Злоумышленники атакуют банки миллионами эсэмэсок

Sms-бомберы во втором полугодии 2023 г. атаковали банки на 20% чаще, чем в первом, рассказал «Ведомостям» коммерческий директор разработчика решений в области информационной безопасности Servicepipe Данила Чежин. Такие злоумышленники использовали комбинации логинов и паролей из ранее утекших в интернет баз персональных данных (ПД) и пытались войти по ним в банковские аккаунты клиентов. При этом банковская система отправляла клиенту sms с проверочным кодом. Рост популярности таких атак отмечают и эксперты компании F.A.C.C.T. (бывшая Group IB).

Общее количество подобных атак в Servicepipe не раскрыли, но уточнили, что каждая атака могла приводить к отправке нескольких сотен тысяч sms в сутки. В частности, аналитики компании зафиксировали случаи отправки ботами до 600 000 сообщений в сутки одному банку. По оценкам аналитиков, ущерб от такой атаки для финансовой организации может составлять до 2 млн руб. В итоге затраты банков и кредитных организаций на sms-рассылки за последние полгода выросли в 1,5 раза, подсчитали в компании.

В подобных атаках чаще всего используются так называемые боты-имитаторы, которые действуют максимально схожим образом с легитимными пользователями, объясняет Чежин. Эксперт отметил, что применяемые банками фильтры по географическому признаку перестали быть эффективными: если в 2021 г. и начале 2022 г. до 90% источников ботовых запросов были зарубежными и лишь 10% из России, то в 2023 г. не менее 50% вредоносного трафика исходило с территории нашей страны. «Были случаи и с чисто российскими ботнетами», – отметил Чежин.

Кибератаки на доступные из интернета ресурсы Газпромбанка проводятся регулярно как с российских, так и с иностранных IP-адресов, отметил представитель банка. Потенциальный ущерб от неудачных попыток совершения кибератак не оценивался, добавил он.

Злоумышленники нередко используют сервисы банков и других организаций для проверки валидности пар логин-пароль, полученных из различных утечек ПД. Таким образом они выявляют «живые аккаунты» и актуальные пароли, поясняет руководитель сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско.

Sms-бомберы достаточно давно являются одним из инструментов злоумышленников в атаках, говорит руководитель исследовательской группы Positive Technologies Ирина Зиновкина. Зачастую они используются для кибератак на частных лиц, продолжает она: например, с помощью sms-бомберов злоумышленники пытаются взять на человека микрокредиты. Кроме того, с помощью sms-бомберов мошенники могут пытаться получить доступ к аккаунтам жертв, например к его банк-клиенту, добавила она. «При этом для организаций серьезной угрозы такие атаки не представляют. Они могут создать нагрузку на сеть банка или же вызвать вопросы к банку со стороны клиентов», – поясняет Зиновкина.

Сейчас в подавляющем большинстве банков все аккаунты защищены двухфакторной аутентификацией, без доступа к которой, даже при знании логина и пароля, хакерам будет тяжело добраться до денежных средств клиента, говорит Зиновкина. «Такие атаки могут создать эффект DDoS-атаки, и, к примеру, клиенты будут ожидать sms с проверочным кодом для оплаты чуть дольше обычного. Нанести серьезный ущерб функционированию банка атака не способна», – поясняет она.

Такие атаки могут привести к перегрузке и выходу из строя систем и увеличивают расходы на оплату sms, говорит специалист компании F.A.C.C.T. по противодействию финансовому мошенничеству Дмитрий Дудков. Помимо того, они позволяют мошенникам проверить актуальность контактов из украденной базы данных и даже заработать, добавил он. Чаще всего целями злоумышленников в таких атаках действительно становятся банки и платежные сервисы, говорит Дудков. Но sms-бомберы атакуют и другие компании, где есть авторизация клиентов в личном кабинете, форма восстановления или регистрации по номеру, к примеру интернет-магазины, добавил он.

«Ведомости» направили запросы в Банк России и топ-20 банков, в том числе в Сбербанк, ВТБ, Альфа-банк, Промсвязьбанк, Совкомбанк, Россельхозбанк, «Тинькофф банк», Росбанк, МКБ, Райффайзенбанк, «ФК Открытие».