Сачков как хакеры воруют деньги из банков. Киберпреступники грабят банки, используя сложные арт-техники. Кража денег из банкоматов: старые способы
Для заражения корпоративных сетей банков хакеры используют таргетированные фишинговые атаки, рассылая письма с вредоносными вложениями или используя эксплоит Niteris, направленный на уязвимости в браузерах. В случае успешного заражения, для «закрепления успеха» атакующие применяют легальные технологии, предназначенные для пентестинга. В итоге хакерам удается получить в свое распоряжение контроллер локального домена, а затем и доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.
Но примечательна группа Metel не этим, а изобретением интересного метода снятия украденных денег в банкоматах. Злоумышленники посылают своих сообщников в банкоматы других банков, чтобы те сняли деньги с действительного банковского счета в зараженном банке. Так как на данном этапе злоумышленники уже контролируют ресурсы внутри зараженного банка и имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), они осуществляют откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. Пропажа средств обнаруживается позже, когда след хакеров уже простыл.
Специалисты GReAT рассказали, что хакеры ездили по разным городам России и в течение всего одной ночи снимали через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. Только в одну из таких ночей преступники похитили несколько миллионов рублей. Это свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают все, что им нужно, и сворачивают операцию в течение считанных дней или даже часов.
На данный момент от малвари Metel пострадали более 30 финансовых учреждений.
GCMAN
Хакеры из GCMAN действуют иначе – их конек, это скрытность. Группа получила имя в честь GCC (GNU Compiler Collection), который используется в их кастомной малвари. Эти парни предпочитают заражать банки по-тихому, не привлекая внимания, а затем переводят средства малыми суммами, используя различные сервисы криптовалют.
Для заражения сетей финансовых учреждений злоумышленники тоже используют таргетированый почтовый фишинг. Если жертва откроет вредоносный RAR-архив, присланный во вложении, дело можно считать сделанным – компьютер заражен вредоносом GCMAN.
Впрочем, эксперты отмечают, что хакеры далеко не всегда использовали фишинг. Группа проводит успешные атаки, не применяя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты для пентестов. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка.
В отличие от Metel, GCMAN никуда не торопятся и подходят к делу обстоятельно. В одном случае злоумышленники находились в зараженной системе полтора года, прежде чем начали красть деньги. Но когда атака входит в активную фазу и перевод средств начинается, хакеры не медлят. Каждую минуту группа GCMAN может переводить до $200 – лимит для анонимных платежей в России. Все украденные деньги уходят на различные криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием средств. Поручения на транзакции в таких случаях направляются напрямую в банковский платежный шлюз, но не отображаются ни в одной из внутренних банковских систем.
Мошенники ежедневно придумывают новые способы кражи денег с банковских карт. Камеры видеонаблюдения снижают интерес преступников к банкоматам, но злоумышленники ищут пути обхода.
Кража на территории РФ является уголовно наказуемым деянием, в зависимости от тяжести может применяться наказание по разным частям ст. 158 УК РФ: лишение свободы от года до 10 лет, принудительные работы, штраф от 80 до миллиона рублей.
Безопасность банкоматов под вопросом?
Распространены два вида воровства денег из платежных терминалов:
- скимминг - накладка на картоприемник для считывания пин-кода;
- «ливанская петля» - заклеивание кармана для выдачи денег, при котором банкомат сообщает о выдаче денег, в то время как банкноты остаются внутри автомата. Жертва отходит от устройства, чтобы пожаловаться работнику учреждения или позвонить в службу поддержки, а мошенник извлекает липучую планку вместе с деньгами и покидает место происшествия.
Правоохранителями столицы была прервана череда ограблений, когда преступники действовали так: взрывали банкоматы или наматывали на них цепь и увозили, чтобы вскрыть в неизвестном месте. Этот способ оказался эффективным, несмотря на примитивность.
Кража денег из банкоматов: старые способы
Старым способом хищения денег из банкоматов является кража карточки после снятия средств жертвой. Традиционным считается также метод, когда злоумышленник вскрывает устройство или забирает наличные, увозя аппарат из отделения банка или супермаркета.
Удмуртские злоумышленники установили несколько поддельных банкоматов несуществующего кредитного учреждения в Москве, Московской области и Сочи. Граждане, которые пытались воспользоваться платежными терминалами для выполнения денежных операций, позже обратились в полицию с заявлениями о хищении денег. Преступники заполучили пароли более тысячи банковских карт.
Новые способы кражи денег
Мошенники в Астраханской области похитили 4 млн рублей, разрезая и склеивая банкноты: шесть пятитысячных купюр и одну тысячную. Каждая купюра разрезалась на 6 частей и склеивалась так, что получалась пятитысячная, состоящая на 1/6 из тысячной. Обновленные, но неплатежеспособные деньги зачислялись на карты через банкоматы. После обналичивания средств преступники снова могли совершать денежный круговорот.
Саратовский мошенник вытаскивал деньги из платежного терминала с помощью прочной нити, прикрепленной к пятитысячной купюре. Он много раз опускал купюру в терминал для зачисления на счет и извлекал обратно. Так, преступник вытащил 200 тыс. рублей.
Взломщики из Уфы проникли в компьютерную систему банкомата, изменили сервисный код, с помощью которого курс доллара «подняли» до 1,5 тыс. рублей, затем обменяли 800 долларов на 1,2 млн рублей. Одного из виновных лиц задержали правоохранители.
Специалисты «Лаборатории Касперского» раскрыли очередную схему хищения денег. Представители финансовых организаций жаловались на то, что банкоматы произвольно выдавали деньги людям, которые никаких действий не производили. По итогам проверочных мероприятий выяснилось, что на устройствах не было установлено никаких вирусных программ, но вирус нашли в компьютере, связанном в единую сеть с банкоматами. Взломщики получили доступ к компьютерам служащих, затем через легальные методы вывода средств переводили деньги с помощью системы SWIFT или обналичивались через банкоматы. Взломщиков до сих пор не поймали, но от их действий пострадали более 30 финансовых учреждений в России, Китае, Канаде, Украине и США. Некоторые хищения составили 10 млн долларов, а общие потери финансов пострадавших банков приблизились к миллиарду долларов.
Сбербанк России сообщил о новом методе хищения денег из банкоматов, получившем название drilled box. Он может применяться только в некоторых видах устройств. В корпусе платежного терминала просверливается небольшое отверстие, подключается специальная шина, выкачивающая деньги. Несмотря на раскрытие этого способа мошенничества, производитель банкоматов не реагирует на проблему.
Обратите внимание!
К новинкам мошеннических устройств относятся шиммеры, выпускаемые открыто и массово, они тоньше человеческого волоса. Технология позволяет красть норма счетов, пин-коды, иную информацию через банкомат. Гибкая металлическая пластина вставляется в картридер и считывает данные с карт. Этот метод можно назвать усовершенствованным скиммингом.
С карты клиента банка
С целью хищения денежных средств с банковской карты мошенниками часто используется:
- поддельная клавиатура - на клавиатуру банкомата устанавливается специальная накладка. Она запоминает все нажатые кнопки, в том числе пин-код;
- крошечная видеокамера - устанавливается мошенниками около или над клавиатурой для той же цели: узнать ПИН-код и завладеть картой для снятия средств;
- лжеприемники денег - конверты из пластика, закрывающие щель банкомата;
- фальшивый банкомат - устанавливается преступниками в людных местах, чтобы собирать информацию о картах будущих жертв;
- вирусное программное обеспечение - инновационный способ кражи денег, когда платежные терминалы заражаются вирусами. В результате мошеннические программы передают техническую информацию и ПИН-коды пластиковых карт клиентов.
Сегодня активно развивается еще один вид краж - взлом счетов. Преступники получают доступ к электронным сервисам онлайн-банкинга и электронным кошелькам, не выходя из дома. Фишинг - способ мошенничества, целью которого является завладение чужими деньгами путем получения доступа к конфиденциальной информации - номер карты, пароль, логин. Для мошенничества используется рассылка электронных писем, СМС-сообщений от известных брендов и самих банков и платежных систем, в которых содержится ссылка на сайт, который внешне похож на оригинальный веб-ресурс. Открывая письмо, пользователь сети скачивает на компьютер вирусную программу, которая собирает информацию о паролях, логинах, номерах платежных карт и возвращается к отправителю программы или в автоматическом режиме запускает перевод денег со всех доступных кошельков на реквизиты мошенника.
Одной из разновидностей мошенничества с картами является винолокер - вредоносное ПО, которое блокирует или усложняет работу операционной системы Windows. На экране жертвы появляется сообщение о том, что функционирование компьютера невозможно до тех пор, пока не будет введен особый пароль, для получения которого необходимо отправить злоумышленникам определенную сумму. После получения денег преступники присылают код, который навсегда или на время снимает ограничения, но проблема может возникнуть снова.
Обратите внимание!
Возможен и такой вариант, что после получения денег мошенники крадут сведения о номере карты, пин-коде, CVV и снимают все деньги, имеющиеся на счете, карте, в кошельке.
У банка
Способ мгновенной выкачки денег из банкомата называется drilled box. Мошенники просверливают отверстие в определенной конфигурации банкоматов и подключают шину, мгновенно выкачивая деньги. Современные банкоматы довольно хорошо защищены от взлома и вирусов, необходимо перевести их в безопасный режим, когда диспенсер и компьютер обмениваются информацией через криптографические протоколы. Тогда мошенник ничего не сможет сделать с информационной шиной устройства.
Определенные проблемы возникают у банков, не обновившихся программное обеспечение до необходимого уровня, которые работают без защищенного режима. Для некоторых кредитных организаций необходимо аппаратное обновление.
Независимые производители давно изобрели устройство, которое позволяет защититься от атаки мошенников, поскольку оно контролирует подключение к информационной шине банкомата. При внешнем подключении диспенсер банкомата отключается, он перестает реагировать на команды мошенников. Банки предпринимают много усилий для предотвращения таких преступлений.
В 2017 году банкоматы России были атакованы новым опасным вирусов - бесконтактный взлом внешнего контура сети банка, затем - сервера администрирования устройств в закрытой сети и непосредственно атака на банкоматы. Эксперты поясняют, что необходима надежная защита, иначе сеть кредитных учреждений будет скомпрометирована. Необходимо внедрять специализированные программы по информационной безопасности, привлекать сторонних подрядчиков, чтобы снизить риск пробелов в защите.
Если мошенники получили реквизиты банковской карты, она считается скомпрометированной, данные ее владельца, логины и пароли для доступа к интернет-банку или мобильному приложению становятся известны злоумышленникам.
Как уберечь себя от кражи?
- снимать деньги в банкоматах, расположенных внутри отделений, избегать зон супермаркетов, где много людей и толпятся наводчики;
- если банкомат не видит карту, которую вы вставили, или не возвращает ее, срочно звоните в службу поддержки и блокируйте карту. Назовите сотруднику номер аппарата, чтобы его могли проверить;
- используйте СМС-информирование о движениях на карточном счету. Если вы не совершали какую-либо операцию с деньгами на счете, немедленно информируйте банк;
- при особых проблемах после блокировки карты нужно прийти в отделение для написания заявления о несогласии с проведенной транзакцией.
Более 80 тысяч сайтов распространяют вредоносные расширения для браузера, через которые происходит воровство данных карт банков. Будьте бдительны и не переходите по подозрительным ссылкам.
Как Россия превратилась в «территорию хакеров».Сколько денег удается хакерам умыкнуть из карманов физических и юридических лиц? Этот вопрос «Итоги» задали генеральному директору компании Group-IB Илье Сачкову, вместе с которым мы разбирались в подоплеке недавних неприятностей с ЖЖ («Итоги», № 15).
— Илья Константинович, как часто банковские счета потрошат с помощью DDoS-атак?
— Такие атаки — прием достаточно частый, но есть вещи и более серьезные. Самая распространенная вещь в Интернете — мошенничество через системы интернет-банкинга, проще говоря, хищение денежных средств со счетов юридических и физических лиц. В первую очередь юридических, потому что у них суммы на счетах больше. В прессе находят отражение единичные кражи, а в реальности ситуация гораздо хуже: ежедневно только мы разбираем по 10 случаев, а по стране в целом, думаю, происходит по 60—70 хищений в день со счетов юридических лиц через системы дистанционного банковского обслуживания (ДБО). К сожалению, официальной статистики по этому вопросу не ведется.
— Вы можете оценить прибыльность этого «бизнеса»?
— Русские хакеры — те, что проживают на территории нашей страны, по нашей оценке, заработали в 2010 году 1,3 миллиарда долларов только в России. Если объединить русскоговорящих выходцев из стран бывшего Советского Союза, то будет уже 2,5 миллиарда долларов. Для примера я покажу вам на экране выписку из интернет-кошелька реального хакера, проживающего в Москве, в отношении которого сейчас идет расследование. Смотрите: приход денег за один день 11 августа 2010 года: 40 тысяч долларов, 31 тысяча долларов, еще 40 тысяч долларов и дальше в том же духе. И это только за один день!
— Наверное, не все эти суммы уходят через системы ДБО? Есть, например, корпоративные банковские карты, которые также представляют интерес для мошенников.
— По нашим оценкам, кражи с корпоративных карт — копейки по сравнению с мошенничеством в ДБО. Именно на взломы систем клиент — банк приходится основная доля доходов преступников. То, что вы видели на экране, — реальный доход всей преступной группы. Владелец интернет-кошелька — организатор группы, он получит около 80 процентов. Смотрим далее: приход за полтора месяца — 24 миллиона долларов. Это объемы хищений со счетов российских юридических лиц. В основном страдает малый бизнес, иногда — крупный. Данный случай не исключение, а скорее новый формат реальности. В России, где и так все очень сложно с юридическими доказательствами компьютерных преступлений, это потенциальный источник коррупции в правоохранительных органах.
— Как хакерам удается попасть в защищенную банковскую систему?
— Через корпоративные ПК юридических лиц, клиентов банка, на которых установлено ПО удаленного управления банковскими счетами. Чаще всего это делается с помощью вредоносных программ. Заразить компьютер бухгалтера специальным вирусом — банковским трояном — можно, по сути, двумя основными способами. Либо вирус занесет сообщник преступников, работающий в компании, этакий засланный казачок. Либо троян подхватит сам бухгалтер, который с рабочего компьютера «серфит» по просторам Интернета и может посетить зараженный сайт. В любом случае заражение компьютера — следствие халатного отношения к основным правилам информационной безопасности. Ведь в идеале для проведения платежей бухгалтер обязан иметь портативный ПК, который следует хранить в сейфе и доставать только для работы в системах интернет-банкинга. Но это в идеале, а на практике вирус, внедрившийся в бухгалтерское ПО, формирует подложное платежное поручение на перевод денег со счета жертвы на счет специально зарегистрированной фирмы-однодневки.
— Но сразу воспользоваться всей суммой вряд ли удастся?
— Конечно, это может привлечь внимание. Поэтому в состав преступной группировки входят не только хакеры, но и люди, отвечающие за вывод денег с банковских счетов и обналичивание. В этой части хакеры тесно взаимодействуют с традиционной преступностью. Так, деньги, уведенные со счетов юридических лиц, отправляются чаще всего в Екатеринбург или Челябинск — там продолжают действовать организованные преступные группировки, которые еще с 90-х занимались обналичкой. Они дробят первичную сумму, переводя ее на счета других фирм-однодневок либо подставных физических лиц. Задача — распределить исходную сумму на множество счетов физических лиц (они называются дропы, обычно это бедные студенты, бомжи и т. д.) так, чтобы дропы могли легко снять «свои» суммы за два-три подхода к банкомату в течение дня. За небольшое вознаграждение они это делают и сдают наличность конкретному лицу из банды. Схемы обналички, естественно, разрабатываются заранее, но есть рынок, скажем так, услуг под ключ. Если не верите, наберите фразу «обналичить деньги» в любой поисковой системе...
— Что потом происходит с наличными деньгами?
— Потом кэш перевозится в Москву и вводится в электронную платежную систему, например WebMoney или «Яндекс. Деньги». Нужно ведь каким-то образом перевести наличные деньги на счета преступников и одновременно окончательно замести следы. Электронный кошелек здесь лучшее средство, потому что после этого этапа деньги уже невозможно отследить. Далее владелец кошелька раскидывает деньги по другим кошелькам: хакерам, ответственным за связи с разными ОПГ и т. д. Чтобы вычислить подобную схему обналички, правоохранительным органам и нам в качестве аналитиков понадобилось два года работы. Это было непросто, потому что таких электронных платежных систем много, государством они не контролируются.
— Это же рай для преступников!
— На словах это называется более красиво — концепция свободной рыночной экономики. Она зиждется на трех китах: нет контроля со стороны государства (прямые контракты), нет налогов, и на эти деньги можно купить все, что угодно. Конечно, напрямую оплатить, скажем, недвижимость электронной валютой вы не сможете, но деньги можно легко обналичить и приобрести ту виллу, которая приглянулась. Схемы обналичивания электронных валют гораздо проще, чем вывод денег с банковских счетов, ввиду отсутствия такого жесткого контроля, который имеется в банковской среде.
— Как с этой проблемой справляются в других странах?
— В США многие люди понимают, что если хакер находится на территории США и действует против интересов страны, то с вероятностью 90 процентов в ближайшее время его арестуют. В Европе во многих странах фактически невозможно обналичить деньги юридического лица. По сути, существует три сдерживающих фактора: чувство наказуемости, экономическая нецелесообразность и техническая невозможность. У нас же сложилась парадоксальная ситуация: отсутствуют все три. Соответственно, человек, не обремененный совестью, легко может начать преступный бизнес и в день зарабатывать миллион долларов, ведь технически это не очень сложно.
— Расскажите поподробнее!
— Давайте сразу условимся, что мы не пишем инструкцию для начинающего хакера. То, о чем мы говорим, — преступление, и этим нельзя заниматься, даже из природной любознательности. Доходы, которые вы видели на экране, не просто цифры, это чей-то потерянный бизнес, чья-то семейная трагедия.
Теперь о ключевых моментах преступной схемы. Первым делом злоумышленнику нужно создать бот-сеть зараженных компьютеров и вирус, который эти компьютеры заразит. Если стоит задача именно заработать, нужен вирус высокого класса, который не детектируется антивирусами и представляет собой некий конструктор. Он стоит 5—6 тысяч долларов. Еще нужно купить хостинг, где доступ к содержимому серверов гарантированно закрыт для любых правоохранительных органов. Это специальное направление деятельности преступного мира — создание специализированных хостинговых сред для предоставления нелегальных услуг.
— Выбор большой?
— Огромный. И стоит такой хостинг недорого: 150—200 долларов в месяц. Большинство коммерческих центров обработки данных (ЦОД) таковыми не являются, но в моей практике встречались вполне легальные ЦОДы, которые тайно подрабатывали хостингом для преступников, ведь это очень выгодно. В том числе и в России, к сожалению.
— И как вирус будет распространяться по Сети?
— Нужен распространитель вредоносного ПО по Интернету. Для этого есть целые группы злоумышленников, которых называют заливщиками. Это люди, которые распространяют вредоносное ПО за деньги. Заражение 1000 машин стоит 20 долларов, примерно 600 рублей. Но обычно заказчик тратит побольше, долларов 500, чтобы заразить большее количество машин. Вирус — маленький загрузочный модуль — попадает в компьютеры, превращая их в зараженные боты. А сам организатор наблюдает с помощью панели управления, как ведут себя его боты.
Последний писк в этой сфере: вирус сам пытается понять, что можно украсть с данного компьютера. В первую очередь ищет входы в банковские платежные системы. Если они есть, загружает на компьютер модуль для работы с бухгалтерским ПО банка. Если нет, пытается найти платежное ПО для физических лиц: WebMoney, «Яндекс.Деньги» и т. д. Нашел — загрузил соответствующий модуль. Если ничего этого нет и денег с компьютера напрямую заработать нельзя, все равно его можно использовать: например, для рассылки спама либо для DDoS-атак. Максимум 8 тысяч долларов — это стоимость входа на рынок киберпреступности.
— Как вирусу удается безнаказанно творить свое черное дело, ведь банки инвестируют огромные средства в системы безопасности?
— Преступники заказывают высококлассные вирусы, которые в состоянии обходить антивирусы и другие виды защиты. Причем современные банковские трояны обеспечивают хакерам возможность не только удаленного доступа, но и сокрытия следов преступлений. Как это делается? Как только подложное платежное поручение отправлено, главная задача преступников — ограничить доступ бухгалтера к системе интернет-банкинга. Чаще всего они удаляют один из компонентов операционной системы зараженного компьютера. В то время когда все силы клиента банка брошены на восстановление работы компьютера, деньги покидают его счет.
— Возникает интересный вопрос: кто виноват в произошедшем? Клиент банка, допустивший заражение компьютера, или банк, выдавший ему такое ПО, которое не защищено от атак вирусов?
— С одной стороны, ответственность за инцидент лежит на клиентах, которые часто пренебрегают обоснованными рекомендациями банков. А они, между прочим, прописываются в каждом договоре на предоставление услуг ДБО. С другой стороны, банки обязаны отслеживать странные платежи — например, единоразовый перевод крупной суммы на счет физического лица. Операционист должен такой платеж заблокировать, позвонить в компанию и получить подтверждение от бухгалтера. К сожалению, на практике не всякий банк придерживается таких стандартов...
— Что делать пострадавшему?
— Практически любые действия хакеров — это преступление. Поэтому в обязательном порядке следует обращаться в полицию. Правда, пострадавшие крайне редко это делают.
— Почему? Не верят в успех?
— Отчасти да, не верят, ведь примеров успешных расследований очень мало. Хорошо то, что в нашей стране вообще появилась такая специализированная компания, как наша. На Западе таких много, это целый рынок услуг.
— Представим, что пострадавший владелец компании приходит в местное ОВД. Ведь на него посмотрят как на идиота?
— Вполне вероятно, заявление постараются не принять. И к этому походу следует готовиться заранее. Во-первых, нужно самому четко понимать, что произошло преступление, ведь с правовой грамотностью населения в сфере информационной безопасности у нас кошмар. И это преступление описано в Уголовном кодексе. Во-вторых, нужно четко знать, что сотрудник полиции обязан принять заявление, и отказ — это фактически должностное преступление. В-третьих, нужно правильно описать состав преступления. Рекомендации по тому, как писать письмо, достаточно легко найти в Интернете: и на нашем сайте, и на других. Если происходит DDoS-атака, желательно приложить нотариально заверенную веб-страницу. В Москве есть (и в регионах уже появляются) такие веб-нотариусы, которые подтверждают, что на компьютере нотариуса нет доступа к ресурсу. Мораль такова: если человек подготовится к визиту в ОВД, это увеличит шансы того, что расследование будет успешным или хотя бы будет возбуждено уголовное дело.
— То есть заявление в полицию, по-вашему, это и есть панацея?
— Обращаться нужно, хотя бы для статистики. Смотрите: штат полиции могут увеличить лишь на основании зарегистрированных преступлений, но сейчас официальная статистика МВД в части высокотехнологичных преступлений совершенно неадекватная. Поэтому соответствующих специалистов катастрофически не хватает: на одного сотрудника полиции в области компьютерных преступлений приходится, думаю, около 100 заявлений, может быть, больше. И работа в основном происходит на бумаге.
— По-моему, нашим правоохранителям куда приятнее поймать бедного студента, который поставил на компьютер нелицензионную версию операционной системы или бухгалтерской программы…
— Я понимаю желание людей заниматься именно такими расследованиями, потому что технически это гораздо проще. Но это полный бред, когда один человек ворует 5 миллионов долларов и получает за это пять лет условно, а другой за нелицензионную ОС садится на два реальных года. Государству нужно срочно вмешаться в эту неразбериху с компьютерной преступностью! Если ничего не делать, завтра будет гораздо хуже: доходы хакеров растут, а с ними — возможности влияния. Если в 2000 году компании ставили защиту, а хакеры ее ломали, то сегодня, когда у преступника 24 миллиона долларов ежемесячного дохода, роли поменялись: хакер совершает преступления, а компании и организации пытаются его догнать. Через два года мы вообще можем потерять контроль над Интернетом, и тогда с хакерами будет бесполезно бороться. Потому что у них будут свои люди в Госдуме, где они станут проводить свои законы.
— Недавно Российская ассоциация электронных коммуникаций предложила внести поправки в УК РФ в части ответственности за компьютерные преступления. Это поможет?
— Я являюсь сопредседателем комиссии РАЭК по информационной безопасности и киберпреступности и принимаю непосредственное участие в разработке этих поправок. Мы рассчитываем завершить работу к осени. Но даже если все исполнится так, как задумано, такая нормативная база будет отлично работать только в том случае, если хакер находится в России и преступление совершено тоже в России. Как только хакер оказывается за рубежом, без сотрудничества правоохранительных органов разных стран ничего сделать нельзя. Есть, например, международная конвенция, которая позволяет странам, подписавшим ее, в частности США, обмениваться данными, необходимыми для расследований, в онлайн-режиме. Россия к этой конвенции не присоединилась, и потому у нас трансграничное общение идет по старинке: бюрократия, бумага, визирование… Правда, в этой конвенции есть определенные нюансы. Например, если мы подключимся к ней, то, скажем, правоохранительные органы США смогут вести собственные расследования на нашей территории, не ставя нас в известность... Вступать в международные союзы нужно обязательно, но при этом контролировать некоторые тонкие вопросы.
Как говорится в исследовании, опубликованном компанией Positive Technologies, банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер.
При наличии доступа к внутренней сети банка специалистам Positive Technologies удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогли бы вывести деньги последователи группировки Cobalt, использующие аналогичные методы взлома. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены группировки Lazarus и MoneyTaker, было бы возможно в 17% банков.
В 17% банков недостаточно защищены системы карточного процессинга, что позволяет злоумышленникам манипулировать балансом на своих карточных счетах, как мы это видели в начале 2017 года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства более чем у половины банков, протестированных экспертами. В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам.
В отчете отмечается, что уровень защиты сетевого периметра в банках значительно выше, чем в других компаниях: за три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Однако и такой уровень весьма далек от идеала, учитывая высокую финансовую мотивацию атакующих и отсутствие во многих банках практики анализа защищенности кода онлайн-сервисов на этапах проектирования и разработки. При проведении тестов на проникновение во всех случаях получению доступа способствовали уязвимости в веб-приложениях (методы социальной инженерии не применялись). Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.
Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных - протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).
Но самое слабое звено - сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода - фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО - взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.
После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах - для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках - слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.
Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система. Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).
Внутри сети атакующие свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.
«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты, - прокомментировал аналитик Positive Technologies Екатерина Килюшева. - Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ».
