Positive Technologies протестировала устойчивость банков к хакерским атакам

Специалисты компании в сфере информационной безопасности Positive Technologies пришли к выводу, что хакерам требуется в среднем пять дней на проникновение во внутреннюю сеть российского банка, а если злоумышленник действует изнутри, то всего за два дня он способен получить полный контроль над инфраструктурой кредитной организации.

По словам представителя Positive Technologies, были имитированы 18 атак: в восьми случаях атака на банк совершалась извне, то есть «хакеры» использовали только общедоступные данные, например сайт банка или неправильно настроенную базу данных, в десяти — атаковали  банк изнутри, то есть хакер оказывался в здании банка и различными способами, исключая  социальную инженерию, получал доступ к пользовательским данным банковского сотрудника.

В большинстве тестов задача «похитить» денежные средства из банка не ставилась, но в трех случаях демонстрация возможности такого хищения стала дополнительной целью и она была достигнута, указывает Positive Technologies.

Подавляющее большинство успешно подобранных в ходе тестов паролей были составлены предсказуемым образом: при имитации атаки из интернета половина приходилась на различные комбинации месяца или времени года с цифрами, обозначающими год, например, Fduecn2019 (латинский набор слова «август») или Зима2019, на втором месте по распространенности оказались пароли типа 123456, 1qaz! QAZ, Qwerty1213.

Во внутренней инфраструктуре каждого второго банка использовались различные словарные комбинации для паролей, например, admin123, или пароли, состоящие из соседних клавиш, такие как QAZ2wsx. В рамках одного домена могло быть множество, вплоть до нескольких сотен, пользователей с одинаковым паролем, так в одном из банков было подобрано более 500 учетных записей с паролем qwerty123 для доменных учетных записей.

Новое тестирование показало, что хакеры могут проникнуть из интернета в локальную сеть семи из восьми банков. Общий уровень защищенности шести банков от хакерских атак специалисты оценили как крайне низкий, одного банка - как низкий. И только один банк получил оценку выше среднего.

Хакеры могут использовать несколько различных способов для проникновения в локальную сеть банка: в среднем злоумышленнику для этого требуется всего два шага (максимум — пять; минимум — один). В одном из банков эксперты Positive Technologies обнаружили следы более ранней реальной хакерской атаки, которую банк не смог выявить.

В большинстве случаев (44%) хакеры могут попадать во внутреннюю сеть банка через уязвимость веб-приложений. Для такой атаки, например, необходимо иметь личный кабинет в банке, доступ к которому хакер может получить путем подбора паролей реальных пользователей. В некоторых системах также можно просто зарегистрировать нового пользователя, используя встроенные механизмы приложения.

В 25% случаев хакеры попадали во внутреннюю сеть банка с помощью подбора учетной записи сотрудника организации для удаленного управления, еще в 25% использовали недостатки конфигурации с уязвимостями программного обеспечения, в оставшихся 6% — «уязвимости нулевого дня» (недостатки в ПО или вирусы, против которых еще не разработаны защитные механизмы).

В четырех банках специалистам удалось скомпрометировать учетные записи сотрудников (подключиться к почтовому ящику этого сотрудника, читать его почту и отправлять письма от его имени), еще в четырех — установить контроль над веб-приложением, в трех — провести атаки на посетителей сайтов, в двух — установить контроль над веб-сервером.

Семь из десяти внутренних атак по получению контроля над инфраструктурой стали успешным продолжением атак из интернета, указывается в отчете Positive Technologies. В среднем атака изнутри на банк состояла из восьми шагов (минимально — два, максимально — 15). Тестирование показало, что хакеры могут получить доступ к банкоматам, рабочим станциям топ-менеджеров, серверам карточного процессинга, центрам управления антивирусной защитой.

Большинство выявленных векторов для атак изнутри были сложны в реализации, указали эксперты, девять из них характеризовались высокой сложностью, пять — средней, а еще пять — низкой. «Для проведения сложной атаки злоумышленнику необходимо обладать высокой квалификацией и понимать, как обойти различные системы защиты. При этом в восьми банках существовал одновременно и альтернативный способ атаки, более простой в реализации, для которого нарушителю достаточно было бы обладать базовыми навыками, использовать общедоступные инструменты и эксплойты (программы, использующие уязвимости в ПО)», — подчеркивают авторы исследования.

Большинство успешных атак (49%) удалось реализовать с помощью легитимных действий в системах (разрешенные действия, которые позволяли получать несанкционированный доступ или нужную информацию). В 14% использовался подбор учетных данных сотрудников банка, в 13% — архитектурные особенности операционной системы.

По материалам РБК