Хакеры атаковали процессинговые системы банков

Об этом рассказал заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев. Он представил доклад Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, охватывающий период с 1 июня 2016 года по 1 сентября 2017 года.

Для хищений используется программа Cobalt Strike, изначально предназначенная для тестирования на проникновение. После того как деньги сняты, как правило, хакеры запускают программы для уничтожения следов преступления.

Cobalt Strike используется в основной части целевых атак на банки. Их количество в 2016 году держалось на уровне 4 в квартал, в 2017 году оно значительно выросло: 8 в первом квартале, 29 во втором, 14 в июле-августе. Каждая такая атака направлена на несколько банков, отметил Артем Сычев. Масштаб потерь Банк России раскроет позже.

Резко возросла мощность DDoS-атак, с помощью которых хакеры пытаются "обвалить" сайты банков: с 670 Мбит/с во втором квартале прошлого года до 6200 во втором квартале этого года. В третьем квартале мощность атак составила 3072 Мбит/с. Зато прекратились попытки взлома банков через подмену входных данных для автоматизированного рабочего места клиента Банка России.

С клиентами банков злоумышленники работают с помощью методов "социальной инженерии" - люди сами отдают им данные своих карт. Вариантов, как - много, и они постоянно обновляются, отметил Артем Сычев. Причем если раньше жертвами чаще становились бухгалтерские и банковские работники, теперь фокус сместился в пользу технических специалистов.

Вместе с тем практически полностью сведена на нет угроза скимминга (хищения данных с магнитной ленты карты) благодаря применению чиповых транзакций. В ряде случаев отмечено использование нового вида скиммингового оборудования - так называемого перископного, которое снимает пин-код. В начале этого года Банк России получил возможность напрямую инициировать блокировку мошеннических сайтов, работающих в финансовой сфере. По обращениям ФинЦЕРТ, в месяц "разделегируются" около 50 доменов. В основном это сервисы P2P-переводов (заблокированы 84 сайта) лжебанки (44) и микрофинансовые организации (29). Также среди заблокированных мошеннических сайтов много лжестраховщиков (45) и финансовых пирамид (39).

На регулярной основе с начала года Банк России ведет мониторинг информационных атак на банки с целью вычислить их источники и установить бенефициара. Каждые два часа ФинЦЕРТ шерстит СМИ, блоги и соцсети на публикации, порочащие репутацию кредитных организаций. В соцсетях они за сутки набирают от 200 до 800 перепечаток, их делают как атакующие, так и простые пользователи. Бывает, что заказчиком атаки оказывается сама "жертва" - такое случается перед отзывом лицензии у "сгоревшего" банка, сообщил Сычев.

Количество кредитных организаций, присоединившихся к обмену сведениями о фроде с Банком России, за последний год резко выросло и достигло уже 418 (95 процентов банковской системы). Заметный рост числа участников был отмечен в январе-феврале после серии рассылок загрузчиков Cobalt Strike. Почти в два раза (до 45 процентов) увеличилась доля активных участников информационного обмена, регулярно передающих данные о выявленных угрозах и уязвимостях. В основном это средние банки. ЦБ проверяет и обобщает информацию об атаках и рассылает предупреждения по всем банкам.