У хакера на примете

Во Владивостоке продолжается расследование обстоятельств незаконного массового списания средств со счетов клиентов Сбербанка. Как уже писал «В», на прошлой неделе на мобильные телефоны держателей пластиковых карт одного из крупнейших банков страны пришли СМС-сообщения о том, что деньги их были обналичены на территории США и Великобритании. По предположению сотрудников финансового учреждения, от действий неизвестных пострадали около 400 клиентов банка.

Пока Сбербанк возвращает пострадавшим средства, служба безопасности банка анализирует произошедшее, чтобы принять соответствующие меры и впредь защититься от подобных мошеннических посягательств.

Эксперты утверждают, что данный инцидент давно уже не нонсенс в этом мире: мошеннические атаки на финансовые организации являются одним из самых прибыльных бизнесов организованной преступности. Методы их проведения совершенствуются, аппетиты хакеров растут. Портал Банки.ру разбирался, какое влияние на банковскую систему способны оказывать современные кибербандиты.

Кто защитит от DDoS…

Существует несколько видов целевых атак. Наиболее известный вид – это DDoS-атаки (распределенные атаки отказа в обслуживании), которые на первый взгляд являются самыми многочисленными. Но на самом деле это не так. Просто DDoS-атаки наиболее заметны.

Суть их состоит в том, чтобы довести до отказа какую-либо информационную систему, например, интернет-сайт, систему дистанционного банковского обслуживания или иногда внутреннюю сеть компании. Этот тип атак актуален и весьма опасен для банков, у которых развита услуга интернет-банкинга (личный кабинет, онлайн-платежи и др.). Когда доступ к сайту невозможен и эти услуги становятся недоступными, это сразу всем заметно. Поэтому такого рода атаки наиболее публичны.

Существуют специализированные сервисы защиты от DDoS-атак. Крупные банки применяют их в обязательном порядке, но те полной гарантии не дают: современные атаки проводятся так хитроумно и с применением такого количества ресурсов, что для их отражения требуется время и кропотливая работа многих специалистов.

…и фишинга

Необходимо разделять атаки, направленные на сами банки, и атаки против клиентов банков. DDoS-атаки направлены на банки. А наиболее распространенным видом атак на клиентов является фишинг – это подмена страниц онлайн-банка с целью сбора конфиденциальной информации клиентов (логинов и паролей для доступа в личный кабинет, номеров счетов и кредитных карт и т. п.) и перевода средств клиентов на счета злоумышленников.

Из-за этого клиентам банков настоятельно рекомендуется внимательно смотреть на адресную строку страницы онлайн-банкинга. Если адрес страницы, ссылку на которую вам, например, прислали в электронном письме, не совпадает с реальной страницей онлайн-банкинга, которой вы постоянно пользуетесь, и если не соблюдается протокол https, а в адресной строке значится http, следует избегать ввода каких-либо персональных данных на данной странице. Это очень распространенный вид целенаправленных атак, от которых часто страдают клиенты банков.

Социальные инженеры найдут подход к любому. Банковскому счету

Также на клиентов банков часто осуществляются атаки с использованием технологии социальной инженерии, то есть метода, основанного на особенностях психологии человека. Основной целью «социальных инженеров» и других хакеров является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т. п.

Социальная инженерия основана на использовании неопытности клиента в вопросах информационной безопасности. Примером социальной инженерии является отправка жертве якобы от имени менеджера банка электронного или СМС-сообщения следующего содержания: «Уважаемый Иван Иванович Иванов! Банк такой-то (клиентом которого адресат является – это выясняется заранее) осуществляет проверку системы безопасности. Пожалуйста, пришлите ваши регистрационные данные (логин и пароль от личного кабинета/номер и ПИН-код кредитной карты) на данный электронный адрес/СМС-номер».

К сожалению, против атаки с использованием социальной инженерии не существует эффективных технических средств защиты. Клиенты должны знать, что банк никогда по собственной инициативе не будет запрашивать логины, пароли, номера карт, ПИН-коды, CVV/CVVC и другие конфиденциальные данные клиентов. Это запрещено правилами информационной безопасности подавляющего большинства банков.

Шпионы реальные и виртуальные

Ну и, наконец, самый мощный вид атак – таргетированные (целевые) атаки на крупные организации с использованием специализированного программного обеспечения (ПО). Это самый разрушительный и постоянно растущий вид атак. Наиболее известные атаки подобного рода – Stuxnet (ядерные объекты Ирана), ZeuS (кража средств со счетов клиентов европейских банков).

Так, в 2014 году хакеры за неделю похитили более полумиллиона евро со счетов клиентов одного из европейских банков. Целью технически подкованных преступников стали 190 счетов, принадлежащих в основном клиентам из Италии и Турции. Вредоносная программа была внедрена в систему онлайн-банкинга атакованного банка.

В основе таргетированных атак лежат технологии-конструкторы, из которых собираются сложные вредоносные программы. Организованная группа хакеров-программистов получает заказ на целевую атаку на конкретный банк. Например, на взлом процессинга и перенаправление платежей на сторонние счета. Или на сбор и пересылку заказчику всех персональных и платежных данных клиентов банка. Данная группа засылает в информационные системы банка-жертвы вредоносные программы или в сам банк людей-шпионов, которые собирают информацию о том, как устроена система защиты банка, какие установлены системы защиты, уязвимости и т. п.

Затем специально для данной кредитной организации разрабатывается вредоносное ПО и внедряется в банк. Оно может быть внедрено на рабочее место операциониста, например, с целью переводить небольшие суммы на сторонние счета при осуществлении банковских транзакций. Такие операции часто остаются незамеченными, если осуществляются за счет клиентов, которые воспринимают эти отчисления как комиссию банка.

Кроме того, вредоносное ПО может быть внедрено в процессинг банка. Это крайне сложно осуществить, так как банковский процессинговый сервер хорошо защищен. Но в случае успеха хакеры получают полный доступ ко всем операциям банка.

Гром грянул

В общем, делают выводы эксперты Банки.ру, программы, используемые для осуществления хакерских атак, умеют обходить стандартные средства информационной безопасности, в том числе антивирусы. Поэтому для борьбы с таргетированными атаками должны создаваться и внедряться специализированные системы защиты. И не стоит дожидаться, когда грянет гром. Это угроза не завтрашнего, а сегодняшнего дня. И бороться с ней необходимо уже сейчас, предупреждают аналитики портала.

Автор: Отдел новостей «В»