Это интересно

Корпоративные клиенты оказались под угрозой. Хакеры стали активнее атаковать клиентов банков

Рост атак на корпоративных клиентов банков в 2018 году составил 89%, отмечается в аналитическом отчете Solar JSOC. При этом в исследовании указывается, что особенно активизировались злоумышленники во втором полугодии — число направленных на хищение средств атак выросло по сравнению с первой половиной года на 38%.

Фото: Mauritz Antin / EPA / Vostock Photo

Количество атак на корпоративных клиентов банков, целью которых был взлом инфраструктуры банка и хищение средств клиентов через банк-клиент выросло во втором полугодии 2018 года по сравнению с первым полугодием на 38%, отмечают в своем аналитическом отчете специалисты Solar JSOC.


Всего же экспертами было зафиксировано свыше 765 тыс. компьютерных атак в прошлом году, что на 89% больше, чем годом ранее.


При этом доля критических инцидентов (то есть тех, благодаря которым компания могла потерять от 1 млн руб.), которые могли привести (или приводили) к выводу средств, выросла до 19%. То есть достигла самого высокого значения с 2015 года.

При атаках на клиентов банков, как и на сами кредитные организации, часто использовался фишинг. По данным Solar JSOC, около 70% сложных целенаправленных атак начинается с фишинга. В среднем каждый седьмой пользователь, не прошедший курсы повышения осведомленности, поддавался на социальную инженерию.

Во второй половине 2018 года количество атак, направленных на получение контроля над инфраструктурой, выросло на 20%.

 

Вероника Горячева

Опубликовано 24 апреля 2019 года на сайте "Коммерсантъ"
Подробнее...
Источник: https://www.kommersant.ru/doc/3954493

Мошенники оборвали банкам телефон. Звонки клиентам с подмененных номеров стали массовыми

Резкий рост мошеннических звонков клиентам якобы от банков с использованием технологии подмены номера зафиксировал ряд крупных кредитных организаций. У отдельных банков активность мошенников возросла в десятки раз. В банках указывают, что операторы связи недостаточно эффективно выявляют и блокируют подобные схемы. На данный момент решение проблемы вышло на уровень ЦБ, который намерен бороться с подменными номерами всеобщими усилиями.

Рисунок: Виктор Чумачев / Коммерсантъ

О том, что на прошлой неделе резко активизировались мошенники, звонящие с телефонов кредитных организаций (звонки с подменой номера) клиентам, рассказали “Ъ” несколько источников в крупных банках. Для клиента это выглядит как звонок банка: входящий номер принадлежит кредитной организации, представитель которой сообщает о попытке несанкционированной операции, далее выманиваются данные карты, происходит хищение. В январе подобным атакам, причем с использованием сложнейшей социальной инженерии, подверглись клиенты Сбербанка (см. “Ъ” от 30 января). «Если ранее у нас было одно-два сообщения в колл-центр о мошеннических звонках, то буквально с 18 февраля их количество возросло в десятки раз»,— отметил собеседник “Ъ”. «Мы видим явную активизацию злоумышленников начиная с середины недели»,— отметили в другом крупном банке. При этом, по словам другого собеседника “Ъ”, мошеннические звонки поступают не только клиентам, но и в колл-центры банков с подменой номеров клиентов. «Если система пропускает такой звонок, то злоумышленник может узнать баланс по карте, последние операции и т. д., чтобы использовать эти данные для более убедительной социальной инженерии, делая ее более эффективной»,— добавляет он.

Официальные предостережения об участившихся случаях мошенничества с запросами от имени банка для своих клиентов сделали Юникредит-банк и Райффайзенбанк. «Мы фиксируем определенный рост активности мошенников,— отметил руководитель отдела информационной безопасности Райффайзенбанка Денис Камзеев.— Мы даем клиентам рекомендации по безопасному использованию наших сервисов… и регулярно делаем рассылки, если появляется необходимость, информируем клиентов дополнительно».

В Банке России сообщили “Ъ”, что в курсе активизации мошенничеств с использованием технологии подмены номера. Решение проблемы требует как технической, так и юридической проработки, сейчас регулятор ведет консультации с банками, а также планирует привлечь к обсуждению операторов связи и Минкомсвязь, уточнили там.


"Проблема понятна, она на самом деле гораздо глубже, чем такой поверхностный взгляд, что надо взять и запретить... Это очень сложная работа с операторами связи и профильными министерствами". - Артем Сычев, замдиректора департамента информационной безопасности ЦБ, 19 февраля.


Проблема мошеннических атак на клиентов банков с подменных номеров обсуждалась и на Уральском форуме. В ходе круглого стола представители Сбербанка, ВТБ и банка «Санкт-Петербург» отметили, что их банки столкнулись с данной проблемой. Глава департамента информбезопасности банка «Санкт-Петербург» Анатолий Скородумов отметил, что операторам связи необходимо блокировать подобные звонки с подменой номера. В ходе дискуссии отмечалось, что подобные проблемы есть у «Билайна» и МТС, имеющей также наземную и мобильную связь, участниками было отмечено отсутствие подобных кейсов по «МегаФону».

Директор дирекции по информационной безопасности ПАО «Вымпелком» (бренд «Билайн») Александр Голубев сообщил, что проблема вызова, инициированного в их сети с подстановкой номера, существует. В настоящее время решение этой задачи происходит в ручном режиме, им занимаются коллеги специализированного подразделения компании.

Глава ФинЦЕРТ (подразделение ЦБ, отвечает за кибербезопасность) Артем Калашников отметил, что данную проблему необходимо решать общими усилиями. По его словам, технические ресурсы есть у операторов связи, у правоохранительных органов, у ЦБ.

«Недостаточно бороться с проблемой подмены номеров в ручном режиме — надо технически объединить усилия,— считает господин Калашников.— Тут главное — скорость реакции: банк видит проблему, сообщает в АСОИ (автоматизированная система обмена информацией), дальше оператору, но если сейчас оператор после "принято в работу" может тянуть неделю, то тут и операторы связи должны действовать оперативно».

Впрочем, вне закрытых встреч с участниками рынка и представителями ЦБ операторы связи предпочитают отрицать наличие проблемы. Например, в ответе на запрос “Ъ” в МТС сообщили, что в сети компании создание подменных номеров невозможно, в случае же внешних угроз попытки оперативно блокируются в круглосуточном режиме. «Теле2» и «МегаФон» на запрос “Ъ” не ответили. В «Вымпелкоме» отметили, что в среднем блокируют несколько тысяч звонков с подменными номерами в день, роста звонков в последнюю неделю не наблюдают.

Пока же решение проблемы подменных номеров не найдено, клиенты банков должны сохранять бдительность: украденные подобным образом средства не вернуть. Банк при несанкционированном списании средств физлиц обязан возместить клиенту потерю, но лишь в случае, когда тот не нарушил правил пользования картой. Однако вся суть подобного мошенничества — выманить у клиента те самые сведения, которые никому нельзя сообщать, то есть вынудить нарушить правила.

 

Вероника Горячева, Владислав Новый

Опубликовано 25 февраля 2019 года в газете "Коммерсантъ" №33
Подробнее...
Источник: https://www.kommersant.ru/doc/3894264

 

Хакеров не обошли молчанием. Атаку группировки Silence на банки заметил ЦБ

Российские банки подверглись массовой атаке хакеров — ЦБ сообщил о фишинговых рассылках группировки Silence. Интересна атака не только масштабом (только Сбербанк получил 1,5 тыс. писем с вредоносными вложениями), но и тем, что рассылка шла с серверов в России. Сейчас в Госдуме находится законопроект, который даст возможность ЦБ блокировать фишинговые сайты и сможет эффективнее защитить рынок от подобных атак. Но для этого проект необходимо доработать, в том числе с учетом опыта последних рассылок, отмечают эксперты.

Фото: Виктор Коротаев / Коммерсантъ

На прошлой неделе ФинЦЕРТ (подразделение ЦБ по кибербезопасности) разослал по банкам бюллетени о фишинговой рассылке Silence. В частности, в рассылках от 16 января (есть в распоряжении “Ъ”) регулятор отмечает массовое распространение вредоносного ПО от имени несуществующих кредитных организаций — банков ICA, «Урал Развитие», «Финансовая перспектива», CCR, ЮКО, «БанкУралпром», а также якобы от организаторов финансового форума iFIN-2019.


Silence — группа русскоговорящих хакеров, впервые активность зафиксирована в 2016 году. Специализируется на целевых атаках на банки, рассылая фишинговые письма с вредоносными вложениями.


Текущая рассылка выделяется по нескольким параметрам. Первый — охват. В частности, Сбербанк фиксировал получение фишинговых писем в течение нескольких дней до 18 января включительно. «На средствах защиты по состоянию на 18 января зафиксированы и успешно заблокированы 1,5 тыс. вредоносных писем, имеющих отношение к рассылке Silence,— отметили в банке.— Рассылка продолжается, мы осуществляем усиленный контроль развития данной серии атак». О получении и успешной блокировке писем из фишинговой рассылки говорят также в Газпромбанке, Райффайзенбанке и Московском кредитном банке, отмечая, что ни сотрудники, ни клиенты не пострадали.

В ЦБ “Ъ” пояснили, что атака превышала стандартные масштабы, но «чрезвычайно большого объема» писем не было.

Во-вторых, в атаке использовалась качественная социальная инженерия, что нехарактерно для Silence. «Достаточно серьезно вкладываясь в инструменты, эта группировка обычно очень мало модифицирует и усложняет "социальный" вектор рассылки, используя типовые фишинговые уловки,— отметил операционный директор центра мониторинга и реагирования на кибератаки "Ростелеком-Solar" Антон Юдаков.— Однако на этот раз присутствовал крайне правдоподобный текст письма, идеально повторяющего официальное приглашение на профильную конференцию». По его словам, усовершенствованный социальный вектор существенно повышает результативность рассылки.

В-третьих, атака проведена с использованием серверов на территории РФ. В информационном бюллетене от 16 января ФинЦЕРТ указано, что для данной рассылки использовались, в частности, и домены из зоны .ru (fpbank.ru, bankurs.ru, ccrbank.ru). В ЦБ подтвердили “Ъ”, что в организации атаки были задействованы в числе прочего серверные мощности с IP-адресами в российской зоне интернета.


«На сегодняшний момент мы видим два основных тренда. Первый тренд — это увеличение количества атак... Второй тренд …идет постепенное снижение количества денег, которые …финансовая система теряет от таких атак».— Артем Сычев, первый заместитель главы департамента информационной безопасности ЦБ, 27 ноября 2018 года.


Законопроект, дающий регулятору право самостоятельно блокировать подобные фишинговые ресурсы, позволит ускорить реагирование на атаки подобного рода, отметили в ЦБ. Речь идет о документе, который даст возможность ЦБ самостоятельно подавать в суд иски по блокировке сайтов, информация на которых может привести в числе прочего к хакерским атакам (см. “Ъ” от 11 января).

Однако для эффективной борьбы с фишинговыми рассылками законопроект потребуется доработать. «В текущей версии блокировка опасного ресурса возможна в течение нескольких дней, тогда как при фишинговой рассылке наибольшее количество опасных писем открывается в первые часы,— отметил руководитель аналитического центра Zecurion Analitics Владимир Ульянов.— Для эффективной защиты необходима возможность реагировать в течение нескольких часов».

Кроме того, проект позволяет блокировать только сайты, содержащие опасную информацию, а для фишинговой рассылки нет необходимости создавать сайт, достаточно зарегистрировать домен и создать почту. «Важно, чтобы была возможность блокировать домены и в таких случаях,— уверен руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.— Кроме того, часто легально работающие сервисы не уделяют внимания безопасной настройке почты, и злоумышленники получают возможность отправлять почту через них, в том числе и с поддельным адресом отправителя».

 

Вероника Горячева

Опубликовано 21 января 2019 года в газете "Коммерсантъ" №9
Подробнее...
Источник: https://www.kommersant.ru/doc/3859561

 

Хакеры пригласили на финансовый форум. Эксперты сообщили о крупной атаке группы Silence

На этой неделе хакеры из группировки Silence провели первую в нынешнем году атаку на российские банки: финансовые организации получили фальшивые приглашения на форум iFin-2019, сообщила компания Group IB. Подобные письма, по оценкам экспертов, были доставлены десяткам тысяч адресатов, среди которых были и сотрудники банков.

Фото: Евгений Павленко / Коммерсантъ

Group-IB сообщила о масштабной вредоносной рассылке группы Silence в России. В текущем году это пока самая крупная атака: она затронула более 80 тыс. получателей, подсчитали эксперты. Среди адресатов были сотрудники российских кредитно-финансовых организаций, в основном банков и крупных платежных систем.


Атака началась 16 января с рассылок, в которых содержалось приглашение посетить в феврале международный форум iFin-2019 в Москве, отмечает Group-IB.

Письма разослали через несколько часов после того, как настоящие приглашения отправили организаторы мероприятия. В своей рассылке злоумышленники использовали официальное приглашение, отредактировав его. «Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных, и название вашего банка будет размещено на официальном портале форума»,— говорится в письме. К посланию был прикреплен ZIP-архив, внутри которого — приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot, которое используют только хакеры Silence.


То, что хакеры использовали реальный анонс финансового форума, подтверждает версию, согласно которой участниками Silence являются люди, занимавшиеся или до сих пор занимающиеся легальной работой, в том числе тестами на проникновение в информационные системы в финансовом секторе, полагает Group-IB. С этим не согласен собеседник “Ъ” на рынке информационной безопасности: получить реальное письмо от организаторов вполне мог и человек со стороны разными способами, он не обязательно должен работать в финансовых организациях.

По словам председателя оргкомитета iFin-2019 Андрея Бурдинского, они направляют в банки только персональные приглашения на форум и только постоянным посетителям. «Текст фальшивого приглашения не похож на реальное приглашение, отправленное в банки в этот день. Скорее всего, текст взят злоумышленниками с веб-сайта форума или из одного из пресс-релизов»,— добавляет господин Бурдинский. По его словам, 16 января организаторы форума iFin-2019 получили два письма от представителей банков, которые сообщили о получении фишинговых писем, других жалоб от участников форума не поступало.

Silence стала известна в 2018 году, когда ее заподозрили в рассылке вредоносных писем от лица Центробанка России (ЦБ РФ). В сообщении, которые получили тогда российские банки с поддельного адреса ЦБ РФ, адресатам предлагали ознакомиться с новым постановлением регулятора. Получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и пять банков за рубежом.

В период с 25 по 27 декабря Silence также рассылала письма по финансовым учреждениям от имени несуществующей фармкомпании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект.

В январе Group-IB обнаружили еще две фишинговые рассылки от имени начальников отделов в несуществующих банках — Банк ICA и «Банкуралпром». Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась вредоносная программа Silence.Downloader.

Аналитики называют Silence малочисленной и слабоизученной хакерской группой. «Масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний.


«На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker»,— полагает эксперт по киберразведке Group-IB Рустам Миркасымов.


Маскировкой вредоносных программ под официальные письма часто занимаются и хакеры из прогосударственных группировок, отмечают аналитики. Например, хакеры направляют письма в военные ведомства, посольства, министерства и СМИ с приглашениями на конференции НАТО, ООН или ЕС. Внутри них скрыто программное обеспечение, цель которого — шпионить за получателем.

 

Кристина Жукова

Опубликовано 18 января 2019 года на сайте "Коммерсантъ"
Подробнее...
Источник: https://www.kommersant.ru/doc/3858862

 

Настоящую личность защитит ЦБ. С подменой биометрических данных будут бороться нормативно

Банк России начал работу над нормативными документами, применение которых поможет защитить граждан от мошеннического использования их биометрических данных. В частности, планируется описать порядок действий банка и его клиентов на случай негативного развития событий. Как признавал сам регулятор, это маловероятные, однако полностью не закрываемые риски.

Фото: Глеб Щелкунов / Коммерсантъ

Как стало известно “Ъ”, ЦБ начал работать над методическими рекомендациями, задача которых — обеспечение регуляторных и организационно-технических мер по недопущению мошенничества в сфере применения удаленной идентификации с использованием биометрии. Эти меры должны минимизировать риск «подмена личности», который возможен при идентификации клиентов банков с помощью ранее сданных в Единую биометрическую систему (ЕБС) образов лица и голоса. Решение о начале работы над документами было принято ЦБ в конце прошлого года по итогам стратегической сессии, на которой были отобраны 14 новых инициатив участников финансового рынка. Как сообщил “Ъ” собеседник, знакомый с позицией ЦБ, формат методических рекомендаций был принят потому, что данный документ можно выпустить достаточно оперативно и его не надо регистрировать в Минюсте.

С предложениями по минимизации рисков утечки конфиденциальной информации в процессе сбора биометрии выступило НП «Национальный платежный совет» (НПС). По словам главы НПС Алмы Обаевой, они были направлены в Банк России еще в конце весны 2018 года. В частности, среди предложений НПС было определение порядка использования биометрии в случае, когда сданные данные были скомпрометированы, в том числе и по вине самого владельца биометрических данных.

«И ЦБ, и "Ростелеком" часто отмечают, что утечка биометрии почти невозможна,— указывает Алма Обаева.— В то же время риски "кражи личности" все же есть, и потому необходим четкий, определенный в нормативном акте порядок, как в этом случае действовать банку, как действовать клиенту». Госпожа Обаева привела в пример закон «О национальной платежной системе», где четко зафиксировано, какие действия предпринимаются в случае несанкционированного списания денежных средств со счета клиента банка, и отметила, что схожий механизм нужен и для случаев получения мошенниками средств в банке на основании чужой биометрии.

Эксперты отмечают, что инициативу НПС поддерживает ФАС. «На закрытых совещаниях с ЦБ замглавы ФАС Андрей Кашеваров отмечал, что риск получение кредитов с помощью чужой биометрии необходимо учитывать и нивелировать»,— рассказывает собеседник “Ъ”, знакомый с ситуацией. Впрочем, в ФАС не комментируют эту информацию. Кроме того, на встречах представителей ЦБ с руководителями служб информационной безопасности банков часто обозначали кейс, когда мошенник приходит с поддельным паспортом и сдает биометрию вместо реального владельца, а затем уже верифицируется. При этом оборудования для выявления высококачественных подделок в банках нет. Первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев ранее отмечал, что это весьма маловероятный, но не закрываемый риск. Не меньшие проблемы несет в себе и верификация клиентов, ранее сдавших биометрию. Например, мошенник может представиться сотрудником ПФР и, пообещав пенсионеру прибавку к пенсии, предложить верифицироваться по скайпу. Представители BiZone в одном из выступлений рассказывали о различных программах, которые без труда позволяют подделать лицо и голос.

Впрочем, специалисты по информбезопасности банков ждут от регулятора не только рекомендаций по юридическим вопросам взаимодействия с клиентом, но и другой конкретики. «Рынок бы хотел получить методические рекомендации, в которых ЦБ пропишет — как выявлять случаи использования поддельной биометрии, как подтверждать, что верифицирующийся человек именно тот, за кого он себя выдает, и т. д.»,— отмечает глава управления информационной безопасности ОТП-банка Сергей Чернокозинский. Что в итоговом виде войдет в методичку, пока не ясно. Как заявили в ЦБ, «вопрос находится в стадии проработки, комментарии преждевременны».

 

Вероника Горячева

Опубликовано 15 января 2019 года в газете "Коммерсантъ" №5
Подробнее...
Источник: https://www.kommersant.ru/doc/3854141

 

 

Страницы