Сергей Голованов, «Лаборатория Касперского»: хакеры научились атаковать банки, следующая их цель - ЦБ и государство - «Интервью»
Фото: Лаборатория Касперского
Эксперты отмечают тревожный тренд: хакеры переключились с массовых атак на пользователей на сложные целевые атаки на банки. Злоумышленники разрабатывают изощренные схемы, проникают во внутренние системы кредитных организаций и срывают многомиллионный куш. Количество таких инцидентов в финансовой сфере растет ошеломляющими темпами.
О том, каковы основные преступные схемы мошенников, чего опасаться банкам и их клиентам и каких новых финансовых угроз ждать в будущем, беседуем с ведущим антивирусным экспертом «Лаборатории Касперского» Сергеем Головановым.
- Сергей, озвучьте ваш личный рейтинг финансовых угроз для банков и их клиентов.
- Для «физиков» по-прежнему на первом месте остается фишинг: sms-рассылки вроде «ваша карта заблокирована», баннеры в браузере и имейл-рассылки «Вы выиграли приз. Укажите номер карты, ФИО владельца и cvv». Чаще стали появляться псевдосервисы по переводу денег. Выглядят они как страница, которая очень похожа на легитимную страницу банка. Пользователь вводит номер карты, cvv и прочие данные и... лишается денег на карте.
Второе место занимают программы-шифровальщики, которые шифруют файл на компьютере, а потом попросят выкуп в обмен на расшифрованные данные.
Третье место сохраняется за обычным вредоносным ПО для онлайн-банкинга, которое тихо и незаметно собирает информацию пользователя, чтобы злоумышленники могли завладеть доступом к счету жертвы и увести с него все средства.
Из новенького - это вредоносные программы для смартфонов, которые крадут деньги из систем мобильного банкинга.
С угрозами для банков все намного интереснее. Во-первых, никуда не исчезло внутренне мошенничество, когда операционист, например, «не замечает» поддельного паспорта, а кассир «случайно» переводит деньги не туда. Но появились и новые угрозы. Последние два-три года мы наблюдаем серьезное и очень активное развитие сложных целевых атак на информационные системы банков. Это абсолютно новый вид мошенничества, к которому никто из финансовых организаций не был готов. Кибератакам уже подверглись десятки российских банков. Сильнее всего пострадали небольшие региональные игроки, в общем списке их больше двух десятков.
Коротко
Громкая массовая атака на десятки кредитных организаций произошла 15 марта 2016 года. Мошенники похитили 1,7 млрд руб. из российских банков и пытались вывести еще около 2,2 млрд руб. В июне МВД РФ совместно с ФСБ заявило о задержании порядка 50 хакеров из 15 регионов России. «Лаборатория Касперского» оказывала экспертную поддержку следственным органам в ходе расследования инцидента.
- Атаки на банки еще несколько лет назад были большой редкостью…
- А сейчас это уже практически массовое явление. Только у нас количество реагирования на инциденты в финансовой сфере за последние годы выросло раза в три. Нужно понимать, что не одни мы работаем с такими случаями: банк может решать проблемы своими силами, есть центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере FinCert, созданный при Центробанке. Мы не видим всей картины, но ощущаем небывалый ранее взрыв активности.
- Как хакерам удается взломать системы банков? Это ведь не так просто, как одурачить простого пользователя.
- Все эти истории примерно одинаковы. Развиваются они, как правило, по одному сценарию: сотрудник банка, который общается с клиентами, получает письмо от одного из них с просьбой перевести деньги с одного счета на другой. Подробности перевода обычно в приложении. После того, как приложение открывается, компьютер заражается. Злоумышленники начинают рыскать по сети, находить компьютер системного администратора и уже с него искать выход к системам по управлению денежными средствами. А дальше хакеры берут то, до чего первым добрались: банкоматы, межбанковская система, платежная система - неважно, что это будет.
- Какие сотрудники в банке слабое звено?
- Если основываться на статистике, то начинается все с людей, чьи адреса доступны публично. Пресс-служба, маркетинг, тот, кто часто мотается по командировкам, устраивает мероприятия, служба поддержки клиентов, персональные менеджеры. Публичные люди будут стадией «ноль» - с них все начнется. Второй этап - системные администраторы. А далее уже серверы, которые управляют финансовыми потоками.
- А про системных администраторов и не скажешь…
- Главная их беда в том, что люди это ленивые. Они используют специальные программы для удаленного доступа, чтобы не бегать по всем кабинетам, а со своего уютного, теплого и насиженного рабочего места решать беды всех сотрудников. Да, это помогает им сэкономить время. Но в то же самое время они делают свой компьютер целью номер один: злоумышленник, получив контроль над одним компьютером системного администратора, получает доступ ко всему - бухгалтерии, системе управления банкоматами и pos-терминалами, реестрами банковских счетов клиентов.
- Запретить админу использовать удаленный доступ и ограничить права сотрудников, чьи контакты есть в публичном доступе. Проблема решится?
- Глобально - не думаю. Мы видим, что киберпреступники тщательно продумывают сценарии атак, и человеческий фактор в их планах играет огромную роль. Вот вам другой пример.
15 марта десятки российских банков подверглись целевой атаке - рассылке вредоносных писем на электронные адреса сотрудников. Особенностью атаки стало то, что киберпреступники впервые выдавали себя за FinCERT - специальный отдел в структуре Центрального Банка РФ, созданный для информирования банков об инцидентах информационной безопасности в финансовой сфере.
Злоумышленники рассылали письма не наугад: они знали, кому пишут, и что именно этот сотрудник обычно получает письма от FinCERT. Каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю.
Открыв вложение к такому «важному» для безопасности письму, сотрудники запускали вредоносную программу, которая давала злоумышленникам доступ к базе данных.
Чтобы вам было проще понять - это что-то похожее на большую экселевскую таблицу, в которой есть две графы: фамилия, имя владельцев счетов и количество денег. Что делали хакеры? Они просто брали количество денег на своем счету и увеличивали. Пока банк сверит дебет с кредитом, пройдет несколько часов, за это время они успевали деньги снять.
Обнаружив такую нестыковку, банки начали сводить дебет с кредитом каждые полчаса, и,если что-то не совпадало, тут же блокировались счета с увеличенными лимитами. Злоумышленники на это посмотрели, и начали модифицировать другую колонку: выбирали счета с хорошей суммой остатка и меняли регистрационные данные. Приходили в банк и спокойно забирали деньги. Настоящий владелец счета мог только разводить руками, мол, где мои деньги. Доказать, что он на самом деле является владельцем счета, помогли только бумажки с печатями.
- Из-за массированных атак на банки и на клиентов с внушительными суммами на счету, в общественном сознании стал укореняться такой миф: я простой парень, кому нужны мои три копейки на зарплатной карточке? Все эти киберугрозы - не про меня.
- Это не так. Кроме таргетированных ударов по банкам, до сих активно проходят и массовые атаки на клиентов. А что такое массовая финансовая атака? Представьте себе большую парковку перед торговым центром. Выходит человек и дергает за ручки все подряд автомобили. Куда залез - все выгреб. Водитель этой машины может сколько угодно думать, что его старенькая «девятка» никому не нужна, что он и сам никому не нужен, да что у него там в бардачке можно найти?.. Но это массовая атака, и злоумышленнику все равно, в какую машину он залезет.
Не беспокоиться о своей безопасности в интернете, не думать о том, как защищен ваш смартфон, также глупо, как не запирать машину, когда уходите за покупками.
- Кстати, о смартфонах. Что происходит с атаками через мобильные устройства, насколько их количество выросло и какие технологии используют злоумышленники?
- Количество обычных вредоносных программ растет на 70% в год. Количество мобильных угроз примерно - в два раза. Так, во втором квартале 2016 года мы обнаружили в 1,7 раза больше мобильных зловредов, чем в первом квартале этого же года.
Смартфон - для злоумышленников стал более выгодной целью атаки, нежели обычный компьютер. И вот почему: на обычном компьютере нет мобильного счета, а тут есть. Вы можете на компьютере не заходить в интернет-банк, а на смартфоне мобильный банк, наверняка, имеется. На обычном компьютере, делая покупки в интернет-магазине, вы можете не вбивать номер кредитки, а в мобильном данные карты привязаны к аккаунту в магазине приложений. Вредоносные программы, которые попадают в телефон, опасны тем, что крадут деньги сразу из трех источников: со счета мобильного телефона, со счета привязанной карты и со всех счетов, к которым есть доступ в мобильном банке.
- Выходит, что все, что имеет доступ в интернет, потенциально несет и киберугрозу? Как в таком случае изменит наш мир интернет вещей?
- Смартфон - это прародитель всех идей в интернете вещей. Можешь брать систему Android и ставить ее куда угодно: в автомобиль, телевизор, холодильник. А значит, основная проблема для них будет таже, что сейчас существует для телефонов: производители не беспокоятся об их безопасности. В мире есть сотни компаний, которые производят телефоны, и каждая из них хочет сделать телефон с супер-камерой, с супер-звуком, супер-быстрый, супер-мощный.
Обновление устройств происходит очень быстро, а устаревшие модели остаются без поддержки и обновлений, с критическими уязвимостями. «Зачем? - рассуждают производители. - Пусть новые покупают». С интернетом вещей будет все то же самое. С одним исключением: если менять телефон раз в год-два еще можно себе позволить, то холодильник или автомобиль с бортовым компьютером каждый год новый не купишь. А критические уязвимости в операционной системе будут появляться. Но пока, что дальше будет, никого не волнует. У производителей другие бизнес-цели: сделать еще более крутой гаджет.
Я не исключаю, что когда-нибудь из-за кибератак техника начнет «сходить с ума»: кондиционер вдруг решит тебя заморозить и потребует денег, чтобы выключиться, автомобиль откажется ехать, потому что бортовой компьютер заблокирован, а за разблокировку хакеры просят денег… Не надо забывать и о том, что у вещей теперь есть доступ к деньгам. Телевизор может покупать фильмы, холодильник - продукты, робот-пылесос ничего не сможет купить, но сможет сделать снимки веб-камерой, а мошенники за частные фото будут требовать деньги. Способов много, злоумышленники будут брать то, до чего смогут быстрее добраться.
Сначала начнет размахивать тревожным флагом исследовательское сообщество, потом поднимется общественное мнение, вступят в дело регуляторы. В результате производители начнут заботиться о безопасности. Но это уже шаг номер два.
- Запуск национальной платежной системы сделает нашу банковскую среду более безопасной?
- Да. НСПК - дело хорошее, и с точки зрения контроля движения денежных средств наличие собственной платежной системы - это правильно. Но вопрос в том, как все будет устроено, какие системы антифрода будут использоваться, как быстро они будут работать, на какие параметры будут опираться, откуда в НСПК возьмут аналитику и статистику?
- Вас, как экспертов, привлекают к процессу?
- Нет. Это просто другая опера. Если случится какой-то вирусный инцидент, тогда привлекут вирусных аналитиков. А пока в нашей экспертизе нет необходимости.
- Какие опасности ждут банки в будущем?
- Мне сложно ответить на этот вопрос, но я попробую. Я вижу, как развивается банковская система в Европе, и могу предположить, что через 5 лет банковские офисы превратятся в пункты самообслуживания с компьютерами, планшетами и wi-fi. Все можно будет сделать через интернет. Самое главное на таком рынке - защитить центры обработки данных, облако. Потому что, однажды поимев доступ к такому облаку, злоумышленники смогут не просто управлять деньгами клиентов, а влиять на экономику страны, на курсы национальной валюты, просто оставить всю страну без денег. Совсем недавно хакеры чуть не увели из Центрального банка республики Бангладеш весь фонд национального благосостояния. Незаконные операции удалось выявить и приостановить, но злоумышленникам все-таки удалось похитить 100 млн долларов.
В начале 2016 года хакеры получили контроль над системой безопасности Центрального банка Республики Бангладеш. Захватив аккаунты сотрудников регулятора, киберпреступники сумели вывести со счетов ЦБ более $100 млн.