Никита Дуров, технический директор Check Point Software Technologies в России и СНГ
— Некоторые пользователи опасаются работать с мобильным банковским приложением из-за риска киберугроз. Какие риски существуют и как их минимизировать?
Мобильные банковские зловреды по-прежнему очень опасны. Главным образом потому, что они могут легко обойти механизмы защиты, такие как двухфакторная аутентификация. Для незаметной загрузки вредоносного ПО злоумышленники могут использовать дропперы или так называемые загрузчики. Сам по себе дроппер не содержит вредоносный код, он получает разрешение пользователя на загрузку файлов и, таким образом, может установить на ПК или устройство практически любой вирус. Согласно отчету Check Point за первое полугодие 2018 года, на втором месте самых активных мобильных зловредов оказался банковский троян Lokibot — от атаковал 19% пользователей Android по всему миру. Подобные зловреды могут загружать вредоносную рекламу, перехватывать SMS-сообщения, похищать данные учетных записей клиентов банка и другую информацию.
Поэтому компаниям важно использовать решения безопасности не только для ПК, но и для мобильных устройств, причем с большим функционалом, чем у простых антивирусов: защита от перехвата данных по сети, защита от атак через сети Wi-Fi, фильтрация фишинговых сообщений и вредоносных сайтов.
Пользователям также необходимо соблюдать меры безопасности. Во-первых, скачивать приложения только в крупных магазинах. Google Play и AppStore проверяют каждое приложение в магазине и оперативно удаляют, если заподозрят вредоносную деятельность. Во-вторых, стараться избегать подключения к публичным точкам Wi-Fi, так как через незащищенное соединение хакерам проще перехватить данные жертвы.
— Банковская среда — один из наиболее активных двигателей современных дистанционных сервисов. Как обеспечивается их безопасность?
— Во многих банках инфраструктура безопасности выстраивалась фрагментарно и поэтапно: финансовые компании внедряли каждую конкретную технологию для защиты от атаки определенного вида или защиты конкретного сервиса.
— Какие типы атак на финансовые учреждения сегодня наиболее распространены?
— Сегодня мы видим две основные тактики злоумышленников при атаке на финансовые учреждения. В первом случае они атакуют платформы банков, обслуживающих корпоративных клиентов. Такой риск лучше окупается: например, в конце 2017 г. хакеры похитили $60 млн из тайваньского банка. Для этого им пришлось произвести серию атак на систему SWIFT с использованием внутренней информации и комплексного специализированного вредоносного ПО — и, соответственно, проявить недюжинную хитрость и терпение. В последнее время злоумышленники также с успехом пользуются джекпоттингом, когда в результате атаки вредоносное ПО устанавливают прямо на банкоматы.
Вторая тактика больше фокусируется на хищении данных самих пользователей. Это может быть, например, компрометация деловой электронной переписки или внутренняя кража. В 2016 году Tesco Bank был вынужден выплатить клиентам 2,5 млн фунтов стерлингов в качестве компенсации средств, украденных почти с 20 тыс. счетов. Предварительный анализ показал, что эту кражу совершили свои — сотрудник банка или подрядчик, который использовал соответствующие реквизиты доступа для массового хищения клиентских данных.
— Как можно противостоять таким угрозам?
— Чтобы противостоять угрозам пятого поколения (крупномасштабные угрозы, которые распространяются среди компаний в различных отраслях), финансовые компании должны внедрить несколько уровней защиты, системы которых будут интегрированы между собой и могут обмениваться информацией об атаках. Как правило, современные атаки состоят из нескольких этапов. Первоначальное зондирование может выполняться с помощью метода медленного и незаметного подбора всех возможных ключей или паролей. Если хакеру удастся захватить электронный почтовый ящик этим способом, дальше в ход пойдет фишинг и внедрение вредоносного ПО, которые позволят совершить мошенничество или кражу.
Банкам необходимо защищать все платформы, с которыми работают сотрудники: ПК, ноутбуки, мобильные телефоны и планшеты, а также виртуальные среды. Необходимо обеспечить контроль за данными, сетью и контентом, а также защиту от известного вредоносного ПО и зловредов нулевого дня (брешь в системе безопасности ПО, которой пользуются хакеры в целях получения несанкционированного доступа к системе). Кроме того, чтобы система безопасности организации была эффективна против эволюционирующих атак, ее компоненты должны получать обновленные данные об угрозах в режиме реального времени.