Кибермошенничество в России: эволюция угроз Хищения в системах интернет-банкинга, целевые атаки и кардинг принесли в 2014 году злоумышленникам больше всего денег. Предлагаем вашему вниманию материал о тенденциях развития кибермошенничества в России, составленный по результатам исследований компании Group-IB. Group-IB – одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Клиентами компании Group-IB являются крупнейшие российские банки (такие как Сбербанк, ВТБ 24, Альфа-Банк, Россельхозбанк, Газпромбанк), правоохранительные органы и другие различные организации. Хищения в системах интернет-банкинга Для совершения хищений в системах интернет-банкинга хакеры используют: • Фишинг1; • СМС-банкинг2; • Эмуляцию3 работы банковского приложения на телефоне. На хищениях в системах интернет-банкинга в России и СНГ хакеры за год заработали 288 млн. долл. Суммарные доходы русскоговорящих хакеров в Европе, США и на Ближнем Востоке значительно выше. Тут практически все по-старому: воруют либо с помощью фишинговых сайтов, либо банковских троянов, позволяющих не только перехватывать логины/пароли, цифровые подписи, предоставлять удаленный доступ, но и совершать автоматические хищения, либо автоматическую подмену реквизитов во время платежей. Сами методы не новы, но злоумышленники постоянно дорабатывают вредоносные программы, делая их все неуязвимее. Так, в 2014 году мобильные трояны позволили похитить в России с банковских счетов около 3 млн. долл. Фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей (информации о банковской карте, либо логина и пароля от интернет-банка). Чаще всего используется в виде рассылки через Интернет писем от имени банка или платёжной системы с просьбой подтвердить конфиденциальную информацию пользователя на сайте организации. 2 СМС-банкинг – услуга, предоставляющая возможность пользователям использовать мобильный телефон для доступа к своим банковским счетам и управлению ими, совершать платежи с банковских счетов, получать информацию об использовании услуги. Используется хакерами для хищений с банковских счетов. 3 Эмуляция – это максимально точное воспроизведение (копирование) внутреннего устройства эмитируемой системы, программы или банковского приложения на телефоне. Используется для хищения конфиденциальной информации пользователя и хищения средств. 1 До недавнего времени мобильные троянские программы представляли угрозу для банков и их клиентов только в случае одновременного заражения компьютеров в банке и у клиента. Тогда хакер получал доступ к логину/паролю от интернет-банка и с помощью мобильного трояна узнавал одноразовые пароли. Теперь же злоумышленники нашли способ совершать хищения с банковских счетов, используя только троянскую программу на мобильном устройстве. Согласно исследованиям Group-IB мобильных бот-сетей, 40% пользователей мобильных устройств имеют банковский счет, привязанный к зараженному мобильному телефону. Важно знать, что некоторые хакеры автоматизировали процесс до такой степени, что троян при попадании на телефон автоматически проверяет, клиентом какого банка вы являетесь, сколько у вас денег на счете. В зависимости от суммы он совершает небольшие транзакции, пока ваш счет не опустеет. Целевые атаки Другим качественным изменением в хищениях стали целевые атаки на банки. Средняя сумма хищения на территории России и СНГ при целевой атаке на банк составляет 60 млн. руб. С 2013 года зафиксирован несанкционированный доступ в сети более 50 российских банков и 5 платежных систем. На начало 2015 года итоговая сумма хищений составляла более 1 млрд. руб., бо́льшая часть из которой приходится на вторую половину 2014 года. Среднее время с момента проникновения во внутреннюю сеть финансовой организации до момента хищения составляет 42 дня. Кроме самих банковских и платежных систем хакеры могут получать доступ к серверам электронной почты для установления контроля над внутренними коммуникациями. Таким образом, полученная информация о способах противодействия хищению позволяет им принимать контрмеры. Кардинг Кардинг4 - один из старейших хакерских способов незаконного заработка. По оценкам Group-IB, используя этот метод, российские хакеры за год заработали 680 млн. долл. Кардинг – вид мошенничества, при котором производится операция с использованием платёжной карты или её реквизитов, не инициированная или не подтверждённая её держателем. Реквизиты платёжных карт, как правило, берут со взломанных серверов интернет-магазинов, платёжных и расчётных систем, а также с персональных компьютеров. 4 Данные карт можно получить самыми разными способами: используя скимминговое оборудование, троянское программное обеспечение для банкоматов или РОS-терминалов, в результате взломов процессингов или web-ресурсов, связанных с электронной коммерцией, а также с зараженных компьютеров пользователей при помощи формграбберов5, фишинговых сайтов или вишинга6. На черном рынке предлагают два типа данных скомпрометированных карт: текстовые данные о картах (номер, дата истечения, имя держателя, адрес) и «дампы» (содержимое магнитных полос карт). Рыночная стоимость «дампа» карты в среднем в 10 раз превышает стоимость текстовой информации о карте, что обусловлено расширенными возможностями по осуществлению мошеннических операций. Так, имея «дамп» карты, можно изготовить ее физический дубликат и проводить операции в офлайновых точках продаж, при наличии ПИН-кода можно снять деньги в банкомате. Трояны для банкоматов и POS-терминалов - один из основных драйверов развития этого сегмента, хотя они и менее опасны, чем скимминг7. С начала 2014 года в России было скомпрометировано 52 банкомата и активность растет, так как вредоносные программы дают больше шансов преступникам остаться незамеченными. Если скимминг и троянские программы для банкоматов - это старые способы получения «дампов» карт, то компрометация POS-терминалов является относительной новинкой. Сейчас на черном рынке продают не только сами вредоносные программы, но и отдельно доступ к терминалам, на которые эти программы можно установить. Получить доступ к POS-терминалам крупных ритейловых сетей гораздо проще, чем к процессинговому центру. Последние массовые утечки данных карт связанны именно с этим способом. Одним из первых троянов именно для POS-терминалов был Dexter, о котором сообщили в декабре 2012 г. С него и началось широкое распространение этого способа получения «дампов» карт. В декабре 2013 года из американской сети Target было похищено около 70 млн. карт, а в сентябре 2014 года сеть магазинов Home Depot сообщила о компрометации около 56 млн. карт. За этими атаками стоят русскоговорящие Формграббер – это вредоносное программное обеспечение (шпионская программа), созданное для получения злоумышленником всех введённых пользователем паролей и логинов, а также для изменения html кода страниц путём внедрения своего кода или замены существующего. 6 Вишинг – вид мошенничества – голосовой фишинг, использующий технологию, позволяющую автоматически собирать информацию, такую как номера карт и счетов и т.д. 7 Скимминг – мошенническая информация, при которой используется инструмент (или скиммер, скимминговое устройство) злоумышленника для несанкционированного считывания данных с платёжной карты путём копирования информации с магнитной полосы. 5 специалисты. Пока их основной мишенью являются США и Европа, но все может измениться в любой момент. Что нового в способах защиты? Злоумышленники всегда на шаг впереди - они диктуют правила, а производители средств защиты им следуют, не имея достаточной информации о действиях хакеров. Им невозможно противостоять вслепую. Это все равно, что вести войну без данных о количестве и дислокации врага, используемом им вооружении, источниках подкреплений и т. п. Это является одной из основных причин, почему злоумышленники настолько успешны и, почему увеличение бюджетов на информационную безопасность не приводит к снижению уровня киберпреступности. Осознание этой проблемы привело к появлению такого направления у частных компаний, как Cyber Intelligence8. Как и в обычной разведке, выясняющей, какие у атакующего возможности, намерения, текущие действия Cyber Intelligence основаны на добыче сведений о том: какие атаки уже произошли или могут произойти; как действия атакующего могут быть распознаны и обнаружены; как эти действия могут быть смягчены; кто стоит за этими атаками; каковы мотивы атакующих и чего они пытаются добиться; каковы их возможности с точки зрения тактики, техники, процедур, используемых ими ранее и в скором будущем; какие уязвимости, ошибки конфигурации они эксплуатируют; какие действия они предпринимали в прошлом и т. д. Таким образом, по мнению Group-IB лучшая практика противодействия киберугрозам - это сочетание знаний, полученных от Cyber Intelligence, и уже внедренных средств защиты. Но такие знания имеют значение, только если они получены оперативно. Сейчас же о чем-то новом узнают с недопустимыми задержками из аналитических отчетов или какой-то новости, просочившейся в СМИ, и как всегда, очень многое остается неосвещенным. Отделение по Амурской области Дальневосточного главного управления Центрального банка Российской Федерации Cyber Intelligence (киберразведка) – платформа, позволяющая заказчику проводить мониторинг, анализировать и прогнозировать потенциальные угрозы информационной безопасности, актуальные для компании, её партнёров и клиентов. При этом стратегия безопасности строится на знании угроз сегодняшнего и прошлого дня. 8