Банк России опубликовал «Обзор отчетности об инцидентах информационной безопасности при переводе денежных средств» за первый квартал 2023 года, с которым ознакомился «Коммерсантъ». Согласно отчету кредитные организации отразили 2,7 млн операций без согласия клиента, предотвратив хищения средств организаций и физических лиц на 712 млрд руб. Успешными оказались 252,1 тыс. атак на сумму 4,5 млрд руб. Жертвами хакеров были преимущественно граждане — у них украли деньги в 251,5 тыс. инцидентов, еще 655 случаев составляли атаки на корпоративных клиентов банков. Сообщений ЦБ о хищении средств у кредитных организаций ни в 2023-м, ни в 2022 году не было.
При изучении статистики ЦБ может создаться впечатление, что кредитные организации хакерам больше не интересны. Но это не так. Как сообщили в Банке России, в 2022 году число DDoS-атак на инфраструктуры кредитных организаций существенно увеличилось, тем не менее они не понесли серьезных потерь. «Это произошло в том числе благодаря эффективному взаимодействию регулятора, банков и других ведомств, задействованных в процессе противодействия данному типу атак»,— указали в ЦБ.
«Я бы не сказал, что подобные атаки больше не актуальны для кредитных организаций. По нашей сети по итогам первого квартала 2023 года их число снизилось на 15–20% в сравнении с прошлогодним,— сказал руководитель направления по развитию продуктов сетевой и IT-инфраструктуры от DDoS компании Servicepipe Даниил Бобрышев.— Кроме того, уже в 2023 году мы все видели, как DDoS-атаки приводили к недоступности сервисов крупнейших игроков». Также эксперт отметил, что для кредитных организаций сейчас актуален еще один тип киберинцидентов, не связанный напрямую с выводом денежных средств,— СМС-бомбинг. Атака происходит следующим образом: ботнет под видом клиентов банков запрашивает отправку ему СМС, например для входа в интернет-банк. В результате такой активности количество отправляемых СМС и, соответственно, расходы на их оплату могут вырасти в три-пять раз. Целью злоумышленников при таких атаках является нанесение финансового ущерба.
Отсутствие громких сообщений о случаях хищения средств из кредитных организаций — не повод расслабляться, уверены эксперты. «Банки перестанут интересовать злоумышленников только тогда, когда в них перестанут храниться деньги,— замечает руководитель центра сервисов кибербезопасности компании МТС RED Андрей Дугин.— Количество атак с использованием технологий падает в связи с тем, что за прошедший год многие организации повысили свой уровень защищенности». На собственном опыте банки убедились в том, что хакеры и киберугрозы не просто страшилки от ИБ-специалистов, резюмировал эксперт. С ним согласен аналитик исследовательской группы Positive Technologies Федор Чунижеков, который отметил: для проведения атак на системы финансовых организаций и получения финансовой выгоды злоумышленникам необходимо иметь очень высокую квалификацию и глубокое понимание внутренних бизнес-процессов таких компаний. Эксперт отметил, что снижения интереса злоумышленников к атакам на банки нет. «По нашим данным, за первый квартал 2023 года доля атак на финансовые организации составила 8% в общем объеме атак»,— сказал Федор Чунижеков.
Доля атак с использованием социальной инженерии была высокой год назад, остается высокой и в 2023 году — на них приходится больше половины инцидентов. Число же случаев использования злоумышленниками вредоносного ПО (хакеры традиционно используют его при атаках на банки) снизилось с прошлого года на 16%. В абсолютных величинах это 75 раз в квартал, что составляет 0,03% общего объема атак.
Атаки, связанные с компрометацией аутентификационных или учетных данных, изменением маршрутно-адресной информации, с эксплуатацией уязвимостей и сканированием портов, составляли в общем объеме менее 0,02%, или 47 за квартал. Это также типичные атаки на кредитные организации.
Рост защищенности кредитных организаций вынуждает хакеров сменить тактику. В Банке России уверены, что киберпреступники уже переориентировались со сложных атак с применением разнообразных тактик и техник на атаки, связанные с эксплуатацией уязвимостей используемого организациями программного обеспечения (ПО).
По словам Андрея Дугина, в 2023 году сохранится также тренд на атаки контрагентов банков, чтобы через них зайти в банк. В ЦБ также фиксируют атаки на третью сторону. «К ним относятся случаи, когда атакованной стороной выступают компании—поставщики ПО в организации финансовой сферы»,— сообщили в Банке России. Федор Чунижеков также считает одной из основных угроз для кредитных организаций атаки через финансовые приложения, встраиваемые в экосистемы. Кроме того, злоумышленники могут создавать клоны онлайн-банков в магазинах приложений и поддельные страницы в соцсетях.
Актуальны для кредитных организаций и атаки внутренних злоумышленников. По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, в 2023 году многие обращения компаний были связаны с инцидентами в их внутренней инфраструктуре, в том числе с утечками персональных данных.
Говоря об атаках на клиентов кредитных организаций, эксперты отметили: хотя доля социальной инженерии очень высока, средствам юридических и физических лиц угрожают не только атаки, начинающиеся со звонка «службы безопасности банка». И рассказали об основных трендах этого года. По словам начальника департамента кибербезопасности банка «Зенит» Олега Волкова, в 2023 году вероятны взломы мобильных устройств банковских клиентов с помощью удаленного доступа, а также получение возможности установки переадресации СМС и звонков. Доступ к управлению устройствами достигается посредством социальной инженерии, фишинга, вредоносных приложений.
Генеральный директор Safetech Денис Каленберг отметил, что почти все убытки от фишинга и в значительной части от социальной инженерии стали результатом использования СМС, о небезопасности которых в качестве средства подтверждения платежа неоднократно предупреждали эксперты по информационной безопасности и которые, по сути, запретил использовать регулятор с 1 октября 2022 года.
Денис Каленберг также напомнил, что в отчете ЦБ по ИБ-инцидентам по итогам первого квартала 2023 года приводится статистика несанкционированных платежей через СБП, и такие атаки на граждан не потеряют актуальности и в будущем. «Происходят они нередко следующим образом: клиент банка при оплате покупки путем сканирования QR-кода или перехода по ссылке провалился в мобильный банк и быстро подтверждает перевод с помощью СМС, не глядя, кому идут деньги (отображаемая информация очень ограничена, и обычно ее не читают),— пояснил эксперт.— Если реквизиты отправки подделаны злоумышленником, то деньги улетят неустановленным лицам». И пока кредитные организации не перейдут на более безопасные способы подтверждения транзакций, риски подобных атак для клиентов кредитных организаций сохранятся.
С заботой о вашей безопасности, команда Origin Security
