Волна крупных кибератак захлестнула Россию в уходящем 2017 году. Однако вирусы-шифровальщики, ставшие причиной проблем в работе розничной сети и кол-центра «МегаФона», атаковавшие «Роснефть» и ряд российских СМИ, практически не нанесли ущерба российскому финансовому сектору. Наученные опытом прошлых лет, банки стали более серьезно относиться к безопасности, говорится в обзоре ТАСС.
Основными киберугрозами для банков и их клиентов в 2017-м стали не Wanna Cry, NotPetya и BadRabbit, а направленные атаки на банки, вредоносное программное обеспечение, мобильные трояны и разного рода фишинговые рассылки с использованием социальной инженерии. Но если первые два инструмента представляют опасность в основном для банков, то остальные вызывают беспокойство также и регуляторов, приоритетом которых становится защита прав и интересов потребителей финансовых услуг.
Защита банков и их клиентов от кибератак является одной из ключевых задач Банка России, заявила в октябре глава ЦБ Эльвира Набиуллина. Начальник главного управления безопасности и защиты информации ЦБ Артем Сычев считает, что главной киберугрозой финансового сектора в текущем году были атаки с использованием техник социальной инженерии, которые направлены на получение доступа к конфиденциальным данным сотрудников и клиентов банков путем злоупотребления доверием или из-за небрежности.
Социальная инженерия останется в тренде и в следующем году. По данным компании Group-IB, количество жертв социальной инженерии ежедневно исчисляется тысячами. Свои данные вводят на финансовых фишинговых сайтах до 15% их посетителей. «В среднем, по статистике, в результате одного эпизода фишинга (кибератака с помощью социальной инженерии) пользователь теряет порядка 1 тысячи рублей (преступники часто стараются не переступать планку уголовной ответственности), однако в пересчете на годовые показатели эта цифра возрастает до сотен миллионов рублей», — указывает директор проектного направления Group-IB Антон Фишман.
Сбербанк, клиентами которого являются более половины населения России, за прошедший год зафиксировал несколько десятков тысяч покушений на хищение средств клиентов на сумму почти 40 млрд рублей. Из них примерно половина происходит с использованием приемов социальной инженерии.
«В онлайн-банкинге доля таких атак достигает 80%, при этом более чем в половине случаев потерпевшие сами переводят мошенникам средства со своих устройств», — сообщил зампред правления Сбербанка Станислав Кузнецов.
Как это работает
Социальная инженерия представляет собой совокупность приемов, используя которые злоумышленники манипулируют поведением своих жертв. Киберпреступники, в частности, выманивают у людей конфиденциальную информацию, пользуясь их доверием или беспечностью. Просто так логины и пароли для доступа к «Личным кабинетам» клиентов в системах онлайн-банкинга или к IT-системам самих банков никто не даст, поэтому хакеры идут на различные ухищрения.
Так, для проникновения за периметр киберзащиты финансовых организаций и их клиентов в 2017 году злоумышленники делали веерные рассылки писем, которые некоторые получатели принимали за служебную переписку или личную корреспонденцию, в результате чего открывали вложенные файлы и запускали вредоносные программы. Это получило название фишинг. С помощью таких методов хакеры получали доступ к информационным системам и счетам атакуемых. Финальным этапом атак становилось обналичивание средств в банкоматах.
Интерес к социальной инженерии и фишингу объясняется просто: мошенники стремятся минимизировать усилия по получению доступа к хранящимся в банках средствам предприятий и граждан, объясняют в Group-IB.
Прогноз
Мошенники стали также более творчески подходить к расширению ассортимента своих уловок, предупреждал в начале декабря Артем Сычев. Так, к сообщениям в соцсетях о сборе средств на благотворительность, сухим «бухгалтерским» письмам от контрагентов, «информационным рассылкам» госструктур и «техническим уведомлениям» служб поддержки различных интернет-ресурсов недавно добавились письма от банков, готовых прокредитовать жителей небольших городов. Рассылки производятся веерно, но за счет правильно сформулированного «маркетингового сообщения» обязательно находятся те, кто принимает их за адресованное именно им письмо и открывает вложенный файл или переходит по ссылке.
Сбербанк, блокирующий до 96% покушений на хищение средств физлиц с использованием приемов социальной инженерии, последние три года фиксирует ежегодный прирост количества таких кибератак в 2,5 раза. «Предпосылок к уменьшению их числа мы не видим», — говорит Кузнецов.
В Group-IB отмечают, что с ростом популярности ICO фишеры обращают внимание и на эту индустрию. Схема работы остается прежней: злоумышленники создают фишинговую страницу, на которой вместо реального кошелька ICO злоумышленники указывают свои кошельки для перевода средств либо запрашивают закрытый ключ от кошелька посетителя. Одна группа может зарабатывать до 1,5 млн долларов в месяц.
Факторы риска
Среди причин, обусловливающих потери и риски банков и населения, эксперты называют высокую стоимость корпоративных решений по информационной безопасности, недооценку угроз и рисков руководством компаний финансового сектора, несовершенство уголовного и уголовно-процессуального законодательства, а также низкий уровень «компьютерной гигиены» пользователей.
Основной причиной роста числа фишинговых атак и суммы ущерба станет их автоматизация и простота использования, предупреждала Group-IB в начале года. Фишинг уже не требует специальных знаний: злоумышленники активно используют программные «конструкторы», позволяющие готовить и проводить атаки хакерам уровня «продвинутый юзер», указывает Антон Фишман из Group-IB.
Число атак растет, однако затраты бизнеса на информационную безопасность несопоставимы с размером потерь банков и их клиентов. «Если смотреть на страну в целом по той информации, что нам доступна, по тем кейсам, когда мошенники «приземляли» к нам деньги из других банков, можно оценивать объем ущерба миллиардами как у юридических лиц, так и у физических», — отмечает Станислав Кузнецов. При этом, по данным компании Positive Technologies, финансовые учреждения каждый год тратят на кибербезопасность до 300 млн рублей.
Законодательные инициативы
В ноябре директор департамента корпоративных отношений ЦБ Елена Курицына сообщила о планах регулятора внести в кодекс корпоративного управления изменения, связанные с кибербезопасностью. Регулятор считает необходимым закрепить стратегическую роль совета директоров публичных акционерных обществ в организации системы управления рисками, связанными с развитием информационных технологий. В следующем году планируется обсудить данный вопрос на экспертном совете Банка России по корпоративному управлению и на иных площадках с профсообществом, сообщили в пресс-службе регулятора.
К первому чтению в Госдуме готовы три законодательные инициативы, разработанные с участием ЦБ. Это проект поправок в действующее законодательство, фиксирующих базовые требования к банкам по организации борьбы с мошенничеством, а также законопроекты о блокировке фишинговых сайтов и обмене информацией между банками и сотовыми операторами о замене сим-карт (к ним привязаны аккаунты клиентов в онлайн- и мобильных приложениях, поэтому мошенники могут получить в салоне связи новую сим-карту взамен якобы утраченной и получить по ней доступ к счетам ее настоящего владельца).
Сбербанк готовит ряд предложений по внесению изменений в Уголовный кодекс РФ, устанавливающих уголовную ответственность за хранение, приобретение и перемещение вредоносных компьютерных программ, а также определение таких программ. По словам Станислава Кузнецова, также необходимы разъяснения, что понимается под тяжкими последствиями в статьях главы 28 УК РФ («Преступления в сфере компьютерной информации»).
Решения для небольших структур
Если крупные организации понимают необходимость инвестиций в совершенствование и развитие собственных систем кибербезопасности, то малый и средний бизнес все чаще осознает свою беспомощность перед лицом растущих киберугроз, говорит Станислав Кузнецов. «Больше всех от этого страдают простые граждане. Именно поэтому мы сегодня говорим о необходимости решения вопроса кибербезопасности на уровне государства, создании Национального центра киберзащиты, который может решить острую проблему обмена информацией между бизнесом и государством и обеспечить проведение мероприятий, направленных на защиту наших граждан», — отметил он.
Председатель совета Ассоциации банков России, глава комитета по финансовым рынкам Государственной думы Анатолий Аксаков в конце декабря предложил создать в России две структуры по обеспечению киберзащиты банков и нефинансовых организаций. По его словам, функции одной из них может взять на себя Сбербанк, имеющий серьезный опыт борьбы с фишингом и социальной инженерией (объем ущерба год к году удалось снизить на 40% благодаря блокировке порядка 94—96% мошеннических трансакций), другой — Банк России, у которого также есть необходимая технологическая основа в виде Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере.