О новых трендах кибератак на банки, причинах успеха хакеров и мерах, принимаемых ЦБ, “Ъ” рассказал зампред ЦБ Дмитрий Скобелкин.
Фото: cbr.ru
— В 2016 году главной бедой были атаки, нацеленные на вывод средств с корсчетов банков в платежной системе ЦБ (атаки на АРМ КБР). Характер атак в 2017 году не изменился?
— Изменился, и очень существенно. Сейчас мы видим две основные проблемы — Cobalt (программное обеспечение и одноименная преступная группировка, атаковавшая банки в 2017 году) и социальная инженерия.
— Осенью 2017 года ЦБ заявлял, что атак на АРМ КБР больше не будет. В февральском обзоре говорится о двух подобных атаках. Банк России ошибся в своих прогнозах?
— В отчете упомянуты две атаки, где злоумышленники выводили средства с корсчетов, открытых в расчетных центрах платежной системы ЦБ. Но это не классические атаки на АРМ КБР, это результаты работы группировки Cobalt.
— В чем разница?
— В данном случае АРМ КБР был своего рода транспортом, используемым для вывода средств из банка. Точно так же, как в восьми из одиннадцати атакованных группировкой банков, использовался карточный процессинг для вывода средств. При атаках данной группировки используется легальная программа Cobalt Strike, с помощью которой злоумышленники внедряются в информационную инфраструктуру банка, а затем получают доступ к одному из каналов вывода средств.
— В 2017 году была атака, где средства выводились через SWIFT. Закончено ли расследование?
— Расследование продолжается, но совершенно очевидно, что никто SWIFT не взламывал. Там имел место взлом систем банка, а SWIFT использовалась как транспорт для вывода средств.
— Среди банков, атакованных в 2017 году, были и достаточно крупные, и совсем небольшие региональные. Как злоумышленники выбирают жертв?
— Проводятся массовые веерные атаки, если вредоносное программное обеспечение попадает в информационную систему банка, злоумышленники продолжают действовать до победного финала — момента вывода денег. Принцип здесь простой: легкомысленное отношение банка к информационной безопасности — залог успешной атаки.
— А для чего используют социальную инженерию при атаках на банки?
— Для взлома IT-систем. Для проникновения за периметр систем киберзащиты злоумышленники рассылают сотрудникам компаний электронные письма, которые получатели могут принять за служебную переписку или личную корреспонденцию, открыть вложенный файл, после чего автоматически запускается вредоносная программа.
— Сколько таких писем получили банки в 2017 году?
— В прошлом году FinCERT зафиксировал более 70 массовых спам-рассылок, общее количество электронных адресов-получателей достигло 70 тыс., более 200 банков успешно отразили такие атаки. По результатам анализа атак FinCERT направил 25 бюллетеней, содержащих основные параметры атак и индикаторы компрометации. Кроме того, более 400 раз FinCERT индивидуально уведомлял организации о возможной компрометации и индикаторах атак.
— Как ЦБ намерен бороться с использованием социальной инженерии хакерами?
— Быстрого лекарства нет. Банк России участвует в проекте по повышению финансовой грамотности граждан. Еще одна из наших задач — обратить внимание правоохранительных органов на крайнюю актуальность угрозы использования социальной инженерии злоумышленниками.
— При хищениях у банков деньги злоумышленники обычно переводят на специальные счета, с которых платежи раскидывают на банковские карты и обналичивают. Сейчас банки обмениваются между собой данными об этих счетах. Не намерен ли ЦБ установить правила такого информобмена?
— Чтобы такой обмен был эффективным и осуществлялся в рамках правового поля, необходимы изменения в законодательстве. Но задача банков не просто обмениваться информацией, а останавливать несанкционированные трансакции. При активном участии ЦБ разработан важный законопроект, который даст банкам право приостанавливать трансакцию на срок до двух суток при подозрении, что она несанкционированная, обяжет срочно связываться с владельцем средств для подтверждения трансакции, введет внесудебный порядок возврата платежей.
— Когда вы ожидаете принятия документа?
— До конца в 2018 года. Вступление в силу этого законопроекта значительно затруднит жизнь киберпреступникам.