В последние годы участились случаи хакерских атак, в ходе которых преступникам удается вывести из банков десятки миллионов долларов. В отличие от атак на банковских клиентов в подобных случаях преступники атакуют непосредственно ИТ-инфраструктуру финансовой организации, получают доступ к интерфейсам систем денежных переводов (АРМ КБР, терминалы SWIFT и т. п.) от имени и с полномочиями сотрудников банка, после чего формируют несанкционированные межбанковские переводы на крупные суммы.
Рост числа атак на инфраструктуру
Дмитрий Кузнецов, директор по методологии и стандартизации, Positive Technologies
Доля атак, нацеленных на ИТ-инфраструктуру компаний, имеет тенденцию к росту. Так, например, по статистике Positive Technologies, во II квартале 2019 года число кибератак на ИТ-инфраструктуру юридических лиц достигло 65% от общего числа таких преступлений. В сравнении с аналогичным периодом 2018 года этот показатель вырос на 21 п.п.: во втором квартале 2018 года он не превышал 44%.
В финансовом секторе география таких атак чрезвычайно обширна: им подвергаются банки не только России, Западной Европы или США, но и Индии, Малайзии, Непала, Чили. Особенностью таких атак является экстерриториальность преступников: все действия с момента начала атаки до момента вывода денежных средств осуществляются дистанционно. Преступники могут находиться в любой точке мира, а вывод средств осуществляется через фирмы-однодневки, казино и другие инструменты легализации в третьих странах. Средний размер потерь от такой атаки составляет 10–15 млн долл. США, а абсолютным рекордом до сих пор остается частично удавшаяся попытка вывода хакерами 850 млн долл. из центрального банка Бангладеш.
Вариантов атак много, сценарий один
Во II квартале 2019 г. число кибератак на ИТ-инфраструктуру юрлиц достигло 65% от общего числа таких преступлений
Несмотря на то что атаки проводят разные хакерские группировки, все они действуют по очень похожим сценариям. Прежде всего преступники тщательно выбирают жертву и собирают всю необходимую информацию о ней. Чтобы не раскрыть себя на начальном этапе, они прибегают к пассивным методам получения информации, например, для выявления доменных имен и адресов, принадлежащих банку. Для разведки также активно привлекаются недобросовестные сотрудники банков, готовые за вознаграждение поделиться информацией: множество объявлений об этом легко найти на соответствующих форумах в интернете. Как правило, в ходе предварительной разведки преступников интересует информация о внешнем периметре ИТ-инфраструктуры (какие информационные системы банка доступны из интернета, насколько высоко качество программного кода веб-интерфейсов таких систем, с какими организациями производится взаимодействие, решения каких вендоров используются в банковских технологических и платежных процессах и т. п.), а также о сотрудниках банка (имена, фамилии, должности, круг обязанностей, круг интересов). Подобная информация позволяет спланировать атаку, подготовить необходимые инструментальные средства, проработать убедительные легенды для фишинговых атак на сотрудников, подготовить механизм вывода похищенных денежных средств.
Для первичного проникновения в ИТ-инфраструктуру чаще всего используется фишинговая рассылка электронных писем сотрудникам банка. Иногда злоумышленники просто рассылают однотипные фишинговые письма всем работникам банка, контактные данные которых удалось получить на этапе разведки. Однако все чаще для этого используется
Продолжение материала содержит полезную для вашего бизнеса информацию…