Банки оказались не готовы к отражению кибератак

Почти три четверти российских банков, которые подверглись в 2018 г. высокотехнологичным преступлениям, оказались не готовы к отражению кибератак. К такому выводу пришли эксперты-киберкриминалисты компании Group-IB. Банк России (Центробанк) в 2018 г. выявил более 400 тыс. несанкционированных операций (хищения денежных средств) общим объемом в 1,38 млрд руб. По сравнению с 2017 г. количество таких операций возросло в 1,3 раза, а их объем - в 1,4 раза, причем Центробанк полагает, что увеличение этих показателей связано с повышением прозрачности данных о несанкционированных операциях, которые банки предоставляют регулятору.

По данным исследования Group-IB, у 29% банков были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом. "Среди опасных тенденций прошлого года - трансграничные атаки, запускающие "цепную реакцию", что приводит к множественным заражениям финансовых организаций", - отмечают авторы исследования. При этом Group-IB отмечает, что эти тенденции характерны не только для России, но и для Восточной Европы.

Главный вывод экспертов-криминалистов Group-IB - подавляющее большинство российских компаний, ставших жертвами хакерских атак в прошлом году, не имели плана реагирования на киберинцидент, не были готовы в сжатые сроки мобилизовать работу профильных подразделений и не способны организационно и технически противостоять действиям атакующих. Эксперты Group-IB обращают внимание на высокую вероятность повторных инцидентов в таких компаниях.

По данным исследования Group-IB, на банки пришлось около 70% хакерской активности в прошлом году. Схемы для обналичивания денежных средств хакерами остались прежними - через заранее открытые "под обнал" банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и SIM-карты сотовых операторов. При этом скорость обналичивания в России выросла в несколько раз: если три года назад вывод суммы в 200 млн руб. в среднем занимал около 25-30 часов, то в 2018 г. компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России.

Анализируя данные, полученные в ходе реагирования на киберинциденты, эксперты Group-IB пришли к выводу, что 74% атакованных в 2018 г. банков не были готовы к хакерским атакам, более 60% не способны централизованно управлять свой сетью (особенно при территориально распределенной инфраструктуре), около 80% не имеют глубины журналирования событий протяженностью более месяца, более 65% тратили на согласование работ между подразделениями более четырех часов. При этом среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента, составляло 12 часов.

Group-IB отмечает и слабую техническую подготовку персонала банков: по их оценке, профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Столько же не имеют четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения.

"Банк, чья инфраструктура оказалась взломанной, может не просто потерять денежные средства, но и стать угрозой для других игроков финансового рынка, - комментирует ситуацию глава Лаборатории компьютерной криминалистики компании Group-IB Валерий Баулин. - Атакуя цель, финансово мотивированная хакерская группа стремится извлечь максимальную выгоду: получая контроль над системами банка, она заинтересована не только в выводе денег из него, но и в заражении максимального количества новых жертв. Для этой цели запускается "принцип домино" - вредоносная рассылка из скомпрометированной инфраструктуры идет по спискам компаний - партнеров банка. Зараженные письма отправляются из реального банка, что повышает вероятность их открытия в банке-партнере".

По данным Центробанка РФ, более 80% выявленных несанкционированных операций 2018 г. - в объеме свыше 1 млрд руб. - было совершено через интернет и мобильные устройства. Причиной 90% несанкционированных операций стало выманивание у клиента обманным путем информации о его персональных данных с последующим использованием этих данных для хищения денежных средств. При этом ЦБ отмечает 33%-ное увеличение объема операций с использованием платежных карт: в 2018 г. сумма транзакций составила 32 млрд руб., а годом ранее - 24 млрд руб.

Также в 2018 г. в Банк России была представлена информация о 6151 несанкционированной операции со счетов юридических лиц на общую сумму 1,469 млрд руб., при этом в 2017 г. эти показатели составили 841 операцию и 1,57 млрд руб. соответственно. Таким образом, в 2018 г. при росте количества хищений и их попыток на 631% (в 7,3 раза) наблюдается динамика снижения их объемов на 6,4% по сравнению с 2017 г. Почти половина хищений (46% в 2018 г.) была совершена в результате получения злоумышленниками доступа к системе дистанционного банковского обслуживания с использованием вредоносного ПО, рассчитанного на взлом программного обеспечения стационарных компьютеров.

Наряду с кибератаками на физических и юридических лиц - клиентов российский банков, в 2018 г. ЦБ получил информацию о четырех атаках на процессинговые центры. В результате доступа к автоматизированной системе процессингового центра, изменения доступного остатка средств, снятия или повышения установленных лимитов злоумышленники совершили покушения на хищение денежных средств в 2018 г. на общую сумму 57,5 млн руб., что в 16,5 раза меньше аналогичного показателя 2017 г., составившего 950 млн руб.

"Совместная работа Банка России, участников рынка и правоохранительных органов, проведенная в 2018 г. после введения новой формы отчетности, вступления в силу №167-ФЗ и запуска автоматизированной системы (АС) обработки инцидентов "ФинЦЕРТ" и АС "Фид-Антифрод", позволила повысить выявляемость несанкционированных операций", - отмечает ЦБ в обзоре несанкционированных переводов денежных средств за 2018 г.