 сентября 2017 года в информационном обмене участвовали 418 кредитных организаций и филиалов.

За­метный рост числа участников – кредитных организаций наблюдался в январе – феврале 2017 года после серии рассылок злоумышлен­никами загрузчиков Cobalt Strike в адрес кре­дитных организаций.
Можно и нужно своевременно принять и ряд дополнительных мер в рамках каждой конкретной компании или организации.

Так, для предотвращения массовых рассылок почтовых сообщений, содержащих загрузчики вредоносного программного обеспечения важно минимизировать доступ к контактной информации. По мнению ФинЦЕРТ, существует несколько источников, из которых формируются базы дан­ных по кредитным организациям для последую­щей рассылки:

утечка почтовых адресов из регистрацион­ных баз различных конференций. Подоб­ные базы данных продаются достаточно недорого на специализированных фору­мах, а в некоторых случаях раздаются бес­платно;
поиск в сети Интернет через специализи­рованные ресурсы;

документы и веб-страницы кредитных ор­ганизаций, содержащие почтовые адре­са сотрудников организаций, общедоступ­ные адреса (например, таких как info@companyname);

утечки баз данных (списков рассылок) раз­личных неформальных сообществ, объе­диненных по профессиональному призна­ку.

Эффективным способом борьбы со спамом может стать наличие в организа­ции специализированных решений по проверке почты (Email Gateway) и оперативное добавле­ние адресатов в списки нежелательных отпра­вителей на почтовом шлюзе.
Для противодействия вредоносным программам важно иметь мощные современные средства антивирусной защиты и максимально снизить уязви­мости в ПО, установленном на компьютере. Иногда такие уязвимости мож­но закрыть обновлением программного обеспечения или установкой патча.

В качестве мер противодействия логическим атакам на банкоматы, в силу их специфики, могут выступать:

Недопущение нахождения АРМ сотрудни­ка с возможностью получения внешней по­чты в одном сегменте сети с сервером об­новления банкоматов.
Повышение осведомленности сотрудни­ков.

Эксплуатация на критических АРМ альтер­нативных редакторов документов Office, не подверженных уязвимостям оригиналь­ного редактора.

Использование только подписанных об­новлений, исключение возможности уста­новки неподписанных обновлений.

Разумеется, что во всех случаях, ключевым средством является информационная бдительность сотрудников организации и наличие в ее составе квалифицированных IT-специалистов, имеющих знания и опыт в области защиты информа­ционных систем.

Справка:

 Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) – структурное подразделение Главного управления безопасности и защиты информа­ции Банка России.

Основная цель функционирования ФинЦЕРТ – создание центра компетенции в рамках инфор­мационного взаимодействия Банка России, поднадзорных ему организаций, компаний-интегра­торов, разработчиков ПО, в том числе средств антивирусной защиты, провайдеров и операторов связи, а также правоохранительных и иных государственных органов, курирующих информаци­онную безопасность отрасли.

Указанное информационное взаимодействие направлено на обмен информацией о потенциальных компьютерных атаках в кредитно-финансовой сфере, актуальных угрозах информационной безопасности и уязвимостях ПО, используемого организациями, под­надзорными Банку России. Результатом информационного взаимодействия является разработка рекомендаций и аналитических материалов в области обеспечения защиты информации при осу­ществлении переводов денежных средств на основе анализа данных о фактах компьютерных атак на организации, поднадзорные Банку России.