Мобильный банкинг и облака все сильнее атакуют

Резко выросло количество кибератак на мобильный банкинг и облачные хранилища. Об этом сообщает компания Check Point Software Technologies. В Европе, Африке и на Ближнем Востоке количество атак в мобильном банкинге в 2019 г. возросло вдвое по сравнению с прошлым годом. Одна из самых распространенных угроз - банковские вредоносные программы. По данным Check Point, самые серьезные угрозы для безопасности облаков - неправильная конфигурация и плохое управление ресурсами.

Топ вредоносного ПО для банков, по результатам исследования компании, возглавили: Ramnit (28%, банковский троян, который похищает данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные); Trickbot (21%, доминирующий банковский троян) и Ursnif (10%; троян, который работает на платформе Windows и может похищать информацию, связанную с платежным ПО).  

"Ни облачные хранилища, ни наши смартфоны и электронная почта - ни одна среда не застрахована от кибератак. Такие угрозы, как персонализированные атаки вымогателей, DNS-атаки и криптомайнеры, будут по-прежнему актуальны в 2019 г.", - говорит глава представительства Check Point Software Technologies в России и СНГ Василий Дягилев.

Технический директор Check Point Software Technologies в России и СНГ Никита Дуров ожидает, что количество атак на программы мобильного банкинга в РФ, скорее всего, продолжит расти. "Хакеры прекрасно понимают, что количество людей, которые пользуются приложениями мобильного банкинга, будет только увеличиваться. А значит, эти приложения будут вызывать у злоумышленников все больший интерес", - делает вывод специалист. 

Аналогична ситуация и с облачными хранилищами. Все больше компаний отдают им предпочтение. Растет количество аккаунтов, которые содержат много конфиденциальной информации. Она может принести неплохой доход хакерам, сказал Никита Дуров. 

"Использование администраторского аккаунта - один из самых критичных моментов для облачных хранилищ. Часто функции приватности не настроены должным образом. Из-за этого может произойти утечка данных. Злоумышленники могут разослать фишинговые письма сотрудникам организации, либо найти какой-нибудь вредонос, который будет искать эти данные внутри телефона", - обозначил проблему он.  

 Выводы исследования Check Point основаны на данных Global Threat Impact Index и ThreatCloud Map, которые разработала сеть по борьбе с киберпреступностью ThreatCloud intelligence. База данных ThreatCloud содержит более 250 млн адресов для обнаружения ботов, более 11 млн сигнатур вредоносных программ и более 5,5 млн зараженных сайтов, на основе которых она продолжает ежедневно идентифицировать вредоносы.

По данным "Лаборатории Касперского", в первые шесть месяцев 2019 г. банковские троянцы атаковали 430 тыс частных и корпоративных ПК по всему миру, что на 7% больше, чем в аналогичном периоде 2018 г. Около трети атакованных (30%) - корпоративные пользователи. Это же соотношение компания зафиксировала и в России. 

Наибольшую активность, сообщает "Лаборатория Касперского", как и прежде, проявил троянец RTM. Он нацелен в первую очередь на финансистов небольших компаний. За первое полугодие 2019 г. с его помощью по миру провели 40% атак. В России этот показатель еще выше - 77% для корпоративных устройств и 62% для частных.   

Вторым по степени активности среди мировых финансовых зловредов стал Emotet. Он умеет проникать в систему, прячась в электронных письмах. На долю Emotet приходится 15% атак. 

В России он оказался на третьем месте (3%), а на второе место вышел Zbot, с помощью которого в стране с января по июнь совершалась почти каждая десятая финансовая атака (9%) на корпоративное устройство. Мировую тройку лидеров-представителей финансового вредоносного ПО замкнул троянец Trickster (12%). 

"Среди банковских троянцев в России сейчас мы наблюдаем наибольшее количество атак от Asacub, Agent и Svpeng", - заявили в пресс-службе "Лаборатории Касперского". В компании предполагают, что финансовые зловреды увеличат свою активность ближе к концу года.

Директор центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком-Солар" Владимир Дрюков согласен со статистикой коллег из Check Point по международному рынку. "В нашей стране список самого распространенного вредоносного ПО в 2019 г. не претерпел существенных изменений по сравнению с 2018 г. Мы по-прежнему сталкиваемся с рассылками Loki Bot, Adwind RAT, FormBook, Scarab, Trickbot, AZORul", - рассказывает Владимир Дрюков. 

По его словам, в системах ДБО самыми частыми уязвимостями являются XSS (cross-site scripting). Она обнаруживается практически в каждом банковском мобильном приложении. Распространены и атаки на бизнес-логику IDOR (insufficient direct object references) Этот тип выявляется в каждом четвертом случае. "С помощью первой уязвимости, можно атаковать пользователей системы, а вот с помощью второй - получить информацию о счетах клиентов, остатках на картах", - объясняет Владимир Дрюков. 

Согласно статистике "Ростелеком-Солар", в первой половине 2019 г. наблюдалась высокая динамика в части фишинга. Более 80% всех атак начиналось с фишинговых рассылок.

Старший аналитик отдела развития "Доктор Веб" Вячеслав Медведев отмечает, что статистика любой компании зависит от того, какие данные она может собрать. Check Point - это, в первую очередь, сетевое оборудование и расследование инцидентов у крупных клиентов. Соответственно, в статистике Check Point в основном учитываются вредоносные программы, которые попадают в сетевые устройства.

"Например, сетевые черви, удельный вес которых среди всех вредоносных программ крайне мал. В меньшей степени - это вредоносные программы, попадающие через сменные устройства. Поэтому статистика Check Point обычно сильно отличается от статистики компаний, которые защищают рабочие станции, серверы или банкоматы", - поясняет Вячеслав Медведев.

Специалист говорит, что эксперты "Доктор Веб" в первой половине этого года в России не зафиксировали широкомасштабных атак на облачные хранилища, обнаружили только единичные случаи. В основном такие утечки происходят из-за низкого уровня защиты. В первую очередь из-за отсутствия обновлений и наличия слабых паролей. 

"Назвать вход через открытую дверь взломом сложно. Да, число утечек возросло, но лишь потому, что были разработаны методы поиска в сети незащищенных серверов с определенными типами баз данных", - полагает Вячеслав Медведев.

Напомним, что в результате вступления в силу в России закона "О национальной платежной системе" отечественные банки внедрили антифрод-системы, которые предназначены для выявления мошеннических платежей. По оценке Вячеслава Медведева, они показывают довольно хороший уровень обнаружения мошеннических платежей для компаний. "А вот для частных пользователей ситуация куда хуже. Поэтому можно предсказать сдвиг активности хакеров в сторону атак на частных пользователей", - сказал специалист. 

Атаки же на сами банки будут продолжаться, предсказывает он, но успешными, как и прежде, среди них окажутся единицы в год.