Как видно из данных ЦБ, в прошлом году объем потерь от хакерских атак сократился по всем категориям (банки, граждане и компании). Это хоть и дает надежду, но очень слабую: эксперты отмечают, что выросли по своей частоте результативные атаки, наряду с усовершенствованием самих подходов к хищению средств. В итоге в зону риска попало много банков и их клиентов. Причем, как уверены эксперты, в поле зрения ЦБ - лишь верхушка айсберга, так как многие жертвы кибератак не склонны к их афишированию.
Тренд прошлого года - проникновение в банковскую инфраструктуру главным образом посредством рассылки фишинговых писем, банковские системы поражали вредоносные программы и средства выводились по разным каналам. Отслеживание таких атак - задача сложная, но главная проблема в том, что, оказавшись в информационной сети банка, вредонос может сохраниться в ней и после того, как атака будет завершена, а это влечет риск повторного хищения.
Самую большую известность получила группировка хакеров, которая, по мнению ЦБ совершила в прошлом году все успешные атаки на российские банки - Cobalt, названная, как и используемая ею для атак вполне легальная программа Cobalt Strike. Залог успеха этой группировки - упорство вкупе с промышленными масштабами атак. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, злоумышленники рассылают фишинговые письма, в среднем охватывая ими примерно сотню банков. Если они не могут нигде "зацепиться", спустя 2-3 дня они проводят повторную рассылку. Если в повторной рассылке нет необходимости, атаку можно считать удачной. Как правило, по прошествии недели-двух в СМИ поступали сведения о хищениях. Потом преступники повторяют ситуацию, но уже к другой группе банков.
Наибольшую известность снискала атака банка «Союз», она же и самая крупная атака группировки Cobalt. Заполучив доступ к процессингу, преступники произвели «замену» дебетовых карт на кредитные безлимитные, сняв деньги через банкоматы сторонних банков. Попаданию хакеров в систему помогли разосланные фишинговые письма, одно из которых было открыто операционистом банка. По словам одного источника. добычей хакеров стало порядка 400 млн руб.
Всего де в прошлом году хакеры успешно атаковали преимущественно некрупных региональных игроков. Средняя сумма похищенных в одном банке средств - до 30 млн руб.
В последний раз Cobalt успешно атаковала крымский Севастопольский морской банк, похитив 11 млн руб. Вывод денег был осуществлен через его же банкоматы.
Жертвами кибератак становится не только банки, но и их клиенты, счета которых также находятся под прицелом злоумышленников. В случае с клиентами ключевой канал потерь представлен банковскими картами. Как следует из статистики ФинЦЕРТ, в прошлом году количество несанкционированных транзакций, при которых были использованы банковские карты в 2017 году, составило 317,1 тыс., добычей киберворов стало 961 млн руб.
Как сказал эксперт по информбезопасности Cisco Алексей Лукацкий, динамику можно объяснить тем, что банки стали активно применять системы, оценивающие финансовые транзакции на предмет подозрительности с точки зрения мошенничеств (антифрод-системы). По мнению эксперта, тенденция положительная, отчасти потому, что антифрод предпочитает "рубить" большие суммы. И от хакеров требуется больше усилий, чтобы получить ту же маржу.
Но для рядовых граждан последствия сомнительны. По мнению начальника управления информбезопасности Златкомбанка Александра Виноградова, если средний чек хищений снизится, это чревато тем, что в зоне риска окажется очень много клиентов банков, а атаки станут носить массовый характер. А значит и однозначный разговор о положительной динамике был бы неверен.
С проблемами сталкивается и корпоративный блок банковских клиентов. В прошлом году объем хищений денежных средств со счетов юрлиц через системы ДБО составил 1,57 млрд руб. - такова статистика ФинЦЕРТ. Несанкционированные транзакции составили — 841.
Если в случае с физлицами львиная доля хищений связана с неосторожностью или доверчивостью клиента, то с компаниями ситуация совсем другая. В том, что компании теряют свои деньги, в определенной степени виноваты банки.
Как указано в исследовании Positive Technologies, в прошлом году в большинстве онлайн-банков (71%) были недостатки в реализации 2-факторной системы аутентификации (проверка подлинности пользователей). В каждом третьем онлайн-банке были уязвимости, способствующие краже денег. В банках, которые работают с ими же разработанными онлайн-банками, были обнаружены уязвимости, а именно - недостаточно реализованы защитные механизмы. А каждый второй онлайн-банк собственной разработки работал с устаревшим ПО.
У банков, использующих готовые решения, выявлено очень много уязвимостей в программном коде (в результате чего злоумышленники получают конфиденциальные данные, которые можно использовать для хищений). Наличие двухфакторной аутентификации при входе в личный кабинет обнаружено только в 71% финансовых веб-приложений, а требование подтверждения транзакций с помощью одноразового пароля было только в 50% систем.
Между тем, по мнению экспертов, Банке России может недооценить, насколько масштабна проблема. Далеко не все банки извещают регулятора об инцидентах, закончившихся хищением средств. По словам источника, близкого к правоохранительным органам, в реальности ущерб, который понесли только банки от кибератак в прошлом году, примерно в 1,5 раза больше того, что был озвучен ЦБ. Как считает заместитель председателя правления Сбербанка Станислав Кузнецов, судя по анализу банка, официальные данные не отражают истинного размера ущерба, а разница может составлять от 10 до 20 раз. Проблема в скрытном характере банков, сложно точно подсчитать убытки от хакеров при замалчивании банков фактов о том, что они в очередной раз были ограблены.
