Компания «Ростелеком-Солар», национальный провайдер технологий и сервисов защиты информационных активов, мониторинга и управления информационной безопасностью, представила аналитическое исследование кибератак на российские банки и уровня защищенности организаций финансово-кредитной сферы в 2018 – начале 2019 года.

Всего за 2018 год Solar JSOC зафиксировал в кредитно-финансовых организациях свыше 120 тысяч компьютерных атак. Доля критичных инцидентов – то есть таких, которых способны привести к остановке деятельности или потерям на сумму свыше 1 млн рублей – составила до 19%. Во второй половине года количество атак, направленных на получение контроля над инфраструктурой, выросло на 50%, количество атак, направленных на кражу денежных средств, – на 60%. Аналитики Solar JSOC прогнозируют дальнейший рост таких атак на финансово-кредитный сектор, подчеркивая, что в 2019 году количество попыток вывода денежных средств из банков может вырасти в два раза.

Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар»:

«Банковская инфраструктура остается одной из самых защищенных, но и самых привлекательных для киберпреступников – за счет большого числа способов быстрой монетизации взлома. Поэтому злоумышленники с одинаковой интенсивностью развивают и совершенствуют все возможные методы атак: от проникновения в защищаемый периметр и взлома веб-сервисов до изощренной социальной инженерии в отношении сотрудников банка».

Большие опасения вызывает безопасность систем дистанционного банковского обслуживания в России: в рамках проектов по анализу защищенности группа пентеста Solar JSOC обнаруживала уязвимость класса IDOR (insufficient direct object references) в каждом четвертом банковском мобильном приложении. Проэксплуатировав такую уязвимость, злоумышленник может узнать номер счета клиента и остаток средств на нем, а также перевести деньги на сторонний счет, минуя этап ввода одноразового пароля. Уязвимости класса XSS (cross-site-scripting), позволяющие атаковать компьютеры или мобильные устройства клиентов банка, обнаруживаются практически в каждом приложении.

Однако основную опасность представляет «социальный» вектор киберугроз. По данным Solar JSOC, 68% сложных целенаправленных атак на банки начинается с рассылки фишинговых писем по сотрудникам. Эффективность фишинга в отношении банковского сектора выше средних значений по рынку – в среднем каждый 6-й пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Во многом это связано с тем, что вредоносные рассылки, ориентированные на банки, обычно лучше подготовлены и продуманы. Они примерно на 60% чаще включают персонификацию – обращение к жертве по имени, упоминание реальных рабочих обязанностей сотрудника и т.п. Это повышает уровень доверия к письму, а с ним и вероятность, что сообщение будет открыто.

В первой половине 2018 года через фишинговые письма, как правило, распространялся троян Dimnie, во втором полугодии он уступил место вредоносному ПО под названием RTM, созданному непосредственно для атак на российский финансовый сектор. Анализ образцов RTM начала 2019 года показывает, что троян уже был несколько раз модифицирован злоумышленниками с целью предотвращения его обнаружения и повышения надежности работы.

Усовершенствования уже известного хакерского инструментария, выводящие его на новый уровень эффективности, можно назвать трендом. Во второй половине 2018 года аналитики Solar JSOC регулярно сталкивались с вредоносным ПО, оптимизированным для обхода средств защиты, в том числе антивирусов и «песочниц». Уровень проработки фишинговых писем также заметно повысился. Если раньше получатель мог обратить внимание на ошибки или непривычные формулировки, то теперь письма все труднее отличить от привычных рассылок о промоакциях или приглашений на предстоящие мероприятия для организаций финансово-кредитного сектора.

Несмотря на активную борьбу с массовыми атаками в 2017-2018 годах, темпы устранения уязвимостей в кредитно-финансовой сфере остаются невысокими. Среднее время от выхода патча до полного закрытия критичной уязвимости в банках составляет около 42 дней. Это дает злоумышленникам достаточно времени, чтобы не только разработать эксплойт, но и провести несколько атак до того, как уязвимость будет закрыта. 


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар» разработал комплексный продукт для защиты онлайн-ресурсов крупного бизнеса

«Солар» разработал комплексный продукт для защиты онлайн-ресурсов крупного бизнеса

Узнать больше
Совместимость решений ГК «Солар» и «РуПост» позволит минимизировать утечки с мобильных устройств

Совместимость решений ГК «Солар» и «РуПост» позволит минимизировать утечки с мобильных устройств

Узнать больше
Новая версия Solar CyberMir 7.0: командно-штабные тренировки, квизы, квесты и task-based для Blue Team в онлайн-формате

Новая версия Solar CyberMir 7.0: командно-штабные тренировки, квизы, квесты и task-based для Blue Team в онлайн-формате

Узнать больше
«Солар»: хакеры отключают антивирус, чтобы скрыть кибератаку

«Солар»: хакеры отключают антивирус, чтобы скрыть кибератаку

Узнать больше
Компании получат налоговые льготы за внедрение Solar Dozor и других решений «Солара»

Компании получат налоговые льготы за внедрение Solar Dozor и других решений «Солара»

Узнать больше
Интеграция ALD Pro и Solar Dozor обеспечивает безопасную миграцию с Windows на Linux

Интеграция ALD Pro и Solar Dozor обеспечивает безопасную миграцию с Windows на Linux

Узнать больше
«Солар» планирует развивать собственную SIEM платформу

«Солар» планирует развивать собственную SIEM платформу

Узнать больше
Девять ИБ решений «Солара» включены в «Банк технологий» Москвы

Девять ИБ решений «Солара» включены в «Банк технологий» Москвы

Узнать больше
ГК «Солар» и СКАН-Интерфакс: интерес к теме кибербезопасности в РФ за десять лет вырос почти в 18 раз

ГК «Солар» и СКАН-Интерфакс: интерес к теме кибербезопасности в РФ за десять лет вырос почти в 18 раз

Узнать больше
ГК «Солар» запустила функцию переноса сайтов СМБ с Cloudflare на Solar Space

ГК «Солар» запустила функцию переноса сайтов СМБ с Cloudflare на Solar Space

Узнать больше