Центробанк рассказал об атаках на банки

Хакеры становятся все изобретательнее
Хакеры становятся все изобретательнее/ М. Стулов / Ведомости

Банк России с 1 июня 2016 г. по 1 сентября 2017 г. зафиксировал несколько типов атак на банки, говорится в ежегодном отчете FinCERT – центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, созданного при ЦБ.

Во-первых, участились DdoS-атаки, влекущие отказ в обслуживании. По данным FinCERT, пик их числа (20 атак) пришелся на IV квартал 2016 г. Далее в первых двух кварталах текущего года центр отметил восемь и 12 DDoS-атак соответственно, а в июле и августе отметил лишь две такие атаки.

Но если взглянуть на динамику мощности этих атак, то самые сильные из них российским банкам пришлось испытать в первом полугодии 2017 г.: 6000 Мбитс/с и 6200 Мбит/с соответственно.

Другой тип атак, замеченный ЦБ, – рассылки почтовых сообщений с загрузками вредоносного кода. Этот элемент социальной инженерии часто используется для проникновения в IT-инфраструктуру банков. Часто почтовые адреса для таких атак злоумышленники берут в регистрационных базах различных конференций. 58% писем содержат специальный код, цель которого – загрузка на компьютер жертвы различных вредоносных программ. А на вирусы-шифровальщики, которые прославились благодаря случившимся в мае и июне атакам WannaCry и Petya, пришлось 13% писем. Их число снижается, отмечает FinCERT, что можно объяснить более качественным обнаружением и фильтрацией этих писем.

4% вредоносных вложений умеют красть пользовательские логины и пароли, а 2% писем содержат вирусы для удаленного управления зараженным компьютером.

Третий вид атак, описанный FinCERT, – атаки на банкоматы. Они бывают как удаленными, так и физическими.

В первом случае часто встречаются программы, заставляющие банкомат выдавать наличные, и, как правило, такие программы разрабатываются под конкретного производителя банкоматов – NCR, Wincor, Diebold, пишет FinCERT. Для подготовки к такой атаке злоумышленники могут пользоваться как раз рассылкой сообщений с вредоносными вложениями. Такой софт способен найти сервер обновления банкомата и получить контроль над целой сетью устройств, дальше остается лишь отправить к банкоматам специальных людей (FinCERT называет их «нальщиками», «дропами» и «мулами»), чтобы они по команде оператора получили наличные. FinCERT известны минимум две такие атаки.

Физические атаки на банкоматы FinCERT называет традиционными – это так называемое скимминговое оборудование, которое помещается на банкомат и способно похищать данные, записанные на магнитную ленту банковской карты и её PIN-код. Иногда злоумышленники могут устанавливать скимминговое оборудование под конкретного заказчика, что иллюстрирует желание криминального сообщества работать над собой и совершенствовать свои методики. Случалось, что злоумышленники высверливали корпус банкомата и подключали его к собственному устройству (имитировавшему банковскую систему), которое контролировало выдачу денег. Статистику хищений регулятор не раскрыл.

FinCERT отслеживает и информационные атаки на банки, анализируя публикации каждые два часа, говорится в отчете. «Вот так на регулярной основе мы начали мониторить месяцев восемь назад», – сообщил замначальника Главного управления безопасности и защиты информации Банка Росии Артем Сычев на пресс-конференции (цитата по «Интерфаксу»). Он отказался назвать количество зафиксированных информатак. Информатака проходит так: сначала в небольшом количестве появляются публикации, порочащие кредитную организацию. Затем обнаруживается масштабное количество ссылок и перепечаток как обычными пользователями, так и атакующими в социальных сетях «В контакте», Facebook, Twitter (в среднем от 200 до 800 перепечаток в сутки), пишет «Интерфакс». Иногда для распространения информации также используются мессенджеры Viber, Telegram, WhatsApp.

Центр мониторинга и реагирования на кибератаки в финансовой сфере ЦБ открыл 1 июня 2015 г. Цель FinCERT – наладить обмен информацией о кибератаках между ЦБ, банками и правоохранительными органами, чтобы координировать борьбу со злоумышленниками. К 1 сентября к FinCERT подключилось 418 игроков, что на 55% больше числа организаций, сотрудничавших с FinCERT в июне 2016 г.