Do infekowania sieci korporacyjnych banków hakerzy wykorzystują ukierunkowane ataki phishingowe, wysyłanie wiadomości e-mail ze szkodliwymi załącznikami lub wykorzystanie exploita Niteris, który celuje w luki w zabezpieczeniach przeglądarek. W przypadku udanej infekcji atakujący wykorzystują legalne technologie przeznaczone do pentestowania, aby „naprawić sukces”. W efekcie hakerom udaje się uzyskać do swojej dyspozycji lokalny kontroler domeny, a następnie dostęp do komputerów pracowników banku odpowiedzialnych za przetwarzanie transakcji kartowych.
Ale grupa Metel wyróżnia się nie tym, ale wynalezieniem interesującej metody wypłacania skradzionych pieniędzy z bankomatów. Atakujący wysyłają swoich wspólników do bankomatów innych banków w celu wypłaty pieniędzy z ważnego konta bankowego w zainfekowanym banku. Ponieważ na tym etapie osoby atakujące kontrolują już zasoby wewnątrz zainfekowanego banku i mają dostęp do systemów zarządzających transakcjami pieniężnymi (na przykład komputerów obsługi klienta), wycofują transakcje dokonane za pośrednictwem bankomatów. Dlatego nawet jeśli przestępcy stale wypłacają pieniądze za pośrednictwem bankomatów, saldo na ich kontach pozostanie stałe, bez względu na to, ile transakcji zostanie dokonanych w bankomacie. Utrata środków zostaje odkryta później, gdy trop hakerów już się przeziębił.
Specjaliści GReAT powiedzieli, że hakerzy podróżowali do różnych miast Rosji i tylko przez jedną noc wypłacali duże kwoty za pośrednictwem bankomatów z kart wydanych przez skompromitowany bank. Tylko w jedną z tych nocy przestępcy ukradli kilka milionów rubli. Oznacza to, że aktywna faza cyberataków generalnie uległa skróceniu: kiedy atakujący zdadzą sobie sprawę, że przygotowali wszystko, co niezbędne do osiągnięcia celu, uzyskują wszystko, czego potrzebują i ograniczają operację w ciągu kilku dni, a nawet godzin.
W tej chwili ponad 30 instytucji finansowych zostało dotkniętych szkodliwym oprogramowaniem Metel.
GCMAN
Hakerzy z GCMAN działają inaczej - ich mocną stroną jest skradanie się. Grupa nosi nazwę GCC (GNU Compiler Collection), która jest używana w ich niestandardowym złośliwym oprogramowaniu. Ci faceci wolą po cichu infekować banki, nie zwracając na siebie uwagi, a następnie przekazywać środki w niewielkich ilościach za pomocą różnych usług kryptowalutowych.
Cyberprzestępcy wykorzystują również ukierunkowany phishing e-mailowy do infekowania sieci instytucji finansowych. Jeśli ofiara otworzy złośliwe archiwum RAR wysłane jako załącznik, zadanie można uznać za wykonane - komputer jest zainfekowany szkodliwym oprogramowaniem GCMAN.
Jednak eksperci zauważają, że hakerzy nie zawsze stosowali phishing. Grupa przeprowadza udane ataki bez użycia jakiegokolwiek złośliwego oprogramowania, opierając się wyłącznie na legalnych technologiach i narzędziach pentestujących. Dlatego w wielu przypadkach osoby atakujące wykorzystały narzędzia Putty, VNC i Meterpreter, które umożliwiły im dostanie się do komputera, który mógł być zaangażowany w przesyłanie pieniędzy do serwisów kryptowalutowych bez powiadamiania innych systemów bankowych.
W przeciwieństwie do Metel, GCMAN nie spieszy się i podchodzi do sprawy szczegółowo. W jednym przypadku napastnicy przebywali w zainfekowanym systemie przez półtora roku, zanim zaczęli kraść pieniądze. Ale kiedy atak wchodzi w aktywną fazę i rozpoczyna się transfer środków, hakerzy nie wahają się. W każdej minucie grupa GCMAN może przelać do 200 USD – limit anonimowych płatności w Rosji. Wszystkie skradzione pieniądze trafiają na różne konta kryptowalutowe tzw. „kropli” - specjalnie zatrudnionych osób, które zajmują się wypłacaniem środków. Zlecenia transakcyjne w takich przypadkach są przesyłane bezpośrednio do bramki płatniczej banku, ale nie są wyświetlane w żadnym z wewnętrznych systemów bankowych.
Jak Rosja stała się „terytorium hakerskim”. Ile pieniędzy hakerom udaje się ukraść z kieszeni osób fizycznych i prawnych? Itogi zadał to pytanie Itogi, dyrektorowi generalnemu Group-IB, Ilyi Sachkovowi, z którym wspólnie wyjaśniliśmy tło ostatnich kłopotów z LiveJournal (Itogi, nr 15).
- Ilya Konstantinovich, jak często konta bankowe są niszczone za pomocą ataków DDoS?
„Takie ataki są dość powszechne, ale są rzeczy poważniejsze. Najczęstszą rzeczą w Internecie są oszustwa za pośrednictwem systemów bankowości internetowej, innymi słowy kradzież środków z rachunków osób prawnych i osób fizycznych. Przede wszystkim legalne, bo mają więcej kwot na koncie. W prasie pojawiają się pojedyncze kradzieże, ale w rzeczywistości sytuacja jest znacznie gorsza: codziennie analizujemy tylko 10 przypadków, a w całym kraju wydaje mi się, że dziennie dochodzi do 60-70 kradzieży z kont osób prawnych za pośrednictwem zdalnych systemy bankowe (RBS). Niestety nie ma oficjalnych statystyk na ten temat.
- Czy możesz oszacować rentowność tego „biznesu”?
- Rosyjscy hakerzy - ci, którzy mieszkają w naszym kraju, według naszych szacunków zarobili w 2010 roku 1,3 miliarda dolarów tylko w Rosji. Jeśli połączymy rosyjskojęzycznych imigrantów z krajów byłego Związku Radzieckiego, to będzie już 2,5 miliarda dolarów. Na przykład pokażę ci na ekranie wyciąg z portfela internetowego prawdziwego hakera mieszkającego w Moskwie, który jest obecnie przedmiotem śledztwa. Zobacz: pieniądze napływające pewnego dnia 11 sierpnia 2010: 40 000 $, 31 000 $, kolejne 40 000 $ i tak dalej. I to tylko na jeden dzień!
- Prawdopodobnie nie wszystkie te kwoty przechodzą przez zdalne systemy bankowe? Istnieją na przykład korporacyjne karty bankowe, które również są interesujące dla oszustów.
„Według naszych szacunków kradzież kart firmowych to grosz w porównaniu z oszustwami w bankowości zdalnej. To włamania do systemów klient-bank stanowią większość dochodów przestępców. To, co widzieliście na ekranie, to realne dochody całej grupy przestępczej. Właściciel portfela internetowego jest organizatorem grupy, otrzyma około 80 proc. Patrzymy dalej: dochód za półtora miesiąca - 24 miliony dolarów. Są to ilości kradzieży z kont rosyjskich osób prawnych. Cierpią głównie małe firmy, czasem duże. Ten przypadek nie jest wyjątkiem, ale raczej nowym formatem rzeczywistości. W Rosji, gdzie wszystko jest już bardzo trudne z prawnymi dowodami przestępstw komputerowych, jest to potencjalne źródło korupcji w organach ścigania.
— Jak hakerom udaje się dostać do bezpiecznego systemu bankowego?
— Za pośrednictwem firmowych komputerów osobistych osób prawnych, klientów banków, na których zainstalowane jest oprogramowanie do zdalnego zarządzania rachunkami bankowymi. Najczęściej odbywa się to za pomocą złośliwego oprogramowania. Zainfekowanie komputera księgowego specjalnym wirusem - trojanem bankowym - można w rzeczywistości przeprowadzić na dwa główne sposoby. Albo wirusa wniesie wspólnik przestępców pracujących w firmie, rodzaj niefortunnego Kozaka. Albo trojan zostanie odebrany przez samego księgowego, który „surfuje” po Internecie ze swojego komputera służbowego i może odwiedzić zainfekowaną stronę. W każdym razie infekcja komputerowa jest wynikiem zaniedbania podstawowych zasad bezpieczeństwa informacji. Wszakże idealnie do dokonywania płatności księgowy musi posiadać przenośny komputer, który powinien być przechowywany w sejfie i wyjmowany tylko do pracy w systemach bankowości internetowej. Jest to jednak idealne rozwiązanie, ale w praktyce wirus, który przeniknął do oprogramowania księgowego, generuje fałszywe polecenie zapłaty w celu przelania pieniędzy z konta ofiary na konto specjalnie zarejestrowanej firmy jednodniowej.
- Ale jest mało prawdopodobne, że będziesz w stanie wykorzystać całą kwotę na raz?
„Oczywiście, może przyciągnąć uwagę. Dlatego w grupie przestępczej znajdują się nie tylko hakerzy, ale także osoby odpowiedzialne za pobieranie pieniędzy z kont bankowych i dokonywanie wypłat. W tej części hakerzy ściśle współpracują z tradycyjną przestępczością. Tak więc pieniądze skradzione z kont osób prawnych są najczęściej wysyłane do Jekaterynburga lub Czelabińska - nadal działają tam zorganizowane grupy przestępcze, które zarabiają od lat 90. Dzielą początkową kwotę, przelewając ją na konta innych firm jednodniowych lub fikcyjnych osób fizycznych. Zadanie polega na rozdysponowaniu początkowej kwoty na wiele kont osób fizycznych (nazywa się to kroplami, zwykle są to biedni studenci, bezdomni itp.) tak, aby krople mogły bez problemu wypłacić „swoje” kwoty w dwóch, trzech podejściach do bankomatu w ciągu dnia. Za niewielką opłatą robią to i przekazują gotówkę konkretnej osobie z gangu. Schematy wypłat są oczywiście opracowywane z wyprzedzeniem, ale istnieje rynek, powiedzmy, usług pod klucz. Jeśli mi nie wierzysz, wpisz frazę „cash out” w dowolnej wyszukiwarce...
Co wtedy dzieje się z gotówką?
- Następnie gotówka jest transportowana do Moskwy i wprowadzana do elektronicznego systemu płatności, takiego jak WebMoney lub Yandex. Pieniądze". W końcu trzeba jakoś przelać gotówkę na konta przestępców i jednocześnie całkowicie zatrzeć ślady. Portfel elektroniczny jest tutaj najlepszym narzędziem, ponieważ po tym etapie pieniądze nie są już identyfikowalne. Następnie właściciel portfela rozrzuca pieniądze między innymi portfelami: hakerami odpowiedzialnymi za powiązania z różnymi zorganizowanymi grupami przestępczymi itp. Rozgryzienie takiego schematu wyłudzenia pieniędzy zajęło organom ścigania i nam jako analitykom dwa lata pracy. Nie było to łatwe, ponieważ takich systemów płatności elektronicznych jest wiele, nie są one kontrolowane przez państwo.
To raj dla przestępców!
- Słowem, nazywa się to piękniej - pojęciem gospodarki wolnorynkowej. Opiera się na trzech filarach: nie ma kontroli państwa (kontrakty bezpośrednie), nie ma podatków, a za te pieniądze można kupić wszystko. Oczywiście nie będziesz w stanie bezpośrednio zapłacić, powiedzmy, za nieruchomość za pomocą waluty elektronicznej, ale pieniądze można łatwo wypłacić i kupić willę, którą lubisz. Schematy wypłacania walut elektronicznych są znacznie prostsze niż wypłacanie pieniędzy z kont bankowych, ze względu na brak tak ścisłej kontroli, jaka istnieje w środowisku bankowym.
Jak ten problem jest rozwiązywany w innych krajach?
- W USA wiele osób rozumie, że jeśli haker przebywa w USA i działa na szkodę kraju, to z prawdopodobieństwem 90 proc. zostanie w najbliższym czasie aresztowany. W Europie, w wielu krajach praktycznie niemożliwe jest wypłacenie pieniędzy osoby prawnej. Zasadniczo istnieją trzy czynniki odstraszające: poczucie kary, nieopłacalność ekonomiczna i niemożność techniczna. Mamy paradoksalną sytuację: brakuje wszystkich trzech. W związku z tym osoba, która nie jest obciążona sumieniem, może z łatwością założyć przestępczy biznes i zarobić milion dolarów dziennie, ponieważ technicznie nie jest to bardzo trudne.
- Powiedz mi więcej!
- Umówmy się od razu, że nie piszemy instrukcji dla początkującego hakera. To, o czym mówimy, jest przestępstwem i nie powinno się tego robić, nawet z naturalnej ciekawości. Dochody, które widziałeś na ekranie, to nie tylko liczby, to czyjś stracony interes, czyjaś rodzinna tragedia.
Teraz o kluczowych punktach schematu karnego. Przede wszystkim atakujący musi stworzyć botnet zainfekowanych komputerów i wirusa, który zainfekuje te komputery. Jeśli zadaniem jest zarabianie pieniędzy, potrzebujesz wysokiej klasy wirusa, który nie jest wykrywany przez antywirusy i jest rodzajem konstruktora. Kosztuje 5-6 tysięcy dolarów. Trzeba też wykupić hosting, gdzie dostęp do zawartości serwerów jest gwarantowany, że dostęp do zawartości serwerów będzie zamknięty dla wszelkich organów ścigania. Jest to szczególny kierunek działalności podziemia - tworzenie wyspecjalizowanych środowisk hostingowych do świadczenia nielegalnych usług.
- Czy jest duży wybór?
- Ogromny. A taki hosting jest niedrogi: 150-200 dolarów miesięcznie. Większość komercyjnych centrów danych (DPC) nie jest, ale w mojej praktyce istniały całkiem legalne centra danych, które potajemnie zarabiały na hostingu dla przestępców, ponieważ jest to bardzo opłacalne. W tym niestety w Rosji.
— A jak wirus rozprzestrzeni się w sieci?
- Potrzebujemy dystrybutora złośliwego oprogramowania w Internecie. Aby to zrobić, istnieją całe grupy napastników, zwanych nalewakami. Są to ludzie, którzy rozpowszechniają złośliwe oprogramowanie za pieniądze. Zainfekowanie 1000 maszyn kosztuje 20 dolarów, czyli około 600 rubli. Ale zwykle klient wydaje więcej, 500 USD, aby zainfekować więcej maszyn. Wirus - mały moduł rozruchowy - dostaje się do komputerów, zamieniając je w zainfekowane boty. A sam organizator obserwuje za pomocą panelu kontrolnego, jak zachowują się jego boty.
Ostatni pisk w tej dziedzinie: sam wirus próbuje dowiedzieć się, co można ukraść z tego komputera. Przede wszystkim szuka wejść do bankowych systemów płatności. Jeśli tak, ładuje na komputer moduł do pracy z programem księgowym banku. Jeśli nie, próbuje znaleźć oprogramowanie płatnicze dla osób fizycznych: WebMoney, Yandex.Money itp. Znaleziono - załadowano odpowiedni moduł. Jeśli nic z tego nie jest dostępne, a pieniędzy nie można zarobić bezpośrednio z komputera, nadal można ich użyć: na przykład do wysyłania spamu lub ataków DDoS. Maksymalny koszt wejścia na rynek cyberprzestępczy to 8 000 USD.
- Jak wirusowi udaje się bezkarnie wykonywać swoją brudną robotę, skoro banki dużo inwestują w systemy bezpieczeństwa?
„Przestępcy zamawiają wysokiej jakości wirusy, które są w stanie ominąć programy antywirusowe i inne rodzaje ochrony. Co więcej, nowoczesne trojany bankowe dają hakerom nie tylko możliwość zdalnego dostępu, ale także ukrywania śladów przestępstw. Jak to jest zrobione? Po wysłaniu fałszywego polecenia zapłaty głównym zadaniem przestępców jest ograniczenie dostępu księgowego do systemu bankowości internetowej. Najczęściej usuwają jeden ze składników systemu operacyjnego zainfekowanego komputera. W momencie, gdy wszystkie siły klienta banku są włożone w przywracanie komputera, pieniądze opuszczają jego konto.
- Powstaje ciekawe pytanie: kto jest winny temu, co się stało? Klient banku, który pozwolił zainfekować komputer, czy bank, który wydał mu takie oprogramowanie, które nie jest chronione przed atakami wirusów?
— Z jednej strony odpowiedzialność za incydent ponoszą klienci, którzy często lekceważą rozsądne rekomendacje banków. Nawiasem mówiąc, są one określone w każdej umowie o świadczenie usług bankowości zdalnej. Z drugiej strony banki są zobowiązane do śledzenia dziwnych płatności - na przykład jednorazowego przelewu dużej kwoty na konto osoby fizycznej. Operator musi zablokować taką płatność, zadzwonić do firmy i otrzymać potwierdzenie od księgowego. Niestety w praktyce nie każdy bank przestrzega takich standardów...
- Co powinna zrobić ofiara?
- Prawie każde działanie hakerów jest przestępstwem. Dlatego konieczne jest skontaktowanie się z policją. To prawda, że \u200b\u200bofiary rzadko to robią.
- Dlaczego? Nie wierzysz w sukces?
— Częściowo tak, nie wierzą, bo przykładów udanych śledztw jest bardzo mało. Dobrze, że w naszym kraju pojawiła się tak wyspecjalizowana firma jak nasza. Na Zachodzie jest wielu takich ludzi, to jest cały rynek usług.
Wyobraźmy sobie, że poszkodowany właściciel firmy przychodzi do lokalnego komisariatu policji. Czy spojrzą na niego jak na idiotę?
- Prawdopodobne, że będą starali się nie przyjąć wniosku. I do tej podróży należy się odpowiednio przygotować. Po pierwsze, musisz jasno zrozumieć, że doszło do przestępstwa, ponieważ mamy koszmar ze znajomością prawa ludności w dziedzinie bezpieczeństwa informacji. A to przestępstwo jest opisane w Kodeksie karnym. Po drugie, musisz jasno wiedzieć, że policjant ma obowiązek przyjąć wniosek, a odmowa jest właściwie wykroczeniem. Po trzecie, konieczne jest prawidłowe opisanie składu przestępstwa. Zalecenia dotyczące pisania listu są dość łatwe do znalezienia w Internecie: zarówno na naszej stronie, jak i na innych. W przypadku ataku DDoS wskazane jest załączenie strony internetowej poświadczonej notarialnie. W Moskwie są (i już pojawiają się w regionach) tacy notariusze internetowi, którzy potwierdzają, że na komputerze notariusza nie ma dostępu do zasobu. Morał jest taki: jeśli dana osoba przygotuje się do wizyty na komisariacie, zwiększy to szanse, że śledztwo zakończy się sukcesem lub przynajmniej zostanie wszczęte postępowanie karne.
- To znaczy oświadczenie dla policji, czy Twoim zdaniem jest to panaceum?
- Trzeba się zgłosić, przynajmniej do statystyk. Spójrzcie: liczebność policji można zwiększyć tylko na podstawie zarejestrowanych przestępstw, ale obecnie oficjalne statystyki Ministerstwa Spraw Wewnętrznych w zakresie przestępstw związanych z zaawansowanymi technologiami są zupełnie nieadekwatne. Jest więc katastrofalny brak odpowiednich specjalistów: na jednego policjanta w dziedzinie przestępstw komputerowych przypada, jak sądzę, około 100 zgłoszeń, może więcej. I większość pracy jest wykonywana na papierze.
- Moim zdaniem naszym stróżom prawa znacznie przyjemniej jest złapać biednego studenta, który zainstalował na komputerze nielicencjonowaną wersję systemu operacyjnego lub programu księgowego ...
— Rozumiem chęć ludzi do robienia właśnie takich badań, bo technicznie jest to o wiele łatwiejsze. Ale to kompletna bzdura, gdy jedna osoba kradnie 5 milionów dolarów i otrzymuje za to pięć lat w zawieszeniu, a druga siedzi przez dwa prawdziwe lata za nielicencjonowany system operacyjny. Państwo musi pilnie interweniować w tym bałaganie z przestępczością komputerową! Jeśli nic nie zostanie zrobione, jutro będzie znacznie gorzej: dochody hakerów rosną, a wraz z nimi – możliwości wywierania wpływu. Jeśli w 2000 roku firmy stawiały zabezpieczenia, a hakerzy je łamali, to dziś, gdy przestępca ma 24 miliony dolarów miesięcznych dochodów, role się zmieniły: haker popełnia przestępstwa, a firmy i organizacje próbują go dogonić. Za dwa lata możemy całkowicie stracić kontrolę nad Internetem, a wtedy walka z hakerami będzie bezużyteczna. Ponieważ będą mieli swoich ludzi w Dumie Państwowej, gdzie będą wykonywać swoje prawa.
- Niedawno Rosyjskie Stowarzyszenie Komunikacji Elektronicznej zaproponowało zmianę Kodeksu karnego Federacji Rosyjskiej w zakresie odpowiedzialności za przestępstwa komputerowe. Czy to pomoże?
— Jestem współprzewodniczącym komisji RAEC ds. bezpieczeństwa informacji i cyberprzestępczości i jestem bezpośrednio zaangażowany w opracowywanie tych poprawek. Spodziewamy się, że prace zakończą się jesienią. Ale nawet jeśli wszystko pójdzie zgodnie z planem, takie ramy regulacyjne będą działać idealnie tylko wtedy, gdy haker jest w Rosji, a przestępstwo jest również popełniane w Rosji. Kiedy haker jest za granicą, nic nie da się zrobić bez współpracy organów ścigania z różnych krajów. Istnieje na przykład międzynarodowa konwencja, która umożliwia krajom, które ją podpisały, w szczególności Stanom Zjednoczonym, wymianę danych niezbędnych do prowadzenia dochodzeń przez Internet. Rosja nie przystąpiła do tej konwencji, dlatego nasza komunikacja transgraniczna odbywa się po staremu: biurokracja, papierkowa robota, wizjonerstwo… Konwencja ta ma jednak pewne niuanse. Na przykład, jeśli się z nim połączymy, to powiedzmy amerykańskie organy ścigania będą mogły prowadzić własne dochodzenia na naszym terytorium bez informowania nas ... Konieczne jest przystąpienie do międzynarodowych związków, ale jednocześnie kontrolowanie niektórych subtelnych kwestie.
W 2017 roku szkody mogą być jeszcze większe. Co zaskakujące, okradanie instytucji finansowych stało się łatwiejsze, a ochrona przed nowymi typami oszustów nie działa dobrze.
WŁADIMIR RUWIŃSKI
Kradzież roku
Ostatniego dnia zimy 2016 r., 29 lutego, stołeczny Metallinvestbank stracił 200 mln rubli. Później okazało się, że zostały skradzione przez hakerów. Wszystko stało się szybko. Terminale, które zarządzają kontem korespondencyjnym instytucji kredytowej w banku centralnym, zaczęły wysyłać z niego pieniądze na konta osób trzecich bez autoryzacji. Odbiorcami są osoby prywatne w bankach komercyjnych na terenie całego kraju.
Podejrzane zachowanie komputerów w Metallinvestbanku zostało natychmiast wykryte, zapewnił Dengi Michaił Okunev, wiceprezes zarządu. „To było włamanie do kanału stacji roboczej klienta Banku Rosji, AWP KBR” – powiedział. Hakowanie, według Okuneva, trwało około godziny. Aby wstrzymać przelewy, bank zwrócił się nawet do banku centralnego o odłączenie go od systemu rozliczeniowego. Do tego czasu z konta korespondencyjnego Metallinvestbank zniknęło 667 milionów rubli. „Jedna trzecia pieniędzy została zwrócona natychmiast, około jedna trzecia została zatrzymana na kontach bankowych, spodziewamy się, że wrócą do nas na podstawie wyników procesu, który, jak się spodziewamy, rozpocznie się w kwietniu” - mówi Michaił Okunev . Około 200 milionów rubli, jak już wspomniano, bank nadal nie wrócił: z kontrolowanych kont napastnicy albo szybko je wypłacili, albo przenieśli dalej.
Ta historia ma nietypowe dla Rosji zakończenie. Trzy miesiące później, w czerwcu 2016 roku, FSB i Ministerstwo Spraw Wewnętrznych poinformowały, że łącznie w 15 regionach Federacji Rosyjskiej zatrzymały 50 osób należących do grupy hakerskiej Buhtrap. Została zauważona już w 2014 roku, kiedy okradała firmy. A w sierpniu 2015 r. ugrupowanie przeszło wyłącznie na instytucje finansowe:
w ciągu sześciu miesięcy, do lutego 2016 roku, Buhtrap przeprowadził 13 udanych ataków na rosyjskie banki, kradnąc 1,8 miliarda rubli, mówi Group-IB, która specjalizuje się w zapobieganiu i badaniu cyberataków.
Ta grupa, według źródeł Denega na rynku bankowym, również stoi za atakiem na Metallinvestbank. Group-IB podziela tę opinię.
Wzrost o 300%
Kradzież 667 milionów rubli z Metallinvestbank była jedną z największych w Federacji Rosyjskiej - spośród tych, które zostały upublicznione. Średnia kradzież hakerów z rosyjskich banków w okresie od czerwca 2015 do maja 2016 wyniosła około 140 milionów rubli. Chociaż były duże sumy. „W dwóch przypadkach kwota kradzieży przekroczyła kapitał docelowy banku 2,5 razy” – czytamy w raporcie Group-IB z zeszłego roku.
W sumie w 2016 roku Bank Centralny ogłosił w lutym 2017 roku, że hakerzy ukradli rosyjskim bankom komercyjnym 2,2 miliarda rubli.
„Jeżeli mówimy o próbach kradzieży środków z kont instytucji kredytowych, to w 2016 roku takich ataków padło dziewięć organizacji” — wyjaśnił Dengiemu służba prasowa regulatora. „Napastnicy próbowali ukraść około 5 miliardów rubli. około 2,8 miliarda rubli. Oczywiście banki straciłyby jeszcze więcej pieniędzy w 2016 r., gdyby nie schwytanie członków Buhtrap, grupy, która według Group-IB odpowiadała za dwie trzecie skradzionych banków.
Łączna liczba cyberkradzieży dokonanych przez instytucje finansowe w ciągu ostatniego roku może być jednak większa. Co najmniej, według szacunków Group-IB, w okresie od czerwca 2015 do maja 2016 hakerzy ukradli z rosyjskich banków 2,5 mld rubli w wyniku ataków ukierunkowanych (kiedy ofiara nie jest przypadkowa, ale wybrana ze znajomością sprawy) .
Według Group-IB liczba ukierunkowanych cyberkradzieży z banków wzrosła o 292% w porównaniu z tym samym okresem w latach 2013-2014. (Według Banku Centralnego od czerwca 2015 do maja 2016 hakerzy ukradli z rosyjskich banków 1,37 mld rubli). -IB Dmitrij Wołkow.
Firma nie ma jeszcze nowszych danych za 2017 rok, ale społeczność bankowa nieoficjalnie potwierdza Dengi, jeśli nie wzrost ilości skradzionych pieniędzy, to wzrost liczby cyberataków na rosyjskie organizacje finansowe. (Jednocześnie ilość skradzionych kwot może się zmniejszyć.) „Coraz częściej dochodzi do ataków na pieniądze samych banków. Uważa się, że w ostatnich latach liczba ataków podwaja się rocznie”, potwierdza Elman Mekhtiyev, wiceprezes Stowarzyszenia Banków Rosyjskich (ARB). Firma Positive Technologies, która również zajmuje się dochodzeniami w sprawie cyberprzestępczości, przewiduje, że w 2017 roku w Rosji będzie o 30% więcej ataków hakerskich na banki. Dotyczy to również przetwarzania, struktur brokerskich, operatorów przekazów pieniężnych – ich straty z tytułu cyberkradzieży również wzrosną.
Nie rozpoznany
Metallinvestbank jest rzadkim wyjątkiem od reguły. Publicznie przyznał się do faktu kradzieży i wielkości szkód spowodowanych działaniami hakerów. Rosyjski Bank Międzynarodowy i kazański Altynbank również informowały o cyberkradzieżach (choć bez szczegółów). Reszta woli nie mówić o stratach.
Tymczasem np. w Stanach Zjednoczonych organizacje finansowe, jeśli chcą uniknąć wysokich kar, muszą nie tylko zgłaszać regulatorowi szkody wyrządzone przez hakerów, ale także ujawniać je publicznie. Bankierzy twierdzą, że w naszym kraju instytucje finansowe i kredytowe nie upubliczniały takich informacji w obawie przed dużymi stratami wizerunkowymi i reputacyjnymi (a prawo nie zobowiązuje ich do szczerości).
Nie ma otwartych pełnych danych na temat tego, ile hakerzy ukradli z kont bankowych, ich klientów - osób fizycznych lub prawnych - w Rosji.
Odpowiednie statystyki Banku Centralnego tworzone są na podstawie raportów banków, które do 2015 roku nie spieszyły się z udostępnianiem regulatorowi poufnych informacji o cyberkradzieżach. Nieco ponad rok temu otrzymali takie polecenie. „Dane Banku Centralnego jako całości na temat cyberkradzieży w Federacji Rosyjskiej nie odzwierciedlają obrazu” – powiedział były szef departamentu w departamencie Ministerstwa Spraw Wewnętrznych, który chciał pozostać anonimowy. „Istnieje wiele więcej niż mówią banki”. Dotyczy to jednak przede wszystkim cyberkradzieży od klientów instytucji finansowych. W interesie banków nie leży ukrywanie przed bankiem centralnym takich ataków na siebie, są tego pewni rozmówcy Denega. Ale jest to całkiem realistyczne.
„Opracowując raporty statystyczne, Bank Rosji opiera się na fakcie, że instytucje kredytowe mają sumienne podejście do sprawozdawczości” – poinformowała służba prasowa regulatora.
Głównym celem są banki
Kilka tysięcy rubli skradzionych z Twojej karty to wydobycie „szczypania”. Zawodowi przestępcy komputerowi „zabierają” setki milionów na raz.
Jeśli w 2013 roku głównymi celami doświadczonych hakerów byli klienci banków, teraz są to same instytucje finansowe, mówią eksperci, z którymi rozmawiał Dengi. Najbardziej profesjonalni cyberprzestępcy, przeszkoleni w firmach, skupili się na bankach. Tam ryzyko i emocje są większe, sprawa jest bardziej skomplikowana, ale jackpot jest o wiele bardziej kuszący.
Według Group-IB dochody hakerów z ukierunkowanych ataków na banki w okresie od czerwca 2015 do maja 2016 „zablokowały całkowity dochód ze wszystkich innych metod kradzieży, czyniąc banki najbardziej atrakcyjnym celem”. Jeśli hakerzy ukradli 2,5 miliarda rubli z banków w określonym okresie, to 956 milionów od osób prawnych, 6,4 miliona od osób fizycznych za pośrednictwem komputerów stacjonarnych i 348,6 miliona od nich, ale za pośrednictwem smartfonów.
Od osób prawnych za jedną kradzież w bankowości internetowej można było „dostać” prawie 300 razy mniej niż od banków: 480 tysięcy za 140 milionów rubli.
Najbardziej wykwalifikowani hakerzy, „elita”, pracują z obydwoma. Konta zwykłych obywateli są czyszczone przez oddzielną grupę cyberprzestępców - zdaniem ekspertów jest to w rzeczywistości odpowiednik nisko wykwalifikowanych skubaczy w erze cyfrowej. Z kont bankowych obywateli, przez stacjonarne komputery osobiste, kradną jednorazowo średnio 51,6 tys. Rubli, przez smartfony z Androidem – średnio 4 tys.
Rosyjski rynek cyberkradzieży II kwartał 2015 — I kwartał 2016
|
Źródło: Grupa-IB
Nie ma niezniszczalnych
W sumie w kraju jest obecnie około 570 banków komercyjnych, a hakerzy najprawdopodobniej sondowali wszystkie z nich (w tym ponad 300 zamkniętych podczas czystki rozpoczętej przez Bank Centralny). „Nie ma banków, które nie atakują” — mówi Elmar Nabigaev, szef działu reagowania na zagrożenia bezpieczeństwa informacji w firmie Positive Technologies. „Wszyscy są atakowani przez hakerów”, zgadza się Aleksiej Goleniszczew, dyrektor ds. elektronicznego monitorowania biznesu w Alfa-Banku. „Ale niewiele osób dostanie się do bezpiecznego banku, z którego trudno jest wypłacić pieniądze”.
Wiele instytucji finansowych, przede wszystkim regionalnych, jest słabo przygotowanych na cyberataki. „Banki, zwłaszcza w regionach, wciąż są przekonane, że cyberoszuści to tylko wypatroszenie klientów, za które już zapłacili” – mówi top manager z sektora bankowego, który chce pozostać anonimowy. Według Elmara Nabigajewa z reguły po pierwszej kradzieży banki zmieniają podejście. – Teraz jest ich coraz mniej – mówi. Mniej między innymi dlatego, że większość zamykanych banków to banki regionalne.
„Gotowość jest różna w zależności od wielkości banku. Duże są gotowe na ataki, średnie i małe to nie wszystkie… Ale nigdy nie można być w stu procentach gotowym na zdradę w organizacji, niezależnie od wielkości banku” – zauważa Elman Mehdiyev z ARB. Na brak funduszy zwraca uwagę Roman Chaplygin, dyrektor ds. analizy i kontroli ryzyka cyberbezpieczeństwa w PwC: „W Rosji jest wiele banków, które nie mają wystarczających środków finansowych na zbudowanie systemu cyberbezpieczeństwa w organizacji i odparcie ataków”.
Jest jednak inny problem. „Niektóre banki w Rosji i za granicą nie wierzą w istnienie przestępczości komputerowej" — mówi Ilya Sachkov, dyrektor generalny Group-IB. „Nawet w szanowanych instytucjach państwowych są ludzie, którzy również w to nie wierzą".
O słabej gotowości instytucji kredytowych na cyberataki świadczą również testy penetracyjne do systemów informatycznych firm i banków przeprowadzone w 2015 roku przez firmę Positive Technologies. Sprawdzono 17 instytucji w Rosji i za granicą, z czego jedną trzecią stanowiły banki i instytucje finansowe.
W 82% systemów udało się dostać do sieci, w co drugim przypadku udało się uzyskać kontrolę nad krytycznymi zasobami firmy, aw 28% uzyskano pełną kontrolę nad całą infrastrukturą organizacji.
Zdaniem Elmara Nabigajewa sytuacja do tej pory nie uległa znaczącej zmianie: "W sektorze bankowym, z punktu widzenia bezpieczeństwa, wszystko nie jest zbyt dobre. Większość atakujących nie ma trudności z uzyskaniem pełnych uprawnień w sieci. Ataki zakończyły się w całkowite skompromitowanie sieci i kradzież funduszy”.
Słabość banku
Wydaje się, że instytucje pożyczkowe inwestują w cyberbezpieczeństwo. Nawet pomimo kryzysu. „Według naszych danych w 2017 roku budżet na cyberbezpieczeństwo w Rosji wzrósł o 18%”, mówi Roman Chaplygin z PwC.
Zwiększenie budżetu nie zawsze jednak pomaga. „Wiele banków ogranicza się do inwestowania w bezpieczeństwo na poziomie zgodności ze standardami” — wyjaśnia Elmar Nabigajew. „Jeśli postawisz haczyk w dokumencie, kupiłeś odpowiednie narzędzie bezpieczeństwa, to wszystko jest w porządku. Ale nie możesz tak po prostu kup sprzęt i zapomnij, bezpieczeństwo informacji to proces, infrastruktura organizacji bankowej się zmienia, cyberprzestępcy aktualizują swoje narzędzia i schematy ataków, więc coś w bezpieczeństwie musi być stale ulepszane”.
Ci, którzy zapewnili cyberochronę, która nie pomogła, znaleźli się w bardzo delikatnej sytuacji. „Niestety, wielu pracowników służby bezpieczeństwa informacji ukrywało problem przed kierownictwem banku, a to mogło trwać do 2013-2014 r.” – mówi Ilya Sachkov. „Wydałeś dużo pieniędzy, ale to nie rozwiązało problemu. wydawać więcej.były nawet konflikty z niektórymi bankami, gdy dzięki systemowi monitoringu udało nam się zidentyfikować przestępstwa na etapie ich przygotowania, wiedzieliśmy od kogo mogą zostać skradzione pieniądze, informowaliśmy o tym inspektorów bezpieczeństwa informacji, ale nie wykorzystali w żaden sposób tych informacji, bali się pokazać je kierownictwu. defraudacja”.
Ci, którym kierownictwo banku nie przeznaczyło środków na cyberochronę, wykorzystują to jako pretekst do zwolnienia się z odpowiedzialności: mówią, że prosiliśmy o pieniądze, ale ich nie daliście – mówi top manager z sektora bankowego, który chciał pozostawać anonimowym. – W tych bankach, gdzie bezpieczeństwo IT jest częścią usługi, która wyrosła z usługi bezpieczeństwa fizycznego, dzieje się tak najczęściej – zapewnia nasz rozmówca.
Siergiej Gołowanow, czołowy ekspert ds. rozwiązań antywirusowych z firmy Kaspersky Lab, który brał udział w badaniu cyberkradzieży w instytucjach finansowych, zgadza się: „Najczęściej banki mają problemy nie z budżetami, ale ze świadomością incydentów.
Większość ataków ma miejsce przez głupotę, niedopatrzenie, przez przypadek, jeśli wolisz. I tak jest na całym świecie.
Jeśli bank formalnie przestrzega litery prawa (tzw. papierowe cyberbezpieczeństwo), to i tak stanie się ofiarą atakującego.
„Nie wystarczy kupować drogich systemów” — zauważa Elmar Nabigajew. „Do ich efektywnej obsługi i regulacji potrzebny jest wysoko wykwalifikowany i bardzo kosztowny personel, a nie każdy bank może sobie pozwolić na utrzymanie takich fachowców wśród pracowników. A jest ich bardzo mało. z nich."
Niewielu jest kompetentnych specjalistów nie tylko w bankach, ale także w organach ścigania, mówi źródło Deneg w Departamencie Ministerstwa Spraw Wewnętrznych: „Prawie nie ma agentów, śledczych, którzy są w stanie zrozumieć techniczną stronę rzeczy, połączyć epizody i wyjaśnić ich istotę prokuratorowi i sędziemu”.
Złodziej u złodzieja
Korzystając wyłącznie z informacji wewnętrznych, kradną w Rosji pieniądze z banków wypłacających pieniądze, które przyjmują środki i otrzymują instrukcje, gdzie je przelać. "Istnieją grupy atakujących - uzyskują dostęp do takiej poczty z banku wypłacającego pieniądze lub nadawcy pieniędzy" - mówi Dmitrij Wołkow z Group-IB. "Oszuści przeglądają korespondencję i wysyłają te instrukcje do banku ze zhakowanej poczty .
Na przykład dzisiaj pieniądze powinny trafić do Chin - atakujący przechwytują taki list, podmieniają go: tak, też Chiny, ale inny podmiot prawny. A 200 milionów dolarów trafia do niewłaściwej firmy.
Kontrolują pocztę. Bank pyta: „Na pewno tam wysłać?” Hakerzy odpowiadają: „Tak, tam”. I to wszystko. Kwoty kradzieży są tutaj duże, dużo robi się na napiwku.”
A kto przyznaje Bankowi Centralnemu, klientom lub partnerom, że skradziono szare pieniądze, że ucierpiała pranie lub wypłata, zasadniczo przestępczy program?
Jak rabuje się banki
Czy Twoi pracownicy przestali prenumerować papierową gazetę lub popularny tygodnik? Poczekaj na hakerów-rabusiów.
Czynnik ludzki
Atak na bank to przede wszystkim atak na osobę.
Na początek ważne jest, aby atakujący przeniknęli do komputera pracownika banku.
Stamtąd otwierany jest dostęp do sieci lokalnych, hakerzy otrzymują uprawnienia administratora, co pozwala im atakować systemy odpowiedzialne za transakcje finansowe: AWS CBR, sieci bankomatów, terminale giełdowe, elektroniczne rozliczenia i przelewy międzybankowe, SWIFT oraz systemy przetwarzania. Co umożliwia kradzież funduszy.
Najprawdopodobniej tak doszło do kradzieży w Metallinvestbank: połączono tu terminale płatnicze i sieć korporacyjną, co wpadło w ręce hakerów. „Naprawdę trudno powiedzieć, jaki był początkowy punkt wejścia do systemu bankowego”, mówi Michaił Okunev. „Ale usunęliśmy wszystkie luki i stale ulepszamy ten całkowity przegląd systemu bezpieczeństwa informacji.
włamanie do poczty
Istnieje kilka sposobów na penetrację komputera pracownika banku. Najczęściej odbywa się to za pośrednictwem poczty elektronicznej. Do niektórych pracowników wysyłane jest pismo z dokumentem zawierającym szkodliwy program z tzw. exploitami. Wykorzystując luki w oprogramowaniu, znajdują tylne drzwi do komputera pracownika. W celu otwarcia złośliwego pliku osoby atakujące wysyłają go w imieniu klientów banku lub z banku centralnego (jak zrobiła to grupa Buhtrap) lub z agencji rządowych.
List można też potwierdzić telefonicznie: mówią, sprawdź szczegóły umowy, akt ugody, ostatnie zamówienia. I niekoniecznie będzie to list z fałszywego adresu: hakerzy mogą wysyłać zainfekowane pliki z prawdziwych, ale zhakowanych adresów. Ponadto może to być prawdziwy list od partnerów, ale zawierający złośliwy program.
„Intruzi mają dodatkowe możliwości przeprowadzania ataków za pośrednictwem licznych kontrahentów bankowych, w których system ochrony przed cyberzagrożeniami często w ogóle nie jest rozwinięty” —
mówi Roman Chaplygin
Co się potem dzieje? Pracownik otwiera dokument np. w formacie .pdf, a osadzone w nim złośliwe oprogramowanie sprawdza podatności w „czytniku”. Często tak jest, ponieważ aktualizacje, które nakładają „łatki” na oprogramowanie, są dokonywane nieregularnie. Jednak aktualizacje nie są panaceum, a jedynie zmniejszają ryzyko: ku uciesze hakerów programy mają luki nieznane programistom.
Wykorzystując te luki, za pomocą exploitów osadzonych w przesłanym dokumencie, cyberprzestępcy dostają się tylnymi drzwiami do komputera ofiary. „Napastnik instaluje program, który pozwoli ci uzyskać hasła administratora sieci, a następnie przechodzi do różnych komputerów i uzyskuje pełny dostęp” — mówi Ilya Sachkov. „Zbadaliśmy przypadek, gdy napastnicy kontrolowali całą sieć bankową, kradnąc dużą kwotę z różnych rachunków korespondenta i spieniężył. Mieli dostęp do serwera pocztowego, serwerów głównych, i czytali, jak bank zareagował na śledztwo”.
Przekradnij się przez gazetę
Innym sposobem dostania się do komputera pracownika banku jest sposób masowy, pozostawiający, jak twierdzą eksperci, przeszłość. Oszuści popełniają tak zwane oszustwa w popularnych witrynach internetowych, takich jak publikacje biznesowe i informacyjne, katalogi prawne lub rządowe. Bez wiedzy ich właścicieli, hakerzy osadzają w witrynie mały program, który sprawdza wszystkim odwiedzającym, jaką przeglądarkę, system operacyjny, odtwarzacz flash, czytnik pdf, ich wersje aktualizacji itp. 13-15% odwiedzających” – mówi Dmitrij Wołkow. Nawiasem mówiąc, teraz ta metoda, według Group-IB, jest aktywnie wykorzystywana do infekowania trojanami i kradzieży pieniędzy ze smartfonów z Androidem. Następnie za pośrednictwem wykrytych backdoorów na komputer ładowane są programy, które sprawdzają w szczególności, czy ma on połączenie z programami bankowymi lub księgowymi, jakiego rodzaju antywirusa kosztuje itp. Część z tych komputerów może trafić do banku.
Jednak napastnicy nie wiedzą, do którego komputera się dostali. Aby poradzić sobie z problemem, pobrali na przykład zmodyfikowany szkodliwy program, który wykrywał ślady aplikacji bankowych lub księgowych. „W niektórych przypadkach to działa: masz szczęście i
jeden na tysiąc zaatakowany okaże się komputerem księgowego, antywirus na nim jest zły, można ukraść pieniądze” —
wyjaśnia Wołkow. Jeśli chodzi o penetrację sieci bankowej, ostatnio oszuści, po przeniknięciu do komputera, często używają legalnych lub bezpłatnych narzędzi do zdalnej kontroli. Kiedyś pisanie trojanów było konieczne, teraz system kradzieży w bankach jest wysoce zautomatyzowany i tańszy, penetracja sieci bankowej, jak zauważa Group-IB, „nie wymaga specjalnego doświadczenia ani trudno dostępnego oprogramowania”.
Kradnij i wypłacaj pieniądze
Według źródła w Departamencie Ministerstwa Spraw Wewnętrznych cyberprzestępcy zapłacili 30-60% skradzionych pieniędzy za wypłatę, w zależności od „czystości” pieniędzy i złożoności schematów. Jeśli kwota jest duża, pieniądze są rozproszone: na przykład tak zwany projekt wynagrodzeń jest kupowany z góry, kiedy 50 milionów rubli jest wypłacanych przez osobę prawną na 50 kart bankowych.
Lub pieniądze lecą na przykład do dwóch tysięcy portfeli Qiwi i 100 tysięcy kart SIM, a od nich do kart bankowych. Aby wypłacić pieniądze, zatrudniani są ludzie, którzy muszą „zabłysnąć” w bankomatach; płacą około 5% czynszu.
Jeśli potrzebujesz dużo na raz, osoba jest wysyłana do oddziału banku z poświadczonymi dokumentami od dyrektora firmy jednodniowej i odbiera wszystko za pośrednictwem kasy. Kiedy grupy wypłacające rozpadają się lub upadają, kradzież tymczasowo ustaje. Jednak pieniądze można wypłacić w dowolnym miejscu, mówi Elmar Nabigaev: hakerzy z powodzeniem korzystają z zagranicznych kont.
Atak na bankomat
Nowe technologie zmieniają schemat. Infiltrując sieć banków, możesz kraść pieniądze z bankomatów. „Teraz hakerzy penetrują sieć korporacyjną banku, znajdują sieć bankomatów, czyli infiltrują komputery pracowników obsługiwanych przez te bankomaty i pobierają złośliwe oprogramowanie do bankomatów” — mówi Nabigaev. Współpracownicy hakera podchodzą do bankomatów, a haker zdalnie wydaje maszynie polecenie wypłaty gotówki. Ten schemat kradzieży pieniędzy, według niego, zyskuje na popularności. Sprawy takich kradzieży przedostały się do mediów, ale nie podano kwoty kradzieży ani właścicieli bankomatów.
Schemat jest wygodny dla hakerów, ponieważ niewielka liczba kasjerów pozwala obrabować wiele bankomatów. „Banki mogą tego nie zauważyć od razu, ponieważ zbiórka bankomatów nie odbywa się codziennie, a systemy bankowe mogą zgłaszać, że w bankomatach wciąż są pieniądze”, mówi Nabigajew. już zgubiony, a ślady ich przestępstwa z reguły są usuwane - na przykład hakerzy wyłączają kamery w bankomatach.
Po infiltracji systemu komputerowego instytucji finansowej, w lipcu 2016 roku grupa zamaskowanych młodych ludzi dokonała zorganizowanego ataku na 34 bankomaty jednego z największych tajwańskich banków, First Bank, kradnąc 83,27 mln dolarów tajwańskich (ponad 2 mln dolarów).
W sierpniu 12 milionów bahtów (około 350 000 USD) zostało skradzionych z 21 bankomatów rządowych banków oszczędnościowych w Tajlandii przy użyciu podobnego schematu. We wrześniu takie ataki, jak zauważa Group-IB, zostały zarejestrowane w Europie, ale nie zostały upublicznione.
„Etapy cyberkradzieży pieniędzy z banków”
|
Wiosną tego roku dwóch organizatorów grupy hakerskiej Carberp zostało skazanych na pięć i osiem lat więzienia. Ich ofiarami padło ponad tysiąc rosyjskich obywateli, a łączna kwota kradzieży wyniosła około 10 milionów dolarów, mimo że nie wszystkie odcinki zostały udowodnione. Hakerzy stworzyli botnet przy użyciu trojana bankowego Carberp, który odpowiada za 72% infekcji instytucji finansowych na całym świecie. Wirus wnikał do komputerów użytkowników podczas odwiedzania zainfekowanych stron, wśród których znajdowały się popularne portale finansowe. Specjalny program ładujący określał typ systemu bankowości zdalnej używanego na komputerze i wybierał odpowiedni moduł wirusów.
Choć organizatorzy grupy zostali złapani i postawieni przed wymiarem sprawiedliwości, kod źródłowy złośliwego Carperpa został opublikowany w Internecie w domenie publicznej, a już pojawiają się jego różne modyfikacje dla banków w Europie i Ameryce Łacińskiej.
Bankowość zdalna (RBS) jest najbardziej atrakcyjnym celem ataków hakerów. Starannie wybierają banki z dużym obrotem środków w RBS i atakują ich systemy.
Według Group-IB codziennie w rosyjskich bankach popełnianych jest około 28 kradzieży, podczas gdy średnia kwota kradzieży od osób prawnych wynosi 1,6 miliona rubli, od osób fizycznych - 75 000 rubli.
Kiedy klucze podpisu elektronicznego były przechowywane na dyskach flash lub komputerach, kradzieże były dokonywane natychmiast iw bardzo prosty sposób. Wtedy banki zaczęły przechodzić na tokeny – kompaktowe breloki USB, które służą do autoryzacji użytkowników i bezpiecznego zdalnego dostępu do danych. Ale i one nie stały się panaceum - twórcy grupy hakerskiej Carberp nie potrzebowali dużo czasu, aby stworzyć odpowiedniego wirusa, który ominie system ochrony i niepostrzeżenie zastąpi szczegóły legalnego polecenia zapłaty.
Próbując chronić swoich klientów, banki zaczęły wprowadzać hasła jednorazowe, które wysyłane są właścicielowi karty lub konta SMS-em, jednak atakujący skutecznie przeciwstawiają się im za pomocą stron socjotechnicznych i phishingowych, które wyglądają jak prawdziwe strony bankowości internetowej. To właśnie jednorazowe hasła SMS spowodowały niedawny incydent z RBS dużego rosyjskiego banku. Oszuści po prostu włamywali się na konta osobiste abonentów na stronach internetowych operatorów telefonii komórkowej i konfigurowali usługę przekazywania wiadomości SMS. Przekierowując wiadomości SMS klientów na własne numery, uzyskiwali dostęp do swoich kont w banku internetowym oraz przelewali środki na rachunki nominatów - klientów banku.
Jeśli chodzi o kradzieże popełniane przez pracowników firmy, schemat jest dość prosty: atakujący wypłaca środki na wypłatę, infekuje komputer wirusem i spisuje kradzież jako wirusa.
Obecność dużej liczby usług wypłaty środków w Rosji znacznie ułatwia ekonomiczną część przestępstwa. Niemniej jednak dla profesjonalisty dość proste jest zbadanie takich incydentów – zwykle nawet podstawowe badanie określa brak wirusa bankowego, a jeśli już, to okazuje się, że nie był używany.
Głównym kierunkiem ochrony przed oszustwami w RBS jest dziś tworzenie takich systemów, które są w stanie stwierdzić, że stacja robocza klienta jest zainfekowana, a przeprowadzana operacja jest atakiem hakerskim.
W ciągu ostatnich dwóch lat segment rozwiązań klasy TrustScreen rozwijał się bardzo aktywnie również w Rosji. Pozwalają one na wyświetlenie szczegółów zlecenia płatniczego na ekranie urządzenia, które jest instalowane pomiędzy stacją roboczą a tokenem oraz blokowanie operacji składania podpisu do momentu sprawdzenia przez klienta ich poprawności i naciśnięcia przycisku potwierdzenia. Taka architektura nie pozwala uprawnionemu użytkownikowi zmienić żadnego dokumentu w systemie bankowości internetowej bez bycia zauważonym. Na Zachodzie rozwiązania o podobnej funkcjonalności stosowane są od kilku lat i całkiem nieźle się sprawdziły.
Chociaż, jeśli weźmiemy pod uwagę nieuwagę i łatwowierność wielu użytkowników systemów RBS, banki nadal nie mają 100% ochrony przed atakami. Praca hakerów staje się coraz bardziej przemyślana, wszędzie stosuje się nie tylko środki techniczne, ale także socjotechnikę. Ponadto dane mogą zostać skradzione bez winy banku, ale i tak poniesie on straty. Na przykład w Stanach Zjednoczonych hakerzy ukradli dane kart plastikowych prawie 70 milionów klientów z amerykańskiej sieci detalicznej Target, a banki musiały wydać 200 milionów dolarów, aby je ponownie wydać. Jednak przy odpowiednim podejściu do procesu stosunkowo łatwo jest zredukować ryzyko do akceptowalnego poziomu i zbudować system, który w przypadku ataku pomoże szybko zbadać incydent i zminimalizować wynikające z niego szkody.
Banki zbudowały dość skuteczne bariery chroniące przed atakami z zewnątrz, ale nie są gotowe do przeciwstawienia się intruzom w sieci wewnętrznej. Przełamując granicę za pomocą socjotechniki, luk w aplikacjach internetowych lub osób z wewnątrz, atakujący znajdują się w komfortowym środowisku, którego poziom bezpieczeństwa nie odbiega od firm z innych obszarów.
Dzięki dostępowi do wewnętrznej sieci banku specjalistom Positive Technologies udało się uzyskać dostęp do aplikacji finansowych w 58% przypadków. W 25% banków doszło do ataku na węzły, z których kontrolowane są bankomaty, co oznacza, że zwolennicy grupy Cobalt stosujący podobne metody hakerskie mogli wypłacać pieniądze z tych banków. W 17% banków możliwe byłoby przelanie środków na własne rachunki za pośrednictwem systemów przelewów międzybankowych, które są celem ugrupowań Lazarus i MoneyTaker.
W 17% banków systemy przetwarzania kart nie są wystarczająco chronione, co umożliwia atakującym manipulowanie saldem na ich rachunkach kartowych, jak widzieliśmy na początku 2017 r. w atakach na banki w Europie Wschodniej. Grupa Carbanak, wyróżniająca się zdolnością do skutecznego przeprowadzania ataków na dowolną aplikację bankową, mogła ukraść środki z ponad połowy banków przebadanych przez ekspertów. Osoba atakująca, która penetruje wewnętrzną sieć banku, wykonuje średnio tylko cztery kroki, aby uzyskać dostęp do systemów bankowych.
W raporcie zauważono, że poziom ochrony obwodu sieci w bankach jest znacznie wyższy niż w innych firmach: w ciągu trzech lat w ramach zewnętrznych testów penetracyjnych dostęp do sieci wewnętrznej uzyskano w 58% systemów, podczas gdy w przypadku banków wyniósł zaledwie 22%. Jednak nawet ten poziom jest daleki od ideału, biorąc pod uwagę dużą motywację finansową atakujących oraz brak praktyki w wielu bankach analizowania bezpieczeństwa kodu usług online na etapie projektowania i tworzenia. Podczas przeprowadzania testów penetracyjnych we wszystkich przypadkach dostęp ułatwiały luki w aplikacjach internetowych (nie stosowano metod socjotechnicznych). Podobne metody penetracji stosowały w swojej działalności na przykład grupy ATMitch i Lazarus.
Duże zagrożenie dla banków stanowią również interfejsy zdalnego dostępu i zarządzania, które często są dostępne do połączenia z dowolnym użytkownikiem zewnętrznym. Do najpowszechniejszych należą protokoły SSH i Telnet, które znajdują się na obrzeżach sieci w ponad połowie banków, a także protokoły dostępu do serwerów plików (w 42% banków).
Ale najsłabszym ogniwem są pracownicy banków. Atakujący mogą łatwo ominąć zabezpieczenia obwodowe sieci za pomocą prostej i skutecznej metody zwanej phishingiem, która polega na dostarczaniu złośliwego oprogramowania do sieci korporacyjnej. Wiadomości phishingowe wysyłane do pracowników banków są wysyłane zarówno na adresy służbowe, jak i prywatne. Tę metodę na pokonanie granicy stosowała niemal każda grupa przestępcza, w tym Cobalt, Lazarus, Carbanak, Metel, GCMAN. Według firmy Positive Technologies średnio około 8% użytkowników w bankach podążyło za linkiem phishingowym, a 2% uruchomiło załączony plik. W badaniu podano również przykłady reklam z forów hakerskich oferujących usługi wewnętrznych napastników w bankach. Zdaniem ekspertów w niektórych przypadkach do skutecznego ataku wystarczą uprawnienia pracownika posiadającego jedynie fizyczny dostęp do gniazd sieciowych (sprzątaczka, ochroniarz). Inną opcją pierwotnej dystrybucji szkodliwego oprogramowania jest włamanie się do zewnętrznych firm, które nie traktują ochrony swoich zasobów tak poważnie i infekują strony często odwiedzane przez pracowników docelowego banku, jak w przypadku Lazarusa i Lurka.
Po uzyskaniu dostępu do lokalnej sieci banku przestępcy muszą przejąć uprawnienia lokalnego administratora na komputerach i serwerach pracowników, aby dalej rozwijać atak. Typowe wektory ataków opierają się na dwóch głównych wadach - słabej polityce haseł i niewystarczającej ochronie przed odzyskaniem haseł z pamięci systemu operacyjnego.
Jeśli na obrzeżach sieci hasła słownikowe znajdują się w prawie połowie banków, to w sieci wewnętrznej każdy badany system cierpi na słabą politykę haseł. W około połowie systemów słabe hasła są ustawiane przez użytkowników, ale jeszcze częściej mamy do czynienia ze standardowymi kontami, które administratorzy pozostawiają podczas instalacji systemu DBMS, serwerów WWW, systemu operacyjnego lub podczas tworzenia kont usług. Jedna czwarta banków była ustawiona na używanie hasła [e-mail chroniony], popularne hasła to także admin, kombinacje, takie jak Qwerty123, puste i standardowe hasła (na przykład sa lub postgres).
Wewnątrz sieci napastnicy swobodnie poruszają się niewykryci przez znane luki w zabezpieczeniach i legalne oprogramowanie, które nie budzi podejrzeń wśród administratorów. Wykorzystując braki w ochronie sieci korporacyjnej, atakujący w krótkim czasie uzyskują pełną kontrolę nad całą infrastrukturą banku.
„Musisz zrozumieć, że atakujący nie będzie w stanie osiągnąć swojego celu i ukraść pieniędzy, jeśli atak zostanie wykryty i zatrzymany na czas, a jest to możliwe na każdym etapie, jeśli zostaną podjęte odpowiednie środki ochrony”, mówi analityk Positive Technologies Ekaterina Kilyusheva . - Niezbędne jest skanowanie załączników poczty w odizolowanym środowisku, nie polegającym wyłącznie na rozwiązaniach antywirusowych zainstalowanych na stacjach roboczych użytkowników. Niezbędne jest terminowe otrzymywanie powiadomień z systemów bezpieczeństwa i natychmiastowa reakcja na nie poprzez ciągłe monitorowanie zdarzeń bezpieczeństwa przez wewnętrzną lub zewnętrzną jednostkę SOC, a także rozwiązania SIEM, które mogą znacznie ułatwić i zwiększyć efektywność przetwarzania zdarzeń bezpieczeństwa informacji .