Это интересно

Троянская конница. Хакерские рассылки разлетаются из банков по клиентам

В 2019 году хакеры будут активно использовать реализованную в конце 2018 году схему, когда взлом одного банка позволяет успешно атаковать его контрагентов, отмечают в Solar JSOC. При этом хакеры унифицируют свои инструменты — уже сейчас банки и их контрагенты атакуются при помощи единых фишинговых рассылок с одинаковыми вирусами. В банках разделяют данные опасения, отмечая, что теперь им придется тщательно защищать всю сеть своих коммуникаций.

Фото: Евгений Павленко / Коммерсантъ

Прогноз экспертов по информационной безопасности на 2019 год неутешительный. Директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков отмечает, что рост количества атак на компании в этом году сохранится. «Высока вероятность возникновения атак, подобных тем, что производились в отношении некоторых платежных систем в 2018 году»,— отметил господин Дрюков. В конце прошлого года был громкий инцидент, когда злоумышленникам удалось взломать банк «Юнистрим», получить контроль над его почтовым сервером, и в итоге вредоносные рассылки от его имени пошли по контрагентам банка. Для отдельных игроков подобные «дружественные» письма обернулись хищением денежных средств (см. “Ъ” от 21 декабря 2018 года). Те же опасения высказал и директор экспертного центра безопасности Positive Technologies Алексей Новиков. «Мы прогнозируем, что в этом году злоумышленники продолжат атаковать слабо защищенные компании для проведения атаки на конечную цель, в зоне риска находятся компании из тех областей, где уровень защищенности пока не очень высок: сфера услуг, образование, медицина или розничная торговля»,— отметил он.


В 2018 году на 19% возросло количество критичных инцидентов, в том числе и тех, что позволяют похитить более 1 млн руб. Это самый высокий показатель начиная с 2015 года, отмечается в аналитическом отчете Solar JSOC.


По словам Алексея Новикова, рост критичных инцидентов коррелирует с общим ростом атак. По итогам прошлого года их число увеличилось почти на треть, при этом доля целенаправленных атак в общем объеме превысила половину, что очень отличается от реалий последних лет.

При этом в 2018 году, как отмечается в отчете Solar JSOC, хакеры при атаках на корпоративных клиентов использовали те же средства, что и при атаках на кредитные организации.


"Хакеры не менее опасны, чем вооруженные преступники", - Герман Греф, глава Сбербанка, на Международном конгрессе по кибербезопасности 6 июля 2018 года.


Одинаковые фишинговые письма с вредоносом выявляли в банках, энергетических и промышленных предприятиях. Всего же при сложных целевых атаках на компании фишинг использовался в 70% случаев, тогда как в 2017 году — лишь в 54% случаях. «Банки традиционно более защищены — их чаще атакуют, и потому у них выше готовность к попыткам взлома, плюс есть достаточно жесткие требования регулятора,— отмечает руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.— Другие компании в среднем защищены слабее, и потому эффективность тех же фишинговых рассылок может быть выше в небанковской сфере».

Тренд единых атак на банки и их клиентов активно начал проявляться во втором полугодии 2018 года. Именно в этот период, отмечается в отчете, сменился «лидер» среди вредоносов для фишинговых рассылок — «корпоративный» троян Dimnie уступил место банковскому трояну RTM. Единый подход, судя по цифрам, уже принес свои плоды. Так, в 2018 году компании были атакованы на 89% чаще, чем в 2017 году, причем во втором полугодии отмечался резкий рост атак с целью хищения денежных средств (на 37% по сравнению с первым полугодием). По данным ФинЦЕРТ ЦБ, из 6,15 тыс. несанкционированных трансакций, зафиксированных в целом за 2018 год, 5,7 тыс. операций пришлось на второе полугодие, причем 4,8 тыс. из них — на четвертый квартал. При этом, по данным Solar JSOC, во втором полугодии хакеры атаковали компании не только для вывода у них средств — на 20% также возросли атаки, направленные на получение контроля над инфраструктурой жертвы.


Эксперты не исключают, что при атаках на компании конечной целью может быть именно банк.


«Вероятен взлом контрагента банка с целью далее атаковать кредитную организацию»,— отмечает Лука Сафонов. И кредитные организации весьма опасаются таких перспектив. «Банки неплохо защищены против традиционных атак, потому злоумышленникам приходится использовать доверенные источники доставки вредоноса: подрядчиков, деловых партнеров,— отмечает глава департамента информационной безопасности ОТП-банка Сергей Чернокозинский. — Вектор атак, скорее всего, действительно пойдет через доверенных контрагентов, и потому банкам придется защищать всю сеть своих коммуникаций».

 

Вероника Горячева

Опубликовано 25 апреля 2019 года в газете "Коммерсантъ" №74
Подробнее...
Источник: https://www.kommersant.ru/doc/3954826

 

 

Корпоративные клиенты оказались под угрозой. Хакеры стали активнее атаковать клиентов банков

Рост атак на корпоративных клиентов банков в 2018 году составил 89%, отмечается в аналитическом отчете Solar JSOC. При этом в исследовании указывается, что особенно активизировались злоумышленники во втором полугодии — число направленных на хищение средств атак выросло по сравнению с первой половиной года на 38%.

Фото: Mauritz Antin / EPA / Vostock Photo

Количество атак на корпоративных клиентов банков, целью которых был взлом инфраструктуры банка и хищение средств клиентов через банк-клиент выросло во втором полугодии 2018 года по сравнению с первым полугодием на 38%, отмечают в своем аналитическом отчете специалисты Solar JSOC.


Всего же экспертами было зафиксировано свыше 765 тыс. компьютерных атак в прошлом году, что на 89% больше, чем годом ранее.


При этом доля критических инцидентов (то есть тех, благодаря которым компания могла потерять от 1 млн руб.), которые могли привести (или приводили) к выводу средств, выросла до 19%. То есть достигла самого высокого значения с 2015 года.

При атаках на клиентов банков, как и на сами кредитные организации, часто использовался фишинг. По данным Solar JSOC, около 70% сложных целенаправленных атак начинается с фишинга. В среднем каждый седьмой пользователь, не прошедший курсы повышения осведомленности, поддавался на социальную инженерию.

Во второй половине 2018 года количество атак, направленных на получение контроля над инфраструктурой, выросло на 20%.

 

Вероника Горячева

Опубликовано 24 апреля 2019 года на сайте "Коммерсантъ"
Подробнее...
Источник: https://www.kommersant.ru/doc/3954493

Мошенники оборвали банкам телефон. Звонки клиентам с подмененных номеров стали массовыми

Резкий рост мошеннических звонков клиентам якобы от банков с использованием технологии подмены номера зафиксировал ряд крупных кредитных организаций. У отдельных банков активность мошенников возросла в десятки раз. В банках указывают, что операторы связи недостаточно эффективно выявляют и блокируют подобные схемы. На данный момент решение проблемы вышло на уровень ЦБ, который намерен бороться с подменными номерами всеобщими усилиями.

Рисунок: Виктор Чумачев / Коммерсантъ

О том, что на прошлой неделе резко активизировались мошенники, звонящие с телефонов кредитных организаций (звонки с подменой номера) клиентам, рассказали “Ъ” несколько источников в крупных банках. Для клиента это выглядит как звонок банка: входящий номер принадлежит кредитной организации, представитель которой сообщает о попытке несанкционированной операции, далее выманиваются данные карты, происходит хищение. В январе подобным атакам, причем с использованием сложнейшей социальной инженерии, подверглись клиенты Сбербанка (см. “Ъ” от 30 января). «Если ранее у нас было одно-два сообщения в колл-центр о мошеннических звонках, то буквально с 18 февраля их количество возросло в десятки раз»,— отметил собеседник “Ъ”. «Мы видим явную активизацию злоумышленников начиная с середины недели»,— отметили в другом крупном банке. При этом, по словам другого собеседника “Ъ”, мошеннические звонки поступают не только клиентам, но и в колл-центры банков с подменой номеров клиентов. «Если система пропускает такой звонок, то злоумышленник может узнать баланс по карте, последние операции и т. д., чтобы использовать эти данные для более убедительной социальной инженерии, делая ее более эффективной»,— добавляет он.

Официальные предостережения об участившихся случаях мошенничества с запросами от имени банка для своих клиентов сделали Юникредит-банк и Райффайзенбанк. «Мы фиксируем определенный рост активности мошенников,— отметил руководитель отдела информационной безопасности Райффайзенбанка Денис Камзеев.— Мы даем клиентам рекомендации по безопасному использованию наших сервисов… и регулярно делаем рассылки, если появляется необходимость, информируем клиентов дополнительно».

В Банке России сообщили “Ъ”, что в курсе активизации мошенничеств с использованием технологии подмены номера. Решение проблемы требует как технической, так и юридической проработки, сейчас регулятор ведет консультации с банками, а также планирует привлечь к обсуждению операторов связи и Минкомсвязь, уточнили там.


"Проблема понятна, она на самом деле гораздо глубже, чем такой поверхностный взгляд, что надо взять и запретить... Это очень сложная работа с операторами связи и профильными министерствами". - Артем Сычев, замдиректора департамента информационной безопасности ЦБ, 19 февраля.


Проблема мошеннических атак на клиентов банков с подменных номеров обсуждалась и на Уральском форуме. В ходе круглого стола представители Сбербанка, ВТБ и банка «Санкт-Петербург» отметили, что их банки столкнулись с данной проблемой. Глава департамента информбезопасности банка «Санкт-Петербург» Анатолий Скородумов отметил, что операторам связи необходимо блокировать подобные звонки с подменой номера. В ходе дискуссии отмечалось, что подобные проблемы есть у «Билайна» и МТС, имеющей также наземную и мобильную связь, участниками было отмечено отсутствие подобных кейсов по «МегаФону».

Директор дирекции по информационной безопасности ПАО «Вымпелком» (бренд «Билайн») Александр Голубев сообщил, что проблема вызова, инициированного в их сети с подстановкой номера, существует. В настоящее время решение этой задачи происходит в ручном режиме, им занимаются коллеги специализированного подразделения компании.

Глава ФинЦЕРТ (подразделение ЦБ, отвечает за кибербезопасность) Артем Калашников отметил, что данную проблему необходимо решать общими усилиями. По его словам, технические ресурсы есть у операторов связи, у правоохранительных органов, у ЦБ.

«Недостаточно бороться с проблемой подмены номеров в ручном режиме — надо технически объединить усилия,— считает господин Калашников.— Тут главное — скорость реакции: банк видит проблему, сообщает в АСОИ (автоматизированная система обмена информацией), дальше оператору, но если сейчас оператор после "принято в работу" может тянуть неделю, то тут и операторы связи должны действовать оперативно».

Впрочем, вне закрытых встреч с участниками рынка и представителями ЦБ операторы связи предпочитают отрицать наличие проблемы. Например, в ответе на запрос “Ъ” в МТС сообщили, что в сети компании создание подменных номеров невозможно, в случае же внешних угроз попытки оперативно блокируются в круглосуточном режиме. «Теле2» и «МегаФон» на запрос “Ъ” не ответили. В «Вымпелкоме» отметили, что в среднем блокируют несколько тысяч звонков с подменными номерами в день, роста звонков в последнюю неделю не наблюдают.

Пока же решение проблемы подменных номеров не найдено, клиенты банков должны сохранять бдительность: украденные подобным образом средства не вернуть. Банк при несанкционированном списании средств физлиц обязан возместить клиенту потерю, но лишь в случае, когда тот не нарушил правил пользования картой. Однако вся суть подобного мошенничества — выманить у клиента те самые сведения, которые никому нельзя сообщать, то есть вынудить нарушить правила.

 

Вероника Горячева, Владислав Новый

Опубликовано 25 февраля 2019 года в газете "Коммерсантъ" №33
Подробнее...
Источник: https://www.kommersant.ru/doc/3894264

 

Хакеров не обошли молчанием. Атаку группировки Silence на банки заметил ЦБ

Российские банки подверглись массовой атаке хакеров — ЦБ сообщил о фишинговых рассылках группировки Silence. Интересна атака не только масштабом (только Сбербанк получил 1,5 тыс. писем с вредоносными вложениями), но и тем, что рассылка шла с серверов в России. Сейчас в Госдуме находится законопроект, который даст возможность ЦБ блокировать фишинговые сайты и сможет эффективнее защитить рынок от подобных атак. Но для этого проект необходимо доработать, в том числе с учетом опыта последних рассылок, отмечают эксперты.

Фото: Виктор Коротаев / Коммерсантъ

На прошлой неделе ФинЦЕРТ (подразделение ЦБ по кибербезопасности) разослал по банкам бюллетени о фишинговой рассылке Silence. В частности, в рассылках от 16 января (есть в распоряжении “Ъ”) регулятор отмечает массовое распространение вредоносного ПО от имени несуществующих кредитных организаций — банков ICA, «Урал Развитие», «Финансовая перспектива», CCR, ЮКО, «БанкУралпром», а также якобы от организаторов финансового форума iFIN-2019.


Silence — группа русскоговорящих хакеров, впервые активность зафиксирована в 2016 году. Специализируется на целевых атаках на банки, рассылая фишинговые письма с вредоносными вложениями.


Текущая рассылка выделяется по нескольким параметрам. Первый — охват. В частности, Сбербанк фиксировал получение фишинговых писем в течение нескольких дней до 18 января включительно. «На средствах защиты по состоянию на 18 января зафиксированы и успешно заблокированы 1,5 тыс. вредоносных писем, имеющих отношение к рассылке Silence,— отметили в банке.— Рассылка продолжается, мы осуществляем усиленный контроль развития данной серии атак». О получении и успешной блокировке писем из фишинговой рассылки говорят также в Газпромбанке, Райффайзенбанке и Московском кредитном банке, отмечая, что ни сотрудники, ни клиенты не пострадали.

В ЦБ “Ъ” пояснили, что атака превышала стандартные масштабы, но «чрезвычайно большого объема» писем не было.

Во-вторых, в атаке использовалась качественная социальная инженерия, что нехарактерно для Silence. «Достаточно серьезно вкладываясь в инструменты, эта группировка обычно очень мало модифицирует и усложняет "социальный" вектор рассылки, используя типовые фишинговые уловки,— отметил операционный директор центра мониторинга и реагирования на кибератаки "Ростелеком-Solar" Антон Юдаков.— Однако на этот раз присутствовал крайне правдоподобный текст письма, идеально повторяющего официальное приглашение на профильную конференцию». По его словам, усовершенствованный социальный вектор существенно повышает результативность рассылки.

В-третьих, атака проведена с использованием серверов на территории РФ. В информационном бюллетене от 16 января ФинЦЕРТ указано, что для данной рассылки использовались, в частности, и домены из зоны .ru (fpbank.ru, bankurs.ru, ccrbank.ru). В ЦБ подтвердили “Ъ”, что в организации атаки были задействованы в числе прочего серверные мощности с IP-адресами в российской зоне интернета.


«На сегодняшний момент мы видим два основных тренда. Первый тренд — это увеличение количества атак... Второй тренд …идет постепенное снижение количества денег, которые …финансовая система теряет от таких атак».— Артем Сычев, первый заместитель главы департамента информационной безопасности ЦБ, 27 ноября 2018 года.


Законопроект, дающий регулятору право самостоятельно блокировать подобные фишинговые ресурсы, позволит ускорить реагирование на атаки подобного рода, отметили в ЦБ. Речь идет о документе, который даст возможность ЦБ самостоятельно подавать в суд иски по блокировке сайтов, информация на которых может привести в числе прочего к хакерским атакам (см. “Ъ” от 11 января).

Однако для эффективной борьбы с фишинговыми рассылками законопроект потребуется доработать. «В текущей версии блокировка опасного ресурса возможна в течение нескольких дней, тогда как при фишинговой рассылке наибольшее количество опасных писем открывается в первые часы,— отметил руководитель аналитического центра Zecurion Analitics Владимир Ульянов.— Для эффективной защиты необходима возможность реагировать в течение нескольких часов».

Кроме того, проект позволяет блокировать только сайты, содержащие опасную информацию, а для фишинговой рассылки нет необходимости создавать сайт, достаточно зарегистрировать домен и создать почту. «Важно, чтобы была возможность блокировать домены и в таких случаях,— уверен руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.— Кроме того, часто легально работающие сервисы не уделяют внимания безопасной настройке почты, и злоумышленники получают возможность отправлять почту через них, в том числе и с поддельным адресом отправителя».

 

Вероника Горячева

Опубликовано 21 января 2019 года в газете "Коммерсантъ" №9
Подробнее...
Источник: https://www.kommersant.ru/doc/3859561

 

Хакеры пригласили на финансовый форум. Эксперты сообщили о крупной атаке группы Silence

На этой неделе хакеры из группировки Silence провели первую в нынешнем году атаку на российские банки: финансовые организации получили фальшивые приглашения на форум iFin-2019, сообщила компания Group IB. Подобные письма, по оценкам экспертов, были доставлены десяткам тысяч адресатов, среди которых были и сотрудники банков.

Фото: Евгений Павленко / Коммерсантъ

Group-IB сообщила о масштабной вредоносной рассылке группы Silence в России. В текущем году это пока самая крупная атака: она затронула более 80 тыс. получателей, подсчитали эксперты. Среди адресатов были сотрудники российских кредитно-финансовых организаций, в основном банков и крупных платежных систем.


Атака началась 16 января с рассылок, в которых содержалось приглашение посетить в феврале международный форум iFin-2019 в Москве, отмечает Group-IB.

Письма разослали через несколько часов после того, как настоящие приглашения отправили организаторы мероприятия. В своей рассылке злоумышленники использовали официальное приглашение, отредактировав его. «Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных, и название вашего банка будет размещено на официальном портале форума»,— говорится в письме. К посланию был прикреплен ZIP-архив, внутри которого — приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot, которое используют только хакеры Silence.


То, что хакеры использовали реальный анонс финансового форума, подтверждает версию, согласно которой участниками Silence являются люди, занимавшиеся или до сих пор занимающиеся легальной работой, в том числе тестами на проникновение в информационные системы в финансовом секторе, полагает Group-IB. С этим не согласен собеседник “Ъ” на рынке информационной безопасности: получить реальное письмо от организаторов вполне мог и человек со стороны разными способами, он не обязательно должен работать в финансовых организациях.

По словам председателя оргкомитета iFin-2019 Андрея Бурдинского, они направляют в банки только персональные приглашения на форум и только постоянным посетителям. «Текст фальшивого приглашения не похож на реальное приглашение, отправленное в банки в этот день. Скорее всего, текст взят злоумышленниками с веб-сайта форума или из одного из пресс-релизов»,— добавляет господин Бурдинский. По его словам, 16 января организаторы форума iFin-2019 получили два письма от представителей банков, которые сообщили о получении фишинговых писем, других жалоб от участников форума не поступало.

Silence стала известна в 2018 году, когда ее заподозрили в рассылке вредоносных писем от лица Центробанка России (ЦБ РФ). В сообщении, которые получили тогда российские банки с поддельного адреса ЦБ РФ, адресатам предлагали ознакомиться с новым постановлением регулятора. Получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и пять банков за рубежом.

В период с 25 по 27 декабря Silence также рассылала письма по финансовым учреждениям от имени несуществующей фармкомпании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект.

В январе Group-IB обнаружили еще две фишинговые рассылки от имени начальников отделов в несуществующих банках — Банк ICA и «Банкуралпром». Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась вредоносная программа Silence.Downloader.

Аналитики называют Silence малочисленной и слабоизученной хакерской группой. «Масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний.


«На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker»,— полагает эксперт по киберразведке Group-IB Рустам Миркасымов.


Маскировкой вредоносных программ под официальные письма часто занимаются и хакеры из прогосударственных группировок, отмечают аналитики. Например, хакеры направляют письма в военные ведомства, посольства, министерства и СМИ с приглашениями на конференции НАТО, ООН или ЕС. Внутри них скрыто программное обеспечение, цель которого — шпионить за получателем.

 

Кристина Жукова

Опубликовано 18 января 2019 года на сайте "Коммерсантъ"
Подробнее...
Источник: https://www.kommersant.ru/doc/3858862

 

Страницы