Это интересно

Биометрии не хватает мобильности. Криптографическая защита не помещается в смартфоны

Банки уже три месяца собирают биометрические данные граждан. Но, как выяснил “Ъ”, предоставление на их основе услуг с помощью мобильных устройств до сих пор невозможно. Проблема во многом заключается в действующих требованиях к уровню криптографической защиты. В ряде случаев их выполнить настолько трудно, что приходится искать компромисс в ущерб информбезопасности.

Как стало известно “Ъ”, серьезной проблемой предоставления услуг гражданам на основании ранее сданных биометрических данных стала ограниченная возможность использования мобильных устройств для верификации клиента. В первую очередь — из-за необходимости применения средств криптографической защиты.

Фото: Reuters

Сбор биометрических данных населения стартовал в банках в начале июля (см. “Ъ” от 2 июля). Сданные биометрические данные (образ лица и голос) направляются в единую биометрическую систему. В дальнейшем для получения банковской услуги человеку достаточно пройти авторизацию в единой системе идентификации и аутентификации и подтвердить свои данные с помощью смартфона, планшета, ноутбука или компьютера с камерой и микрофоном.

Мобильное приложение, которое будет устанавливать клиент на своих гаджетах для верификации и получения дистанционных банковских услуг, сейчас разрабатывает «Ростелеком». Его представление предварительно планируется на середину октября. Однако с размещением этого приложения в PlayMarket и AppStore возникли проблемы.

«Приложение защищено криптографией, то есть Apple и Google должны дать согласие на внедрение черного ящика в свои магазины приложений,— поясняет “Ъ” эксперт, близкий к "Ростелекому".— И если от Google такое согласие получено, то с Apple переговоры все еще ведутся».

Факт переговоров подтвердил “Ъ” и заместитель главы департамента информационной безопасности ЦБ Артем Сычев.

В Apple не ответили на запрос “Ъ”. В «Ростелекоме» от комментариев отказались. Но если переговоры с Apple не увенчаются успехом, то счастливые обладатели айфонов не смогут пройти верификацию через мобильные устройства и будут вынуждены при обращении в банки делать это только с компьютера или планшета через веб-приложение.

Впрочем, остаются и другие сложности с использованием биометрии. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, срок сертификации средств шифрования в ФСБ обычно длиннее времени жизни пользовательского и банковского ПО. Такое несовпадение по времени приводит либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением. В данном случае обновление версий операционных систем потребует оперативной пересертификации программы в ФСБ. Артем Сычев заверил “Ъ”, что проблемы не возникнет. Однако сейчас сертификация занимает не менее года.

Проблемы порождают и разночтения в нормативных документах. По словам Алексея Лукацкого, есть установленные нормативными документами требования ФСБ для средств криптографической защиты (СКЗИ), которые непросто выполнить на платформах Macbook, iOS и т. п. «В соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы (а такая возможность есть для Linux и Android), на которой будет запускаться биометрическое ПО, сертификация возможно только по классу КА, что невозможно выполнить»,— отмечает господин Лукацкий. Однако Банк России в указании 4859-У, определяя перечень угроз при работе с биометрическими данными, счел достаточным более низкий уровень защищенности — КС1. Еще один нормативный документ ФСБ, по словам экспертов, требует поэкземплярного учета СКЗИ. «Однако при скачивании приложения для верификации с мобильных телефонов обеспечить поэкземплярный учет невозможно, как и невозможно обеспечить СКЗИ класса выше КС1 на мобильном устройстве»,— отметил директор по управлению рисками Почта-банка Святослав Емельянов.

По словам правозащитников, подобный подход явно ущемляет права банковских клиентов. «Когда человек сдает биометрию, он рассчитывает с ее помощью оперативно получать доступ к банковским услугам,— рассуждает руководитель проекта ОНФ "За права заемщиков" Виктор Климов.— И о том, что приложение не будет функционировать на его телефоне, он должен быть проинформирован в момент сдачи биометрии, а не постфактум». Так же как он должен быть заранее и подробно проинформирован о рисках, в том числе — получения доступа злоумышленников к его биометрическим данным, резюмировал он.

 

Вероника Горячева

Опубликовано 28 сентября 2018 года в газете "Коммерсантъ" №177
Подробнее...
Источник: https://www.kommersant.ru/doc/3753577

Взять кредит и жениться можно будет по смартфону

Российские разработчики программного обеспечения для электронного документооборота нашли способ «привязать» цифровую подпись гражданина к его смартфону. 

Программно-аппаратный комплекс «КриптоПро DSS» с модулем аутентификации myDSS недавно был сертифицирован Федеральной службой безопасности. В результате долгожданного прорыва в России впервые появилась легальная технология электронного документооборота с помощью мобильного приложения на смартфоне. 

В интервью Федеральному агентству новостей авторы разработки сообщили о том, что первые юридически значимые электронные операции с использованием мобильного телефона запланированы уже на этот месяц.

ФСБ подтверждает надежность

«Раньше в России не было, по сути, ни одного способа легально наложить электронную цифровую подпись при помощи смартфона, — рассказал корреспонденту ФАН генеральный директор компании-разработчика SafeTech Денис Калемберг. — Средство подписи должно было быть сертифицировано ФСБ, которая далеко не сразу выдала сертификат: было много требований к безопасности технологии. В конечном итоге, мы выполнили все требования и получили сертификат. Это первое подобное решение в России».

Технология криптографического преобразования электронного документа с использованием так называемого «ключа электронной подписи» начала применяться в России еще в 1990-е годы. В 2000-х были предприняты попытки популяризировать ее под эгидой развития электронного правительства. Однако за прошедшие годы это решение так и не стало массовым, поскольку требовало сложной и дорогостоящей установки специального ПО на компьютер и получения криптографического «ключа» (токена).

Денис Калемберг

«Рынок электронного документооборота у юридических лиц довольно неплохо развит, в том числе взаимодействие с госструктурами, тендерные площадки, активно используется дистанционный банкинг, — поясняет Калемберг. — Если же говорить про попытки применения квалифицированной электронной подписи в массовых проектах, то есть ориентированных на население, например, госуслуги для граждан, то это натыкалось на огромную сложность в масштабировании, потому что очень дорого. Ну, и как вы какой-нибудь бабушке объясните, как устанавливать программное обеспечение, настраивать его, генерировать ключи?»

Авторы технологии, получившей официальное одобрение ФСБ, взяли за основу идею размещения криптографического ключа для электронной цифровой подписи в так называемом «облачном» хранилище, реализованную одним из основных игроков рынка криптографии в России — компанией «КриптоПро». «Облако» позволяло избавиться от трудностей с установкой и настройкой программного обеспечения у пользователя, но не решало вопроса безопасности электронного документа до момента его передачи на сервер подписи.

Вопрос о том, как подтвердить, что электронный документ отправлен на подпись в облачное хранилище именно законным владельцем ключа подписи, оставался открытым. Тогда была разработана технология подтверждения личности владельца цифровой подписи с помощью смартфона.

«Для начала работы клиент приходит в удостоверяющий центр, который подтверждает его личность, затем скачивает приложение, сканирует QR-код, и с этого момента у него есть персонализированное средство подписи в смартфоне», — объясняет генеральный директор SafeTech.

Пользователь создает какой-то документ или электронную операцию — без разницы — и нажимает кнопку «Подписать». У него в смартфоне появляется этот документ: он его может увеличить, рассмотреть, если это договор, он все страницы договора увидит и проверит, что это действительно тот документ, который он хочет подписать, и нажимает «Подтвердить».

После этого незаметно для клиента происходят криптографические преобразования, в которых участвуют ключ клиента, который хранится в зашифрованном виде на смартфоне, сам документ, отпечаток смартфона и время. Можно даже проконтролировать место, где сделана подпись…

«Приложение собирает большое количество параметров, чтобы максимально защитить операцию, чтобы никто не мог, условно, сделать дубликат телефона, перевести на другой и с него запустить. Этого не получится — не будет работать», — добавляет собеседник ФАН.

Решение вопросов информационной безопасности, по словам авторов программно-аппаратного комплекса, отняло больше всего времени. Именно достаточный уровень защиты данных был главным условием выдачи сертификата в ФСБ.

«Ни одна из попыток взломать приложение не удалась, даже с учетом того, что мы передавали его исходные коды — а у хакера нет исходных кодов. Мы передавали эти коды и людям, которые профессионально этим занимаются, но взломать не удалось, — рассказывает Денис Калемберг. — При этом в нашей сфере нельзя никогда говорить о том, что какое-то решение обеспечивает стопроцентную безопасность, нет даже понятия такого».

Однако можно с высокой долей уверенности говорить о том, что эта технология обеспечит не меньший, а то и больший уровень безопасности, чем нынешние способы работы с электронной подписью, добавляет разработчик.

Федеральное агентство новостей / Скриншоты программы

Мнения экспертов

Между тем, основатель научной школы «Электронная криминалистика», доктор юридических наук и эксперт по информационной безопасности Виталий Вехов прогнозирует всплеск числа жалоб к создателям программы, как минимум, в первые полгода. По его мнению, массовое использование приложения может проявить недочеты, которые сейчас незаметны.

«Как всякая технология, это палка о двух концах: всплеск жалоб на первом этапе будет, полностью защищенных технологий нет и быть не может. Но, тем не менее, на данный момент это намного лучше, чем то, что у нас существует, — считает эксперт. — У нас такая же проблема была с сервисом 900, когда мы привязывали карточку к номеру телефона и по номеру 900 Сбербанка могли совершать определенные лимитированные платежи на карты клиентов Сбербанка, на сим-карты».

Это очень удобная технология, и сейчас все это уже поняли, добавляет Вехов. Но в течение первого полугода, когда она только вводилась, были массовые хищения денежных средств, пока эта технология не была доработана с подачи специалистов, напоминает он.

Несмотря на настороженное отношение специалистов по IT-безопасности и юристов, авторы программно-аппаратного комплекса не успевают обрабатывать запросы от заинтересованных в подобном софте госструктур и фирм. Ожидается, что участниками самых первых электронных операций на смартфонах станут клиенты банков и пользователи мобильного банкинга.

«Сейчас очень много идет запросов по так называемым банковским маркетплейсам, — утверждает Калемберг. — Это те ситуации, когда банк хочет продать клиенту какую-то услугу по взаимодействию с государственными структурами: например, через банк зарегистрировать патент или право собственности на программное обеспечение».

pixabay.com/PD / Безопасность — главный приоритет

Многие не очень любят ходить по кабинетам, собирать кучу бумаг, поясняет директор SafeTech.

«А так банк выводит у себя в системе мобильного банкинга или интернет-банкинга красивый интерфейс, в котором надо нажать кнопку «Зарегистрировать юрлицо», и сразу куча информации заполнится автоматически, — добавляет разработчик. — Ввести останется только, например, название юрлица и владельца, после чего загрузить устав и нажать кнопку «Отправить».

В компании не называют своих потенциальных клиентов. Однако ФАН стал известен банк, который одним из первых предложит своим клиентам услуги электронного документооборота в смартфоне. Извещение о закупке программно-аппаратного комплекса размещено в разделе закупочных процедур на официальном сайте Сбербанка России.

На вопрос о возможности воспользоваться подобной услугой консультанты офиса, который посетил корреспондент ФАН в качестве обычного клиента, уверенно отвечают: «Возможно», — но со сроками ясности нет: скорее всего, не раньше 2019 года.

По словам специалиста Сбербанка, подобные сервисы внедрят сразу несколько банков. Это подтверждают и сами авторы комплекса. Среди потенциальных клиентов — финансовые и страховые компании, площадки электронной торговли и электронного документооборота, корпоративные клиенты и государственные структуры, заинтересованные в предоставлении гражданам госуслуг в наиболее комфортном для него виде.

Отмечается, что в перспективе с помощью смартфона можно будет оформить право собственности на квартиру или патент на изобретение, взять ипотеку, сдать налоговую декларацию и даже зарегистрировать брак, не выходя из дома.

«Есть вещи, которые не менялись с момента появления первых государств, например печати и подписи для заверения подлинности документа. Для цифровой экономики подобные анахронизмы являются неприемлемыми, — считает директор центра компетенций Fintech&Blockchain фонда «Сколково» Павел Новиков. — Технология PayControl от нашего резидента SafeTech наконец-то позволит сделать процесс подписи любого документа или транзакции максимально безопасным и удобным. Например, зарегистрировать брак или поставить на учет летающий автомобиль можно будет прямо в смартфоне».

В управлении ЗАГС города Москвы такой вариант исключать не стали, однако уточнили, что с 1 октября 2018 года будет осуществлен переход органов ЗАГС России на работу в Федеральной государственной информационной системе «Единый государственный реестр записей актов гражданского состояния» (ФГИС ЕГР ЗАГС), оператором которой станет Федеральная налоговая служба. Подключенный к ней комплекс электронной цифровой подписи с модулем аутентификации сможет заменить смартфоном функции нескольких десятков специалистов как органов ЗАГС, так и ФНС.

По словам авторов комплекса, решение может быть развернуто как полностью в инфраструктуре компании-заказчика, так и на мощностях сервис-провайдера, став при этом платформой для оказания высокодоступных и юридически значимых сервисов.

 

Анна Клименко

Опубликовано 17 сентября 2018 года на сайте Федерального агентства новостей (Riafan.ru) 
Подробнее...
Источник: https://riafan.ru/1099457-vzyat-kredit-i-zhenitsya-mozhno-budet-po-smart...

 

Банки оценили биометрию. Многим она оказалась не по карману

Определен перечень «базовых элементов», необходимых банку для сбора биометрических данных и передачи их в Единую биометрическую систему (ЕБС). Минимальные затраты на подключение банка с одним отделением составят около 4 млн руб., каждое новое отделение требует еще 130 тыс. руб. Избежать расходов не удастся — к концу 2019 года сбор биометрии должен быть обеспечен во всех отделениях всех банков. Но учитывая, что многие игроки почти не работают с населением, предлагается освободить их от этой обязанности.

На прошлой неделе в «Ростелекоме» прошло закрытое совещание, посвященное выполнению банками требований информационной безопасности при сборе биометрических данных у населения и отправке их в ЕБС. Как рассказали источники “Ъ”, в совещании приняли участие представители 20 крупнейших банков, ЦБ, «Ростелекома» и ФСБ. Участникам рынка изложили требования к аппаратно-программному комплексу банков: серверу (HSM-модуль), операционной системе, средству подписи снимаемой биометрии. Кроме того, указали на необходимость наличия у банка антивируса, межсетевого экрана, системы обнаружения угроз.

Рисунок: Виктор Чумачев / Коммерсантъ

В результате, по словам участников встречи, точно определен перечень «базовых элементов», необходимых для подключения к ЕБС, и можно рассчитать минимальную стоимость сбора данных. По оценкам главы «Айтуби» Ильи Тарасова, цена подключения банка с одним отделением — от 3 млн руб., где половина — расходы на киберзащиту (один HSM-модуль стоит 1,5 млн руб.), остальное — на оборудование для снятия данных и направления их в ЕБС. За каждое следующее отделение придется доплатить 130 тыс. руб., из которых 30 тыс. руб. это средства защиты, 60 тыс. руб.— оборудование для снятия биометрии на одно рабочее место, 40 тыс. руб.— компьютер сотрудника.

Кроме того, при подключении за работы по настройке оборудования, аттестацию системы ЕБС, разработку модели угроз и модели нарушений, а также за годовое обслуживание потребуется заплатить еще около 1,2 млн руб. Единожды подключившись к ЕБС, банки должны будут тратить по 800 тыс. руб. на обслуживание в год Избежать расходов не удастся: к 1 января 2019 года подключиться к ЕБС должно 20% отделений кредитных организаций, к 1 июля 2019 года — 60%, к концу 2019 года сбор биометрических данных должен происходить во всех отделениях всех банков.

Сейчас, по данным ЦБ, в России 476 банков (из них 39 в принципе не работают с населением), собирают и передают данные лишь 50 игроков. Как говорили “Ъ” в «Ростелекоме», на 2 августа в системе были данные 1,2 тыс. человек. Но многие банки сконцентрированы на обслуживании корпоративных клиентов, и поток граждан, желающих в их отделениях сдать биометрические данные или же получить услуги с их помощью, будет минимальным. «Мы работаем только с корпоративными клиентами, единственный офис находится рядом с отделением банка из топ-10,— рассказывает “Ъ” топ-менеджер небольшого банка.— Очевидно, что для нас расходы на подключение к ЕБС — деньги на ветер, тем более что придется также выделять и оборудовать помещение для сбора биометрии, нанимать отдельного сотрудника».

По словам главы Национального совета финансового рынка (НСФР) Андрея Емелина, исходно, когда только велась работа над соответствующим законопроектом, предполагалось, что собирать биометрию будут не все банки, и эту идею поддерживал ЦБ. «Но действующая редакция закона не содержит исключений, и это в корне неверно»,— отметил он. Теперь НСФР намерен обратиться в Госдуму с предложением внести поправки. Например, поясняет господин Емелин, для тех игроков, кто ориентирован на бизнес или на ипотеку, где услуги на основании биометрических данных не будут предоставляться, а также для тех отделений, где нет технической возможности осуществлять сбор биометрии, например из-за качества интернета и так далее. Внести изменения необходимо оперативно — в осеннюю сессию, подчеркнул он. Глава комитета Госдумы по финансовому рынку Анатолий Аксаков также считает нужным проработать вопрос и при необходимости инициировать внесение поправок к законодательству. Но далеко не последнее слово остается за ЦБ. Однако там пока комментируют ситуацию исключительно в рамках действующего законодательства. В пресс-службе Банка России подчеркнули, что сбор биометрии является обязательным для всех банков, соответствующих установленным законом критериям. К банкам, не выполняющим требование закона о переходе 20% отделений на сбор биометрии к 1 января 2019 года, будут применяться меры, предусмотренные статьей 74 закона о ЦБ. Функция по надзору за сбором биометрии закреплена за ЦБ.

 

Вероника Горячева

Опубликовано 3 сентября 2018 года в газете "Коммерсантъ" №158
Подробнее...
Источник: https://www.kommersant.ru/doc/3731093

 

Хакеры сводят дебет с кредитом. Для хищения средств они создают сайты для бухгалтеров

Тренд смещения интересов хакеров с банков на их клиентов порождает новые идеи для поиска жертв. Group-IB сообщила о выявлении группы из пяти полноценных бухгалтерских сайтов, созданных специально для хищения средств через систему «банк—клиент». По оценкам экспертов, подобный профильный «контент» потенциально может приносить злоумышленникам до 1,2 млн руб. в день. И пока банки с трудом могут защитить клиентов.

Group-IB сообщила о выявлении и блокировке сети из пяти бухгалтерских сайтов, целью создания которых было заражение посетителей банковскими троянами Buhtrap и RTM. Жертвами атак стали бухгалтеры, юристы и другие специалисты, работающие с системами дистанционного банковского обслуживания (ДБО). По оценке Group-IB, три ресурса, появившиеся в апреле, уже посетило не менее 200 тыс. человек.

Фото: Виктор Коротаев / Коммерсантъ

Схема была раскрыта после попытки загрузки вредоноса в одном из российских банков. В ходе расследования установили, что троян загружался с профильного бухгалтерского ресурса buh-docum.ru, содержащего сотни специализированных документов для бухгалтеров. Ресурс регулярно появлялся в топе поисковой выдачи по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.).

Заражение происходило при скачивании документа. Сначала компьютер жертвы «обследовался» на предмет доступа с него к ДБО, и при подтверждении сервер отдавал команду на загрузку троянов.

По оценке Group-IB, каждая успешная атака ежедневно приносила злоумышленникам в среднем 1,2 млн руб.

Эксперты отмечают, что в данном случае злоумышленники отошли от прежних схем — взлом легального бухгалтерского сайта (см. “Ъ” от 25 августа 2017 года) или создание его клона. Дело в том, что при заражении легально работающего сайта вредонос может выявить его владелец. В результате теперь были созданы полноценные ресурсы с сотнями полезных документов. А как отмечает партнер Energy Consulting Юлия Гладышева, «если бухгалтеру нужен конкретный документ, которого нигде нет, он зайдет на любой сайт, любой форум для получения информации». При этом, по словам главного редактора «Клерк.ру» Марины Снеговской, попасть в топ запросов поисковика довольно просто, зная механизмы поисковой оптимизации.

По данным Positive Technologies, использование вредоносного программного обеспечения входит в число самых распространенных методов атак (63% всех атак, по статистике за первый квартал 2018 года), причем до 31% всех заражений вредоносным ПО происходит во время посещения зараженного сайта. При этом защищаться от вредоноса в подобных ситуациях должна в первую очередь сама организация.

По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, необходимо внедрять эшелонированную систему защиты и концентрироваться на создании процесса мониторинга событий ИБ на критических узлах. В частности, необходимо контролировать безопасность компьютеров, на которых обрабатывается критическая для организации информация, включая финансовые трансакции.

Банкам же в данном случае крайне сложно защитить своего клиента от хищений. «Мы не можем проконтролировать, посещает ли бухгалтер, на компьютере которого стоит ДБО, сомнительные сайты, скачивал ли он файлы с незнакомых ресурсов, есть ли у него антивирус»,— отмечает начальник управления информационной безопасности Златкомбанка Александр Виноградов. Как заявили в Сбербанке, продукты банка изначально были спроектированы с учетом данной угрозы. Таким образом, даже если на ПК бухгалтера будет установлен вирус, в том числе данного типа, средства клиентов будут защищены.

Герман Греф, глава Сбербанка, 6 июля 2018 года на Международном конгрессе по кибербезопасности: "Мы как банк часто гордимся тем, что нас — Сбербанк — ни разу не взломали. А давайте поговорим о клиентах Сбербанка? Так ли защищены клиенты Сбербанка, как мы? Честный ответ — наши клиенты не защищены".

Впрочем, с 1 января 2020 года вступают в силу поправки к нормативным документам ЦБ, которые потребуют от банка при невозможности обеспечить защиту от воздействия вредоносного кода разделять технологии по формированию платежного документа и по его подтверждению. В частности, в случае с корпоративными клиентами, по словам консультанта по безопасности Cisco Алексея Лукацкого, один компьютер будет готовить платежку, а с другого она будет отправляться в банк. Как надеются в ЦБ, эта мера существенно осложнит задачу злоумышленников.

 

Вероника Горячева

Опубликовано 30 июля 2018 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3700116

CERT Group-IB: обнаружена сеть фальшивых бухгалтерских сайтов, «заразивших» около 200 тыс. пользователей

Group-IB, ведущая международная компания по предотвращению и расследованию киберпреступлений, обнаружила сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM, нацеленными на атаку юридических лиц. Три ресурса, появившихся в апреле этого года, уже успели посетить, как минимум, 200 000 человек. Жертвами таргетированной атаки хакеров стали финансовые директоры, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. На данный момент, как минимум, один ресурс продолжает работу.

Новая преступная схема была раскрыта после того, как Центр реагирования на инциденты информационной безопасности Group-IB (CERT-GIB) зафиксировал попытку загрузки вредоносной программы в одном из российских банков. В ходе расследования инцидента обнаружилась, что троян был «подсажен» с профильного бухгалтерского ресурса buh-docum[.]ru, содержащего подборку специализированных документов — бланков, контрактов, счетов-фактуры и документов налогового учета.

Анализ сайта buh-docum[.]ru показал, что он был изначально зарегистрирован и заполнен профильным контентом (сайт содержал сотни различных финансовых документов) как приманка для определенной категории посетителей с целью инфицирования их компьютеров. Тематически таргетированный ресурс был направлен на финансовых директоров, главных бухгалтеров, юристов, то есть на тех, кто владеет правами доступа к управлению счетами организаций. Именно благодаря своему профилю деятельности они, как правило, чаще других становятся мишенями хакерских атак.

При скачивании документов с сайта происходила загрузка, а затем запуск троянской программы, созданной хакерской группой Buhtrap (в 2016 году исходный код вируса появился на хакерских форумах). Загрузчик собирал информацию о компьютере, проверял историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных системах. Особый интерес операторы трояна проявляли к криптовалютным системам. Поиск осуществлялся по списку, состоящему из более чем 400 ключевых поисковых запросов (так называемых «ключевиков»):

Если программа обнаруживала один из таких «ключевиков», сервер отдавал команду на загрузку троянов Buhtrap или RTM, нацеленных на атаку на юридических лиц, кражу денег в системах ДБО и из различных платежных систем.

Исследуя сайт buh-docum[.]ru, сотрудники CERT Group-IB обнаружили связанные между собой ресурсы-близнецы, практически не отличающиеся контентом. Сеть фальшивых бухгалтерских сайтов насчитывала, как минимум, пять ресурсов, объединенных общей задачей: распространение вредоносных программ при скачивании бухгалтерских бланков и счетов.

Среди таких ресурсов специалисты Group-IB выявили:

buh-docum[.]ru,
patrolpolice[.]org.ua,
buh-blanks[.]ru,
buh-doc[.]online,
nbsp;buh-doc[.]info.

Два домена были зарегистрированы еще в сентябре 2017 года, остальные работали всего несколько месяцев. Посетителями каждого из сайтов за это время стало 200 тыс. потенциальных жертв. Ресурсы регулярно появлялись в топе поисковой выдачи по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.). Общий объем посещаемости по всем ресурсам фальшивой бухгалтерской сети на данный момент не установлен: это сотни тысяч пользователей.

По оценке Group-IB, данной в отчете «Hi-Tech Crime Trends 2017», каждая такая атака ежедневно приносит злоумышленниками, в среднем до 1,2 млн рублей. На данный момент большинство фальшивых бухгалтерских сайтов заблокированы либо находятся в процессе блокировки.

 


Ярослав Каргалев, заместитель руководителя CERT Group-IB:

Тактика атакующих изменилась: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов, на которых злоумышленники размещали код, предназначенный для загрузки троянов. В итоге невнимательность одного сотрудника компании может привести к серьезным потерям для всего бизнеса: по нашим данным ежедневно происходит минимум по 2 успешных атаки на компании с использованием вредоносных программ для ПК, в результате которых в среднем злоумышленники похищают 1,2 млн рублей. Кроме того, мы не исключаем, что таких ресурсов могло быть больше.


 

Для того чтобы компаниям не стать жертвой киберпреступников, эксперты Group-IB рекомендуют правильно выстраивать систему проактивной защиты, исходя из актуальных киберугроз — необходимо использовать системы раннего предупреждения и детектирования атак в корпоративной сети, решения для поведенческого анализа файлов в безопасной среде (класса «песочница»). Компьютеры, которые работают с бухгалтерскими и банковскими системами, должны быть изолированы, а доступ во внешнюю сеть должен быть разрешен только по «белым спискам» (White lists). Нужно внедрять системы защиты основных узлов и компьютерных систем, своевременно обновлять ПО — операционные системы, приложения, браузеры. Именно через уязвимости в браузере происходит заражение программой Buhtrap. Кроме того сотрудники, попадающие в «группу риска» — бухгалтеры, системные администраторы, секретари в обязательном порядке должны проходить тренинги по информационной безопасности, а всю IT-инфраструктуру компании два раза в год необходимо проверять в ходе «боевых учений». Иначе цена их ошибки может быть очень высока.

 

Опубликовано 27 июля 2018 года на сайте компании Group-IB

Подробнее...

Источник: https://www.group-ib.ru/media/cert-2

 

 

Страницы