Как показали тесты на проникновение, проведенные компанией Positive Technologies в начале этого года в десяти российских банках из топ-50, попасть в сеть финансовой организации хакеры могут за пять дней, а если действовать изнутри, то за два дня смогут захватить контроль над всей инфраструктурой. Заинтересованные лица и хакерские группы по всему миру постоянно ищут уязвимости в IT-системах финансовых организаций. Задача – заполучить данные пользователей или доступ к инфраструктуре банка с целью хищения средств или получения выкупа. Объектами таких кибератак становятся сайты банков, устройства и инфраструктура, а также веб-приложения и конкретные пользователи.
Рассмотрим самые распространенные типы хакерских нападений в банковской сфере.
Хищение данных банковских карт
Огромная доля кибератак в банковской сфере приходится на различные методы получения доступа к данным карт пользователей. Конечная цель – похитить средства со счетов жертвы и вывести их безопасным для мошенника способом.
Такие атаки могут быть направлены на:
1. Банк изнутри – подразумевают похищение данных счетов/карт/клиентов у самого банка посредством проникновения в его внутреннюю инфраструктуру различными способами: через незащищенную рабочую станцию сотрудника, устаревшее программное обеспечение или средства удаленного доступа. Встречаются случаи, когда банковские служащие становятся соучастниками такого рода преступлений, предоставляя доступ к инфраструктуре финансовой организации за денежное вознаграждение.
Защита от таких атак представляет комплекс мер: предотвращение несанкционированного доступа к элементам инфраструктуры, сегментация инфраструктурной сети, контроль за действиями сотрудников в системе, активное обнаружение и предотвращение вторжений извне.
2. Клиентов банка – предполагают похищение данных банковских карт непосредственно у их держателей. Существует огромное количество вариантов похищения данных как с помощью социальной инженерии (телефонные звонки от якобы «службы финансового мониторинга» банка и тому подобное), так и с применением технических средств (компьютерные вирусы или сайты-подделки, похищающие данные жертвы, когда она этого даже не подозревает).
Защититься от этого можно только посредством обучения клиентов:
- Не поддаваться на мошеннические схемы.
- Не сообщать пароли/проверочные коды/данные карты по телефону.
- Не пользоваться небезопасными техническими средствами. Например, некоторые банки запрещают пользователям смартфонов с ОС Android проводить банковские операции через мобильное приложение, если пользователь имеет Root-доступ (права суперадминистратора).
Атаки этого типа обычно менее масштабные по сравнению с первыми, но в любом случае, они грозят банкам как финансовыми, так и репутационными потерями.
Атаки на устройства самообслуживания
Другой уязвимой точкой в банковской сфере являются банкоматы. Даже если исключить различные методы извлечения денег из устройства посредством «молотка и лома», остается еще много вариантов, как получить хранящуюся в нем наличность или данные вставляемых карт.
Например, доступ можно получить посредством:
- Атаки на инфраструктуру банка, когда после проникновения в информационные системы деньги без труда можно будет забрать в ближайшем банкомате.
- Установки в корпус устройства своего оборудования, которое заставит сейф выдать имеющуюся наличность, либо через устаревшее программное обеспечение, протоколы или оборудование.
В первом случае решение проблемы достигается путем обеспечения надежной защиты самой банковской инфраструктуры. Что касается защиты банкомата, то здесь важно регулярно обновлять и проверять его программное обеспечение на уязвимости, сама конструкция устройства должна предполагать отсутствие возможности установки скиммеров (устройств для кражи данных банковских карт), а корпус и аппаратная составляющая должны предотвращать возможные случаи подмены управляющего оборудования.
Атаки на веб-ресурсы
На фоне пандемии и трендов на автоматизацию и цифровизацию процессов в разных сферах новый виток развития получил онлайн-банкинг. Но технологический прогресс провоцирует и рост угроз, которые могут возникнуть при использовании инноваций, появляется все больше способов интернет-мошенничества. Атаки на веб-ресурсы входят в топ-3 по популярности в финансовом секторе. В зоне повышенного риска – банковские приложения, поэтому необходим регулярный анализ их защищенности. Наиболее эффективным способом проверки является метод White Box, подразумевающий анализ исходного кода.
Кроме этого, есть рейтинг типов уязвимостей веб-приложений OWASP (Open Web Application Security Project), который регулярно обновляется. Для защиты от взлома необходимо периодически проводить проверку «слабых мест» по этому списку самостоятельно с помощью публичных сканеров или воспользоваться услугами специализирующейся на информационной безопасности IT-компании.
Учитывая, что основные проблемы возникают на этапе проектирования, банки должны задуматься о внедрении процесса безопасной разработки и приемки кода, а также о повышении защищенности своих веб-приложений на всех этапах их существования. В целом же, для профилактики кибератак на веб-приложения рекомендуется использовать комплекс технологий для их всесторонней и непрерывной защиты.
DDoS-атаки
Кибератаки на банковскую инфраструктуру – это не всегда похищение данных или денег. Есть относительно дешевый и проверенный способ причинить финансовый или репутационный ущерб банку, а конкретно – DDoS-атака (Distributed Denial of Service – распределенное сетевое нападение на инфраструктуру типа «отказ в обслуживании»). В этом случае цель хакеров – вымогательство. Под предлогом восстановления работоспособности инфраструктуры мошенники предлагают заплатить выкуп в размере от $1000 и выше.
Суть DDoS-атак – перегрузить клиентский портал или внутреннюю корпоративную инфраструктуру банка большим потоком сетевого трафика так, чтобы запросы от легитимных пользователей было невозможно обработать. Также встречаются случаи, когда они используются, чтобы отвлечь внимание от менее заметного проникновения в инфраструктуру.
Есть два варианта решения вопроса с защитой от DDoS-атак:
- Организация банком киберзащиты самостоятельно, что довольно затратно ввиду высоких цен на широкие каналы связи, хотя крупные финансовые организации могут себе это позволить.
- Приобретение защиты у стороннего поставщика, который в комплексе может предоставлять еще и услуги защиты веб-приложений.
И в завершение общий совет: важно периодически проводить анализ защищенности внутренней и внешней инфраструктуры банка, тестировать на проникновение и уязвимости, а главное – потом применять на практике все рекомендации, полученные по их результатам. Это позволит устранить уязвимости, которыми киберпреступники могут воспользоваться для совершения атаки. Превентивные меры чаще обходятся дешевле, чем ликвидировать последствия.
Радует, что финансовые организации понимают это и работают над безопасностью предоставляемых услуг. Так, в 2021 году крупные банки планируют увеличить расходы на киберзащиту. Об этом сообщает Bloomberg, ссылаясь на фрагмент исследования Deloitte & Touche LLP, которое скоро должно быть опубликовано.
Фото: freepik.com
Также читайте:
Вообще-то для этого есть международные стандарты безопасности, где все это прописано. И вся эта писанина сводится к одному - проверки, какие сертификаты у банка есть и кем подтверждено.
Банк России серьезно озабочен проблемой кибербезопасности и организовал специальную платформу, где систематизирует весь опыт работы финансового сектора по противодействию кибер-мошеничеству.
Однако самая большая проблема для банков в части финансовой безопасности - персонал. Это, по прежнему, самое слабое звено. Именно на нем потери больше, чем от кибермошеничества.
Какой ущерб может нанести дядя Вася-инкассатор? Украсть пару мешков с деньгами? Какой ущерб может найти тетя Галя-кассир? Стырить дневную выручку?
Копейки.
А вот если к вам в банк пролезут, зашифруют всю базу вместе с резервными копиями, то каюк банку.
Между теоритическими изысканиями и горькой правдой большая разница. К примеру взять такой материал.
https://www.banki.ru/news/bankpress/?id=464242
Есть данные по реальным убыткам от киберпреступников?
Убытки от кибер преступников: https://www.accenture.com/us-en/insights/financial-services/cost-cybercrime-study-financial-services
Увы, но если 7 миллиардов считается крупнейшим убытком от персонала, то в киберкрайме счет идет на куда большие суммы.
Хорошая статья о том, какие риски существуют и сколько надо заплатить, чтобы не случилось несчастья. А где цифры реальных потерь?
Там же где и карты ядерных шахт. И состояния счетов разных политиков. И компроматы на влиятельных лиц.
В надежном и укромном месте. Потому что такие данные в явном виде публиковать будут только под угрозой расстрела, потому что в случае банков, по мимо штрафов - это еще и проблемы с кучей лицензий.
А вот если вам без банков, а вообще - то пожалуйста:
https://www.herjavecgroup.com/wp-content/uploads/2018/12/CV-HG-2019-Official-Annual-Cybercrime-Report.pdf
С доказательствами и суммами
А как вы представляете, что банк может скрыть факт того, что потерял деньги? Это невозможно. Для этого с ним должны войти в сговор клиенты, потерявшие деньги и Центальный банк, и прокуратура. Вы верите в реалистичность такого сценария?
Хороший вопрос. Зависит от суммы и вектора атаки. Например, прошла массовая атака по клиентам, у них украли пароли и давай снимать деньги. На это достаточно быстро реагирует SIEM и отдел мониторинга обрубает все концы.
Официально объявляется технический сбой, а банк покрывает ущерб за счет внутренних резервов.
Значит резервы банков способны покрыть все последствия хакерских атак) Получается, не так уж они и страшны в реальности, раз на ликвидацию всех последствий хватает резервов. А на эти цели они не так уж и значительны. 20 лет работы в банках и дают мне поние того, как устроен процесс формироания и использования резервов.