курс цб на 13.11: USD 67.5238 EUR 76.0926
криптовалют: BTC 6327.3$ ETH 208.64$
Форум экспертов / 351 просмотр

Банковские вредоносы: как бороться с современными угрозами

В погоне за легкими деньгами злоумышленники придумывают все более изощренные способы проникновения в банковские системы, успешно нейтрализуют защитные программы и присваивают себе немалые суммы. Технический директор Trend Micro в России и СНГ Михаил Кондрашин рассказал о самых актуальных кибератаках, нацеленных на финансы, и способах борьбы с ними. 

По оценкам Сбербанка, ежегодные убытки от кибератак в России составляют около 600 миллиардов рублей, а во всем мире эта сумма приближается к триллиону долларов США.

Выбор цели киберпреступника во многом обуславливается технической подготовкой, имеющимися инструментами и знаниями о внутренних процессах банка. В последнее время банки стали уделять достаточно много внимания защите своего сетевого периметра, организовывать атаку на серверы или веб-приложения стало значительно сложнее и рискованнее.  Поэтому чаще всего мошенники действуют по довольно простым сценариям, используя такой популярный и эффективный инструмент, как фишинг. Причем, под угрозой оказываются не только клиенты банковских организаций, но и сами сотрудники.

Согласно данным исследования Positive Technologies, в 75% банков сотрудники переходили по ссылке, указанной в фишинговом письме, в 25% банков сотрудники вводили свои учетные данные в ложную форму аутентификации, и еще в 25% банков хотя бы один сотрудник запускал на своем рабочем компьютере вредоносное вложение. В среднем в банках по фишинговой ссылке переходили около 8% пользователей, 2% запускали вложенный файл, но свои учетные данные вводили менее 1% пользователей. Хотя уровень осведомленности в вопросах ИБ среди банковских сотрудников все же выше, чем в других отраслях, достаточно, чтобы всего один пользователь выполнил нежелательное действие, — и нарушитель получит доступ к корпоративной сети.

В письмах злоумышленников можно встретить разнообразные вредоносные вложения: шифровальщиков-вымогателей, которые шифруют файлы на компьютере и требуют выкуп за их разблокировку, угрожая при этом уничтожением содержащихся в файле данных; банковских вредоносов (трояны) и вирусы-майнеры, которые используют ресурсы процессора и видеокарты для добычи криптовалют.

Несмотря на то, что активная волна шифровальщиков-вымогателей прошла в 2017 году, по-прежнему остаются активными WannaCry, Gandcrab и Cerber. Также популярны банковые вредоносы, способные внедриться в системы управления банкоматами (CutletMaker) и атаковать платежные терминалы (TreasureHunter, UDPoS, MultiGrain). О серьезности угроз свидетельствует статистика: только за июль этого года инфраструктура Trend Micro зафиксировала более 24 тыс. обнаружений банковских вирусов в инфраструктуре малых и крупных финансовых организаций.

После того, как жертва загрузит вредоносный документ или перейдет по ложной ссылке, злоумышленники могут получить доступ к бизнес-системам банка и подключиться к рабочим станциям сотрудников, контролирующим проведение денежных операций. Нарушитель с привилегиями локального администратора ОС может извлечь пароли для доступа к зашифрованным базам, а затем и ко всем критически важным системам банка — АБС, SWIFT, рабочим станциям для управления банкоматами.

Преступники могут находиться в инфраструктуре банка достаточно долго, собирать информацию обо всех процессах, не спеша изучать выбранные для проведения атак системы и наблюдать за действиями сотрудников. Это означает, что кражу денег можно предотвратить, если вовремя выявить факт компрометации, даже в том случае, когда мошенники уже проникли и закрепились в сети банка. Для обнаружения киберпреступника используют, например, межсетевые экраны, позволяющие контролировать и фильтровать проходящий через них сетевой трафик в соответствии с заданными правилами и отделять внутреннюю банковскую сеть от внешней, обеспечив тем самым более высокий уровень безопасности. Применяются также анализаторы трафика (системы DPI — Deep Packet Inspection), которые помогают выявлять среди общего потока трафика пакеты, соответствующие вирусам и блокировать их.

Сегодня банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако основная проблема состоит в том, что они не готовы противостоять нарушителю во внутренней сети. Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них. Для этого необходимо использовать средства обнаружения вторжений (IDS), а также SIEM-решения, которые могу существенно облегчить и повысить эффективность обработки событий информационной безопасности. Чтобы эффективно противостоять активно развивающейся киберпреступности, важно не скрывать произошедшие инциденты, а участвовать в обмене информацией об атаках внутри отрасли, чтобы вовремя узнавать об индикаторах компрометации и сообщать о них другим.

Не стоит забывать, что антивирусная защита сегодня не является панацеей. Важно обеспечить также многоуровневую защиту конечных устройств (Endpoint Security), включая создание белых и чёрных списков программ, узлов и приложений и другие инструменты контроля для комплексной системы защиты.