Крупные банки регистрируют схожие с названиями конкурентов домены

Райффайзенбанк зарегистрировал в декабре 2023 г. доменное имя domclk.ru, в названии которого на две буквы меньше, чем у адреса сервиса покупки недвижимости Сбербанка «Домклик» (domclick.ru), следует из данных «СПАРК-Интерфакса». Сбербанк в ноябре 2023 г. зарегистрировал домен a1fastrah.ru, который отличается от адреса компании «Альфастрахование» (alfastrah.ru) одним символом: вместо латинской буквы l используется цифра 1.

Райффайзенбанк зарегистрировал адрес для внутреннего использования, чтобы проводить тренировочные тестирования по информационной безопасности для сотрудников банка, пояснил «Ведомостям» его представитель. В иных, в том числе коммерческих, целях использование домена не предполагается. Для каких целей Сбербанку нужен похожий на домен «Альфастрахования» адрес, его представитель не ответил.

Банки и компании по информационной безопасности нередко регистрируют или покупают доменные имена, схожие с банковскими сервисами, для проведения киберучений среди своих сотрудников, в том числе для проверки действий сотрудников при фишинговых рассылках, рассказали «Ведомостям» банкиры и специалисты по информационной безопасности. На регулярной основе проводят симуляции фишинговых атак для тестирования персонала Сбербанк, ВТБ, Газпромбанк, Росбанк, Московский кредитный банк (МКБ), «Тинькофф банк», говорят их представители.

По данным компании по управлению цифровыми рисками BI.Zone, 68% целевых атак на российские организации начинаются с фишинга. Злоумышленники используют этот способ атаки, чтобы получить первоначальный доступ в корпоративную инфраструктуру, так как самое уязвимое звено системы защиты – человек, поясняет директор департамента анализа защищенности и противодействия мошенничеству BI.Zone Евгений Волошин.

Проверки сотрудников

Социотехническое тестирование – иными словами, проверка устойчивости сотрудников к атакам с использованием методов социальной инженерии – существует давно, причем подобные проверки проводят не только банки, но и крупные компании из других отраслей, говорит руководитель отдела анализа защищенности Solar JSOC ГК «Солар» Александр Колесов. Проводить подобные проверки необходимо от двух раз в год и чаще (например, раз в квартал), считают эксперты. Цель – определить уровень киберграмотности сотрудников, выявить наиболее подверженных фишингу специалистов, а дальше обучать их, чтобы защитить всю компанию от возможных мошеннических атак, отмечает Колесов. Также это позволяет развить внимательность сотрудников, их критическое мышление и привычку реагировать на подозрительную активность, сообщая в службу информационной безопасности, добавляет Волошин.

Тестирование разнится в зависимости от целевой группы, говорит руководитель департамента аудита компании F.A.C.C.T. Александр Соколов: для рядовых сотрудников – одни сценарии, для топ-менеджеров – другие, для разработчиков – третьи, при этом отличаются и подделываемые ресурсы, и глубина проработки легенды.

Наиболее эффективной и базовой тактикой проверок является регистрация доменов, схожих с внутренними ресурсами заказчика, отмечает Соколов. Например, компания F.A.C.C.T. создает фейковые веб-страницы авторизации почты (чаще Exchange), разнообразных клиентских порталов для сотрудников, страницы авторизации VPN-сервиса для доступа к корпоративным ресурсам, иногда страницы с некими формами для передачи данных в HR, перечисляет он. Positive Technologies при тестировании на проникновение старается клонировать внутренние корпоративные веб-приложения и порталы, которые сотрудники используют в рабочих процессах каждый день, говорит руководитель группы Red Team SE отдела тестирования на проникновение Константин Полишин. Похожая практика есть и в ряде других компаний по информационной безопасности – Infosecurity, «Инфосистемы джет» и проч.

Схожие с официальными сервисами поддельные ресурсы внушают пользователям компании больше доверия, поясняет Соколов. При этом регистрация фишинговых доменов обойдется злоумышленнику в очень скромную сумму, а потенциал к выманиванию доменных учетных записей у подобных фейков значительно выше, чем при использовании фейков общеизвестных сервисов – госуслуг, магазинов, пиццерий, доставок, кафе и т. д., говорит руководитель направления DLP & ISTC Infosecurity a Softline Company Николай Постнов.

Как правило, при создании подобных учебных страниц организаторы тренингов анализируют тренды среди фишеров, актуальные схемы обмана и повестку, добавляет эксперт направления повышения цифровой грамотности Kaspersky Security Awareness Татьяна Шумайлова. Например, в случае с банками это может быть фишинг, связанный с регуляторами, рассказывает она.

«Тинькофф» регулярно отправляет псевдофишинговые письма сотрудникам, говорит вице-президент и директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь. Такие учебные рассылки маскируются под реальные фишинговые сообщения от злоумышленников и могут содержать ошибки в адресах отправителей с доменом Tinkoff, поддельные ссылки на внутренние корпоративные ресурсы, которые требуют ввода учетных данных сотрудников, и другие уловки, которые используют мошенники, чтобы выманить данные или запустить вирус, поясняет он.

Иные механизмы тестирования

Только в тех банках, где бюджеты на обеспечение информационной безопасности сильно ограничены, у сотрудников службы информационной безопасности нет иного способа, кроме как для целей проверки создавать временные домены, покупать временный хостинг и размещать там какой-либо созданный в учебных целях фейковый контент, считает замначальника департамента защиты информации Газпромбанка Алексей Плешков. Но такие случаи единичны, отмечает он. В самом Газпромбанке используют промышленные отечественные автоматизированные системы и инструменты.

Например, может применяться эмуляция – имитирование программными средствами работы какого-либо физического устройства, процесса, другого программного средства или действий пользователя. МКБ в качестве регулярных проверок своих сотрудников эмулирует такие новые сервисы, как Telegram-бот и портал для обработки заявок, которые генерируют пользователи в рамках своей стандартной работы, говорит директор департамента информационной безопасности банка Вячеслав Касимов. Также в кредитной организации применяется эмуляция работы ransomware (программа-вымогатель, выполняющая шифрование данных), фишинг с различными привлекательными акциями, например дешевыми кредитами или депозитами, рассказывает он.

Учебные фишинговые кампании могут сопровождаться различными вспомогательными мероприятиями, говорит ведущий консультант по информационной безопасности компании Aktiv.Consulting Александр Моисеев. Например, для проверки сотрудников используются вишинг (звонок от злоумышленника) и физическое проникновение на территорию офиса для расположения QR-кода или NFC-метки, перечисляет менеджер продукта сервиса киберучений Jet CyberCamp компании «Инфосистемы джет» Екатерина Рудая. Также возможно подбрасывание флешек или специализированного «железа», например развертывание своего WiFi на территории компании, добавляет Колесов.

Действенными инструментами проверки уровня киберграмотности сотрудников являются смишинг (атака через sms, где отправляются текстовые сообщения, похожие на легитимные, от сервисов или приложений), рассылки через мессенджеры и создание фейковых профилей реальных сотрудников или высокопоставленных лиц в организации, перечисляет Полишин. Также может применяться фишинг внутри организации: рассылка фишинговых писем с почты реальных сотрудников или внедрение в текущую почтовую переписку сотрудников, в которой пересылаются или запрашиваются файлы, добавляет он.