Банки и финансовые организации традиционно являются повышенным интересом у киберпреступников. Обычно осуществляются атаки направленные на клиентов банка, в данном случае имеется ввиду заражение клиентов банка и фишинг атаки. А теперь поподробнее про каждый из них.
Фишинг атака — это подделка сайта банка, где пользователя вынуждают авторизоваться, тем самым оставив данные для входа злоумышленнику. Обычно жертва попадает на сайт через фишинговое письмо, письмо отправленное якобы от банка. Причем адрес отправителя может быть действительным адресом банка. Почтовая служба устроена так, что в подавляющем большинстве случаев позволяет подделывать адрес отправителя почти на любой адрес.
Примером фишингово письма, может быть письмо от банка, где пользователей предупреждают, что бы они никому не передавали свой пароль и не вводили его на чужих сайтах. Без какого-либо требования от пользователя совершить какое-либо действие. Письмо, как требуется, оформлено в официальном стиле компании, в том числе имеет официальную стилистическую подпись в конце письма с ссылками на сайт банка и контактными телефонами. Например, именно они могут вести на сайт злоумышленников, который внешне полностью идентичен оригинальному. Злоумышленники могут отправить такие письма сотням получателей, из которых перейдут по ссылке всего несколько человек и окажутся на фишинговом сайте, введут все необходимые данные для авторизации, включая код приходящий в виде смс.
Вторым вариантом является заражение пользователей банка. Злоумышленники заражают большое количество пользователей, десятки и сотни тысяч компьютеров. Далее в зависимости от содержания и характеристик компьютера, управление от таких зараженных компьютеров перепродают другим злоумышленникам. Если с компьютера осуществляется доступ в интернет банкинг — он продается злоумышленникам, которые занимаются воровством денег с банковских аккаунтов. В других случаях другим преступникам, о которых в данный статье речи не пойдет.
Таким образом, из сотен тысяч зараженных компьютеров выделяются все с интернет-банкингом и на них загружается специальное вредоносное ПО для кражи денег с аккаунтов именно вашего банка. Причем стоит отметить, что заразится вы можете, даже не совершая никаких потенциально опасных действий. Вы можете посещать абсолютно доверенные сайты, просто контекстная реклама на них может неожиданно стать вредоносной.
Чаще всего при заражении вашего компьютера банковским трояном все происходит полностью автоматически, без участия самого злоумышленника. Такие банковские трояны иногда называют “инжектами”, потому что они модифицируют страницу интернет-банкинга в режиме реального времени. Например, вы заходите в интернет-банкинг, чтобы оплатить очередную платежку, вводите адресата и сумму, нажимаете кнопку перевода, получаете СМС с кодом подтверждения и вводите его на сайте для оплаты(возможно даже вставляете usb-токен). А подобное вредоносное ПО подменяет номер счета получателя на номер счета злоумышленника и модифицирует отображаемую Вам страницу, так что бы видели в качестве получателя действительно указанного вами адресата и ту же сумму перевода, которую вы указали сами. В то время как осуществляется совсем другой платеж и с другой суммой. После такого платежа банковский троян остается на компьютере еще некоторое время, и продолжает модифицировать сайт банка “на лету”, чтобы отображать вам “правильный” баланс счета, в то время как на счёте уже ничего не осталось, а позже удалится и сам.
Атаки на клиентов — всегда были основной проблемой банков, однако за последние пару лет ситуация сильно меняется и злоумышленники все чаще атакуют сами банки таким образом, что атаки на сами финансовые учреждения стали занимать первое место. Такие атаки приобрели уже массовый характер и в случае успеха злоумышленников банк теряет намного больше денег, чем при потере десятков счетов клиентов. Бывали случаи, когда после таких инцидентов банк попадал в очень сложную финансовую ситуацию.
Атаки на банки можно условно поделить на две группы: хакерская атака на инфраструктуру банка и рассылка вредоносных писем. А теперь подробнее про каждый из этих типов:
Под хакерской атакой понимается классическая попытка взлома организации, когда злоумышленники прощупывают и изучают всю инфраструктуру банка на предмет уязвимостей, чтобы преодолеть, так называемый, внешний периметр сети, и попасть во внутреннюю корпоративную сеть банка. Причем сделать это может злоумышленник через уязвимость в каком-либо из филиалов банка, т.к. почти всегда филиалы банка имеют соединение с центральным офисом. Далее злоумышленники изучают внутреннюю сеть банка, находят нужный компьютер для их цели и в нужный час осуществляют вывод денег из банка\фин.организации.
Второй вариант, когда злоумышленники не занимаются изучением внешней инфраструктуры банка, а отправляют выбранным сотрудникам банка вредоносные письма. Эти письма могут иметь абсолютно легальный вид, и иметь прикрепленный файл, например, вордовский, pdf или другой документ, открытие которого повлечет за собой заражение компьютера. Никакой антивирус не поможет, т.к. злоумышленник так же как и вы может заранее установить себе на компьютер антивирусы и модифицировать свое вредоносное ПО пока оно не перестанет определятся антивирусными программами как подозрительное или вредоносное. Часто злоумышленники заранее узнают какой антивирус используется в организации, хотя это не обязательно. Среди злоумышленников даже есть отдельное направление по защите вредоносного ПО от антивирусов, за какие-то 15-100$ ваш троян спрячут от десятков антивирусов разом.
Таким образом, благодаря вредоносному письму, которое выглядит как легальное, злоумышленники оказываются внутри сети банка, где так же изучают сеть, добираются до нужного компьютера, и в час Х совершают задуманное.
Какие клиентские мероприятия вы проводите для того, чтобы повысить уровень защищенности ваших клиентов?
Если говорить именно о мероприятиях с клиентами, это прежде всего информирование клиентов об актуальных киберугрозах, чтобы клиента компании, было не так легко, например, заманить на фишинг сайт и т.д.
Требование, чтобы на компьютере клиента обязательно стоял антивирус с постоянно обновляемой антивирусной базой данной. Также обязательно, чтобы это был лицензионный виндовс с включенным автоматическим обновлением и всегда последней версией ПО, особенно интернет-браузеров и используемых компонентов к нему.
Также, банки которые серьезно заботятся о своей безопасности и безопасности своих клиентов, изучают поведение своих клиентов, через призму интернет-банкинга и платежи. Например, если клиент оплатил покупку в Москве, а через один час зашел в интеренет-банкинг с другой части света или из другого не близкого города — банк блокирует такие действия и бьет тревогу вплоть до блокировки аккаунта до выяснения причин, чтобы избежать кражи денег. Помимо гео-расположения отслеживается и множество других технических параметров.
Какие меры, на Ваш взгляд, необходимо принимать для защиты финансовых учреждений от киберугроз?
1. Проводить регулярные аудиты ИБ: Тестирование на проникновение. Тестирование на проникновение(сокращенно пентест) это имитация хакерской атаки специалистами ИБ, цель которых такая же как и злоумышленников — получить доступ к конфиденциальной информации. Разница лишь в том, что в случае успеха преодоления средств защиты сети никто воровать денег не будет, а наоборот данные уязвимости подробно опишут и разработают необходимые меры для устранения или компенсации уязвимостей. Тестирование на проникновение бывает внешнее — когда имитируется хакерская атака злоумышленника, действующего удаленно через сеть Интернет. И бывает внутреннее тестирование на проникновение, когда имитируются действия инсайдера в компании, и злоумышленника успешно преодолевшего внешний периметр и попавшего во внутреннюю сеть компании. Пентест может быть с извещением службы безопасности о проводимом мероприятии, а может быть полностью неожиданным для сотрудников компании, что позволяет на практике оценить эффективность действий службы ИБ и эффективность внедренных средств ИБ и их использовании сотрудниками компании\банка. Такие мероприятия позволяют своевременно выявить новые уязвимости и внести корректировки в инфраструктуру и поведение сотрудников во время таких инцидентов.
2. Также необходимо вести непрерывный мониторинг сети банка, особенно внутренней сети, чтобы своевременно выделить аномальную активность и принять соответствующие меры по определению природы этой активности и ее пресечению. В данном случае речь идет, в первую очередь, о системах обнаружения и предотвращения вторжений. Помимо внедрения такой системы, необходимо грамотно подготовить сотрудников службы ИБ для эффективного ее использования. Не редки случаи, когда такие системы не обнаруживали атаки из-за некорректной настройки или обнаруживали, но сотрудник ИБ игнорировал сигналы системы или не замечал вовсе.
3. Мониторинг трафика между банком и сетью интернет. Многое вредоносное ПО скрывают от антивирусного ПО перед атакой и его трудно обнаружить на компьютерах компании, однако его можно выявить изучая трафик компании. Многое ПО имеет свои уникальные сигнатуры в трафике, которые не скрываются при “криптовке” трояна от антивирусов. Также, многие IP-адреса и даже сети в интернете занимаются вредоносной активностью и попадают в особые списки вредоносного рейтинга. Связь с такими адресатами тоже может служить сигналом заражения конкретного рабочего места в компании. Конечно, такой мониторинг нужно осуществлять в автоматическом режиме и на рынке существуют такие решения.
4. Также существуют особые системы для борьбы с входящими вредоносными файлами и ссылками, даже которые используют никому неизвестные, так называемые 0-day, уязвимости. Такие системы пропускают через себя весь web-трафик и все письма, запуская каждый файл во множестве виртуальных систем с разными операционными системами и конфигурацией для осуществления поведенческого анализа файлов. И если вдруг после запуска файла или посещения какого либо сайта, одна из виртуальных машин начинает вести себя не так как должна, данное письмо или страница сайта блокируется и даже не доходит до сотрудника компании. Правда поддержать такой режим не всегда получается и часто такая система работает “параллельно”. При обнаружении вредоносного сообщения извещается сотрудник ИБ и зараженный хост автоматически изолируется от остальных компьютеров в сети.
5. Еще можно сказать про противодействие фишингу. О фишинговых атаках можно узнать от бдительных клиентов, которые достаточно информированы и выявили попытку заманить их на фишинг сайт, и сообщили об этом в банк\владельцу сайта. При выявлении таких фишинговых сайтов служба ИБ может принять меры и сообщить в местный CERT о фишинге, написать “абузы” хостеру или провайдеру обслуживающего сервер с фишингом. Или обратится в знающую компанию по кибербезопасности, которая сама знает что делать и примет все необходимые меры. Также существуют и некоторые технические меры противодействия фишингу.
Автор: Евгений Соболев , Practical Security Lab
