курс цб на 20.08:
66.8757
76.1848
курс криптовалют:
6475.1 $
299.47 $

Positive Technologies: как хакеры грабят банки

6 июня 2018 11:00 Количество просмотров285 просмотров

Банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети, говорится в исследовании, опубликованном компанией Positive Technologies.

Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер.

 При наличии доступа к внутренней сети банка специалистам Positive Technologies удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогли бы вывести деньги последователи группировки Cobalt, использующие аналогичные методы взлома. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены группировки Lazarus и MoneyTaker, было бы возможно в 17% банков.

В 17% банков недостаточно защищены системы карточного процессинга, что позволяет злоумышленникам манипулировать балансом на своих карточных счетах, как мы это видели в начале 2017 года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства более чем у половины банков, протестированных экспертами. В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам.

В отчете отмечается, что уровень защиты сетевого периметра в банках значительно выше, чем в других компаниях: за три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Однако и такой уровень весьма далек от идеала, учитывая высокую финансовую мотивацию атакующих и отсутствие во многих банках практики анализа защищенности кода онлайн-сервисов на этапах проектирования и разработки. При проведении тестов на проникновение во всех случаях получению доступа способствовали уязвимости в веб-приложениях (методы социальной инженерии не применялись). Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.

Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).

Но самое слабое звено — сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода — фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО — взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.

После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах — для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках — слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.

Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система. Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).

Внутри сети атакующие свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.

По материалам Positive Technologies




В рубриках:
Безопасность
Форум экспертов
Кибератаки на банки: тренды, уязвимости и роль регулятора
Высокие доходы и незначительный риск поимки привели к бурному росту количества киберпреступлений. И хотя участников отдельных группировок время от времени задерживают, на их место приходят всё новые и новые злоумышленники, применяющие всё более изощрённые методы кибератак. О нарастающей проблеме и угрозах для безопасности - Михаил Кондрашин, технический директор Trend Micro в России и СНГ.
27 июля 2018 15:00
Зеркальный ПИН-код спасет от грабителей? Старый фейк вновь распространяют в сети
В последнее время через чаты WhatsApp активно «расшаривают» уже весьма старый фейк о том, что если вас пытаются ограбить и требуют снять деньги в банкомате в присутствии преступников, не стоит сопротивляться – просто… наберите ПИН-код в обратной последовательности.
16 июля 2018 14:00
Крупные залоговые займы от МФО: перспективы роста ограничены
В апреле нынешнего года Центробанк обратил свой взор на один из аспектов деятельности МФО, а именно — право выдавать крупные займы под залог, в частности, недвижимости. Проект новых правил формирования резервов под эту деятельность еще обсуждается, но почти наверняка будет принят. Насколько значимы нововведения? И каковы текущая оценка и перспективы развития  данного сегмента деятельности микрофинансовых организаций? Комментирует - Данил Шерстобитов, исполнительный директор сервиса "Робот Займер". 
10 июля 2018 13:49
Смотреть все статьи рубрики >>
Лента новостей
Безопасность
Банки и МФО Минкомсвязи подвело итоги ЧМ-2018
17 августа 2018 17:16
Количество просмотров 141 просмотр