Число успешных кибератак на банковские счета граждан увеличилось. Только в первом квартале 2023 года у розничных клиентов кредитных организаций украли несколько миллиардов рублей. За тот же период данных о значительных кражах средств со счетов финансовых организаций нет. Хакеры переключились на граждан, которые оказались беззащитнее банков.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Статистика нападений
В начале июня Банк России опубликовал «Обзор отчетности об инцидентах информационной безопасности при переводе денежных средств» за первый квартал 2023 года, согласно которому кредитные организации отразили 2,7 млн операций без согласия клиента, предотвратив хищения средств организаций и физических лиц на 712 млрд руб. Успешными оказались 252,1 тыс. атак на сумму 4,5 млрд руб. Жертвами хакеров были преимущественно граждане — у них украли деньги в 251,5 тыс. инцидентов, еще 655 случаев составляли атаки на корпоративных клиентов банков. Сообщений ЦБ о хищении средств у кредитных организаций ни в 2023-м, ни в 2022 году не было.
При изучении статистики ЦБ может создаться впечатление, что кредитные организации хакерам больше не интересны. Но это не так. Как сообщили “Ъ” в Банке России, в 2022 году число DDoS-атак на инфраструктуры кредитных организаций существенно увеличилось, тем не менее они не понесли серьезных потерь. «Это произошло в том числе благодаря эффективному взаимодействию регулятора, банков и других ведомств, задействованных в процессе противодействия данному типу атак»,— указали в ЦБ.
Масштабные DDoS-атаки прошлого года — дело рук политически мотивированных хакеров — хактивистов. Сохраняется угроза и сейчас.
«Я бы не сказал, что подобные атаки больше не актуальны для кредитных организаций. По нашей сети по итогам первого квартала 2023 года их число снизилось на 15–20% в сравнении с прошлогодним,— сказал руководитель направления по развитию продуктов сетевой и IT-инфраструктуры от DDoS компании Servicepipe Даниил Бобрышев.— Кроме того, уже в 2023 году мы все видели, как DDoS-атаки приводили к недоступности сервисов крупнейших игроков». Также эксперт отметил, что для кредитных организаций сейчас актуален еще один тип киберинцидентов, не связанный напрямую с выводом денежных средств,— СМС-бомбинг. Атака происходит следующим образом: ботнет под видом клиентов банков запрашивает отправку ему СМС, например для входа в интернет-банк. В результате такой активности количество отправляемых СМС и, соответственно, расходы на их оплату могут вырасти в три-пять раз. Целью злоумышленников при таких атаках является нанесение финансового ущерба, некоторые из них также инициированы хактивистами.
Отсутствие громких сообщений о случаях хищения средств из кредитных организаций также не повод расслабляться, уверены эксперты. «Банки перестанут интересовать злоумышленников только тогда, когда в них перестанут храниться деньги,— замечает руководитель центра сервисов кибербезопасности компании МТС RED Андрей Дугин.— Количество атак с использованием технологий падает в связи с тем, что за прошедший год многие организации повысили свой уровень защищенности». На собственном опыте банки убедились в том, что хакеры и киберугрозы не просто страшилки от ИБ-специалистов, резюмировал эксперт. С ним согласен аналитик исследовательской группы Positive Technologies Федор Чунижеков, который отметил: для проведения атак на системы финансовых организаций и получения финансовой выгоды злоумышленникам необходимо иметь очень высокую квалификацию и глубокое понимание внутренних бизнес-процессов таких компаний. Эксперт отметил, что снижения интереса злоумышленников к атакам на банки нет. «По нашим данным, за первый квартал 2023 года доля атак на финансовые организации составила 8% в общем объеме атак»,— сказал Федор Чунижеков.
Доля атак с использованием социальной инженерии была высокой год назад, остается высокой и в 2023 году — на них приходится больше половины инцидентов. Число же случаев использования злоумышленниками вредоносного ПО (хакеры традиционно используют его при атаках на банки) снизилось с прошлого года на 16%. В абсолютных величинах это 75 раз в квартал, что составляет 0,03% общего объема атак.
Атаки, связанные с компрометацией аутентификационных или учетных данных, изменением маршрутно-адресной информации, с эксплуатацией уязвимостей и сканированием портов, составляли в общем объеме менее 0,02%, или 47 за квартал. Это также типичные атаки на кредитные организации.
Тренды года
Рост защищенности кредитных организаций вынуждает хакеров сменить тактику. В Банке России уверены, что киберпреступники уже переориентировались со сложных атак с применением разнообразных тактик и техник на атаки, связанные с эксплуатацией уязвимостей используемого организациями программного обеспечения (ПО).
По словам Андрея Дугина, в 2023 году сохранится также тренд на атаки контрагентов банков, чтобы через них зайти в банк. В ЦБ также фиксируют атаки на третью сторону. «К ним относятся случаи, когда атакованной стороной выступают компании—поставщики ПО в организации финансовой сферы»,— сообщили в Банке России. Федор Чунижеков также считает одной из основных угроз для кредитных организаций атаки через финансовые приложения, встраиваемые в экосистемы. Кроме того, злоумышленники могут создавать клоны онлайн-банков в магазинах приложений и поддельные страницы в соцсетях.
Актуальны для кредитных организаций и атаки внутренних злоумышленников. По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, в 2023 году многие обращения компаний были связаны с инцидентами в их внутренней инфраструктуре, в том числе с утечками персональных данных.
Федор Чунижеков назвал реальной угрозой для банков и атаки через инсайдеров.
Говоря об атаках на клиентов кредитных организаций, эксперты отметили: хотя доля социальной инженерии очень высока, средствам юридических и физических лиц угрожают не только атаки, начинающиеся со звонка «службы безопасности банка». И рассказали об основных трендах этого года. По словам начальника департамента кибербезопасности банка «Зенит» Олега Волкова, в 2023 году вероятны взломы мобильных устройств банковских клиентов с помощью удаленного доступа, а также получение возможности установки переадресации СМС и звонков. Доступ к управлению устройствами достигается посредством социальной инженерии, фишинга, вредоносных приложений.
Генеральный директор Safetech Денис Каленберг отметил, что почти все убытки от фишинга и в значительной части от социальной инженерии стали результатом использования СМС, о небезопасности которых в качестве средства подтверждения платежа неоднократно предупреждали эксперты по информационной безопасности и которые, по сути, запретил использовать регулятор с 1 октября 2022 года.
Денис Каленберг также напомнил, что в отчете ЦБ по ИБ-инцидентам по итогам первого квартала 2023 года приводится статистика несанкционированных платежей через СБП, и такие атаки на граждан не потеряют актуальности и в будущем. «Происходят они нередко следующим образом: клиент банка при оплате покупки путем сканирования QR-кода или перехода по ссылке провалился в мобильный банк и быстро подтверждает перевод с помощью СМС, не глядя, кому идут деньги (отображаемая информация очень ограничена, и обычно ее не читают),— пояснил эксперт.— Если реквизиты отправки подделаны злоумышленником, то деньги улетят неустановленным лицам». И пока кредитные организации не перейдут на более безопасные способы подтверждения транзакций, риски подобных атак для клиентов кредитных организаций сохранятся.
По словам Федора Чунижекова, для получения доступа к устройствам клиентов будут по-прежнему использоваться и банковские трояны.
Сергей Голованов отметил рост атак на банковских клиентов-юрлиц: «В конце 2022 года отмечен резкий рост таких атак, в том числе с использованием вредоносного ПО, который продолжается в 2023-м».