Компания «Ростелеком-Солар», национальный провайдер технологий и сервисов защиты информационных активов, мониторинга и управления информационной безопасностью, представила аналитическое исследование кибератак на российские банки и уровня защищенности организаций финансово-кредитной сферы в 2018 – начале 2019 года.
Всего за 2018 год Solar JSOC зафиксировал в кредитно-финансовых организациях свыше 120 тысяч компьютерных атак. Доля критичных инцидентов – то есть таких, которых способны привести к остановке деятельности или потерям на сумму свыше 1 млн рублей – составила до 19%. Во второй половине года количество атак, направленных на получение контроля над инфраструктурой, выросло на 50%, количество атак, направленных на кражу денежных средств, – на 60%. Аналитики Solar JSOC прогнозируют дальнейший рост таких атак на финансово-кредитный сектор, подчеркивая, что в 2019 году количество попыток вывода денежных средств из банков может вырасти в два раза.
Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар»:
«Банковская инфраструктура остается одной из самых защищенных, но и самых привлекательных для киберпреступников – за счет большого числа способов быстрой монетизации взлома. Поэтому злоумышленники с одинаковой интенсивностью развивают и совершенствуют все возможные методы атак: от проникновения в защищаемый периметр и взлома веб-сервисов до изощренной социальной инженерии в отношении сотрудников банка».
Большие опасения вызывает безопасность систем дистанционного банковского обслуживания в России: в рамках проектов по анализу защищенности группа пентеста Solar JSOC обнаруживала уязвимость класса IDOR (insufficient direct object references) в каждом четвертом банковском мобильном приложении. Проэксплуатировав такую уязвимость, злоумышленник может узнать номер счета клиента и остаток средств на нем, а также перевести деньги на сторонний счет, минуя этап ввода одноразового пароля. Уязвимости класса XSS (cross-site-scripting), позволяющие атаковать компьютеры или мобильные устройства клиентов банка, обнаруживаются практически в каждом приложении.
Однако основную опасность представляет «социальный» вектор киберугроз. По данным Solar JSOC, 68% сложных целенаправленных атак на банки начинается с рассылки фишинговых писем по сотрудникам. Эффективность фишинга в отношении банковского сектора выше средних значений по рынку – в среднем каждый 6-й пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Во многом это связано с тем, что вредоносные рассылки, ориентированные на банки, обычно лучше подготовлены и продуманы. Они примерно на 60% чаще включают персонификацию – обращение к жертве по имени, упоминание реальных рабочих обязанностей сотрудника и т.п. Это повышает уровень доверия к письму, а с ним и вероятность, что сообщение будет открыто.
В первой половине 2018 года через фишинговые письма, как правило, распространялся троян Dimnie, во втором полугодии он уступил место вредоносному ПО под названием RTM, созданному непосредственно для атак на российский финансовый сектор. Анализ образцов RTM начала 2019 года показывает, что троян уже был несколько раз модифицирован злоумышленниками с целью предотвращения его обнаружения и повышения надежности работы.
Усовершенствования уже известного хакерского инструментария, выводящие его на новый уровень эффективности, можно назвать трендом. Во второй половине 2018 года аналитики Solar JSOC регулярно сталкивались с вредоносным ПО, оптимизированным для обхода средств защиты, в том числе антивирусов и «песочниц». Уровень проработки фишинговых писем также заметно повысился. Если раньше получатель мог обратить внимание на ошибки или непривычные формулировки, то теперь письма все труднее отличить от привычных рассылок о промоакциях или приглашений на предстоящие мероприятия для организаций финансово-кредитного сектора.
Несмотря на активную борьбу с массовыми атаками в 2017-2018 годах, темпы устранения уязвимостей в кредитно-финансовой сфере остаются невысокими. Среднее время от выхода патча до полного закрытия критичной уязвимости в банках составляет около 42 дней. Это дает злоумышленникам достаточно времени, чтобы не только разработать эксплойт, но и провести несколько атак до того, как уязвимость будет закрыта.