В феврале 2021 года состоялась видеоконференция: «Вызовы 2021. Новые киберугрозы для финансового сектора», организованная компанией Group-IB. Модератором выступил Егор Халилов, директор по продажам в финансовом секторе этой компании.

Год за годом технологии стремительно продвигаются вперед в своих достижениях и возможностях. Причем происходит это по обе стороны баррикад: и у киберкриминала, и у служб ИБ. Но у первых, похоже, меньше проблем с координацией своей деятельности.

90-е в киберпространстве

В первой секции дискуссии экспертам было предложено обсудить проблему сложных ИБ-угроз и входящих в их число APT-атак, шифровальщиков и т.д. В ней приняли участие Дмитрий Гадарь, вице-президент, руководитель департамента ИБ Тинькофф Банка; Кирилл Ермаков, технический директор QIWI, и Олег Скулкин, ведущий специалист по компьютерной криминалистике компании Group-IB.

По данным Gartner и Group-IB, в 2020 году в мировом масштабе главной угрозой стали программы-шифровальщики. Более 1 млрд долларов составил суммарный потенциальный ущерб от этого вида атак, число которых превысило 2 тыс. обнаруженных случаев в 45 странах. 96% всех атак начинаются по электронной почте с использованием социальной инженерии. Прошлый год обозначил три способа, которыми эти атаки могут распространяться в финансовых организациях. Первый — использование злоумышленниками легитимных программных средств, допущенных к эксплуатации в банке. На второе место по значимости вышла компрометация VPN и RDP (протокол удаленного рабочего стола). Третий — активное применение злоумышленниками для проникновения в сеть фишинга. 

После проникновения одним из этих способов внутри корпоративного периметра хакеры находят сервер или рабочую станцию, которые по ряду параметров подходят на роль жертвы. Затем происходит нелегитимное повышение привилегий некоторого ПО или должностного лица, например сетевого администратора. Далее начинается распространение зловредного софта по сети, заражаются новые элементы инфраструктуры, удаляются или шифруются резервные копии и бэкапы.

Но на практике все происходит гораздо изощреннее, а обнаруживать атаку становится сложнее и дороже. Известны случаи, когда заражение произошло более полугода назад, а начало активности вирусов и троянов началось по команде извне в самый неподходящий для бизнеса момент. Что же на самом деле происходит в подобных случаях, достоверно определить можно только после тщательного аудита IT-инфраструктуры специалистами по компьютерной криминалистике. 

Защищаем процессы

В случае сложной атаки автоматизированные средства защиты часто оказываются неэффективными, поэтому требуется проведение регулярного анализа функционирования средств безопасности в свете тех или иных инцидентов.

При этом необходимо помнить, что никакое техническое средство ИБ не дает 100%-ной гарантии защиты. Поэтому все чаще ИБ рассматривается как набор процессов. У каждого из них есть свои собственные риски и суммы ущерба от реализации инцидентов. Поэтому, по словам Дмитрия Гадаря, необходимо не столько проводить анализ функционирования «железа», сколько пересматривать сами процессы, находя среди них неэффективные. А это сейчас скорее вызов для «безопасников», нежели каждодневная практика.

Данные и тренды ИБ, озвученные модератором, участникам дискуссии показались логичными и объяснимыми. По причине локдаунов и роста безработицы в среде профессиональных айтишников эксперты прогнозируют «новые 90-е в киберпространстве» — по аналогии с разгулом обычной преступности после начала перестройки в России. Отличительной чертой преступности становятся атаки без физического контакта с жертвами, что происходит в том числе из-за развития средств дистанционного доступа к корпоративной инфраструктуре и появления криптовалют. А уж они существенно облегчают или вовсе отменяют процедуру обналичивания фиатных денег в физическом мире.

Не исключено, что службам ИБ поможет изменение подхода к реагированию и рассмотрение атак не по частям, а целиком, с учетом их целей. В этом может оказаться полезной матрица MITRE, раскладывающая атаки на базовые векторы. А раз так, то можно рассчитывать корреляцию между этапами атаки.

Последовательность некритичных событий может дать информацию о технике поведения злоумышленников или даже тактике какой-либо крупной преступной группировки. Для этого нужно перестроить сознание специалистов и перейти от поиска информации к умению правильно ее фильтровать и интерпретировать. «Безопасникам» необходимо учиться разрабатывать техники и методики оценки эффективности своих ресурсов, например SOC или RedTeam. 

Не защитишь — не восстановишься

Кирилл Ермаков затронул проблему вовлечения служб ИБ в бизнес-процессы других подразделений в свете бума шифровальщиков. С одной стороны, проблема обеспечения безопасности отчасти решается при помощи восстановления IT-инфраструктуры из бэкапов. С другой стороны, как определить, на какой глубине бэкапа находятся незараженные слои информации? Из-за технологических особенностей производства резервных копий временные слои в них не имеют четких границ, так как широко используется инкрементальное дополнение поступающих данных к периодически создаваемым эталонным копиям, так называемым золотым образам.

Поскольку атаки уже давно не происходят одномоментно, а растянуты во времени, нет никакой гарантии, что «золотая копия» будет существовать, если ее создавать традиционными методами. Был приведен пример успешной атаки одного неназванного банка, а при попытке восстановить платежный шлюз из резервных копий в ходе многократных попыток выяснилось, что все бэкапы сроком за шесть месяцев заражены.

Чтобы это понять, потребовалась масса времени, что, естественно, не осталось незамеченным ЦБ: на банк наложили соответствующие санкции. И неизвестно, от чего именно эта кредитная организация пострадала больше: от штрафов ЦБ или от хакеров. А проблему можно было решить, если бы банк организовал в свое время правильное взаимодействие между IT и ИБ. А так получается, что единственный способ узнать о качестве создания резервной копии — дождаться заражения IT-инфраструктуры очередным шифровальщиком.

Мед для ловушек

Так какие инструменты могут помочь банкирам в детектировании атак? Есть такие? По мнению экспертов, сейчас наиболее эффективно — ввести атакующих в заблуждение и внушить им, что стоимость данной атаки на банк гораздо выше ожидаемой.

Первую часть доставки злоумышленникам дезинформации можно с успехом реализовать с помощью старых добрых Honeypot (горшочек с медом) — ресурсов, представляющих собой приманку для злоумышленников. 

Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности.

Но мир не стоит на месте. Если Honeypot хорош для обнаружения и отслеживания развития атаки в режиме автоматического сканирования сети злоумышленниками, то появился новый класс устройств обнаружения уже «ручных» действий хакеров — Deception (инфраструктура ложных целей, Distributed Deception Platform — DDP). Однако при использовании и того, и другого речь идет об обнаружении атаки. Реагирование на нее — другая задача.

Воруют там, где есть деньги

Вторую часть дискуссии организаторы отвели для обсуждения проблемы мошенничества. В ней приняли участие Алексей Голенищев, руководитель дирекции по предотвращению кибермошенничества департамента кибербезопасности Альфа-Банка; Сергей Егоров, начальник управления мониторинга и предотвращения мошенничества банка «Восточный»; Игорь Ермак, эксперт в сфере построения систем предотвращения и раннего выявления мошенничества, а также Зафар Астанов, ведущий пресейл-инженер Fraud Hunting Platform компании Group-IB.

И опять модератор выдал порцию свежих и пугающих данных от Банка России: за третий квартал 2020 года количество операций без согласия клиентов составило 180 352 единицы, что на 10% больше, чем за аналогичный период 2019 года (163 310). Объем операций в деньгах — 2,5 млрд рублей. Доля социальной инженерии в этой сумме определена в 64%. Модератор заострил внимание на том, что 47% всей суммы составило мошенничество класса «not cart present», т.е. происходящее при оплате товаров и услуг в интернете.

По данным компании Group-IB, для банков из топ-20 в первую тройку видов мошенничества в 2020 году вошли перевод с карты на карту с использованием Remote Access Trojan (RAT, CTC-RAT, доля случаев мошенничества от всех — 28%), перевод с карты на карту с использованием перехвата учетных данных (C2C-ATO, 19%) и перевод с карты на карту, при котором жертва переводит деньги самостоятельно (C2C-SELF, 8%). Этот вид получил у специалистов позывной «самострел», он имеет самую сложную категорию обнаружения.

Алексей Голенищев согласился с тем, что «2020 год показал всплеск мошенничества по операциям, которые клиенты не совершали и не подтверждают».

Отчасти все эти факты объясняются периодом пандемии и самоизоляции, когда клиенты банков из привычных им «аналоговых» сервисов были принудительно перемещены в цифровую среду. Естественно, что мошенники вслед за перетоком денег в интернет-сервисы переориентировали вектор своих атак именно туда. Ведь воруют там, где есть деньги и где жертвы менее всего готовы к защите. Поэтому удаленные банковские сервисы первыми попали под прицел хакеров. По данным Альфа-Банка, ближе к концу 2020 года всплеск мошенничества здесь уже характеризовался как «рост в разы».

Это потребовало от банкиров развернуться на 180 градусов в плане клиентского опыта и клиентских путей при использовании ДБО: там, где ранее многое, если не все, было ориентировано на покупку в «один клик», интерфейсы стали специально усложнять. Ведь, чем проще клиенту, тем проще и мошеннику. В итоге сейчас ситуация стала несколько спокойнее. Плюс к этому физлица чаще стали сами вычислять мошеннические намерения.

Постепенно и банки начали собирать данные о новом клиентском поведении, набралась некоторая статистика. Она позволяет системам антифрода адаптироваться к новым схемам атак. Чем больше государство и банки повышают финансовую грамотность населения, тем выше вовлеченность самих людей в проактивную совместную с финансистами систему реагирования. Хотя работы в этом направлении еще много.

Но пока финансовая грамотность населения недостаточно высока, поэтому наблюдается резкое сокращение числа веб-сервисов, предлагающих c2c-переводы, которые более других повержены атакам. Банкирам в огромном потоке транзакций между клиентами трудно понять, легитимный это перевод или мошеннический. Поскольку значительное количество c2c-переводов происходит на веб-странице банка-эмитента (или ведет к ней), нужны дополнительные меры защиты. 

В этой связи в банке «Восточный» начат пилотный проект, направленный на то, чтобы на основе информации, полученной в клиентском окружении, понять, проводится ли операция с нетипичного для клиента устройства, не было ли перед транзакцией переадресации с подозрительных сайтов и т.д. Другие меры помогают защитить клиента очень слабо, потому что мошенники, используя сотни доступных им сценариев атак, выводят клиентов из состояния душевного равновесия быстрее, чем банк может это вычислить и отреагировать. Поэтому финансистам так важны риск-индикаторы из самых различных каналов, И именно поэтому в мультиканальных системах ДБО шансы предотвратить мошенничество выше.

Зафар Астанов заострил внимание на мошенничестве типа «самострел», когда клиент банка самостоятельно (но после воздействия на него хакера) переводит деньги на подконтрольный мошенникам счет. Это действительно сложная проблема, на уровне системы транзакционного антифрода ее сложно выявить, так как счет получателя может быть неизвестен либо нет данных, что он принадлежит злоумышленнику. На уровне системы сессионного антифрода тоже не всегда можно детектировать инцидент, поскольку пользователь сам, со свойственной именно ему поведенческой манерой, заходит в систему ДБО и производит с виду типовую, но на самом деле мошенническую операцию.  

Кроме того, по данным Group-IB, в России активно действуют два трояна, один из которых за год заразил более 50 тыс. устройств и 5 тыс. карт. Но эти данные меркнут на фоне ущерба от атак с использованием легитимного ПО, прежде всего под Android. 

Транзакции надо подтверждать

Также экспертов волнует проблема подтверждения транзакций. Почему перестал устраивать 3DS-1.0, протокол безопасности, разработанный в 1999 году и направленный на предотвращение мошеннического использования кредитных карт путем проверки подлинности их держателей в транзакциях, для совершения которых не нужно физическое присутствие карты?

Одна из существенных проблем использования 3DS-1.0 заключается в уязвимости протоколов сотовой связи, допускающих подмену не только номера телефона при звонках, но и номера и содержимого SMS, которые требуются этому протоколу. Эксперты привели пример: после «развода» клиента он, будучи уверен в том, что делает покупку в реальном интернет-магазине, переводит деньги мошенникам. Как так получается? Хакеры научились подменять не только номера сотовых телефонов, но и тексты в SMS. Первое нужно для того, чтобы убедить клиента «купить» что-то, пусть даже в настоящем магазине. А второе, чтобы изменить получателя c2c-платежа путем вставки фишинговой ссылки в текст SMS с предложением пройти по ней и заполнить платежную форму. А иногда просто воруют одноразовый пароль. 

Понятно, что 3DS-1.0 дает слабую защиту, а приходящий ему на смену 3DS-2.0 (а также Mir Accept 2.0 от отечественной НСПК) не сможет решить всех проблем, хотя от некоторых старых избавит. Причина тому — комплексный характер атак социальных инженеров.

Нужна трехуровневая эшелонированная защита. Первый рубеж должен находиться на входе той финансовой структуры, услуги которой хочет получить клиент. Второй — на выходе банка. Причем это не ИБ-защита. Специалисты утверждают, поток денег на входе должен соответствовать потоку на выходе. Если это не так, необходимо срочно искать причину. Тут нужен третий рубеж: защита бизнес-процессов и технологических процессов внутри банка. А поверх всего этого — неустанная работа государства, финансистов и ретейлеров над повышением финансовой грамотности населения. Есть вопросы к связистам, тут «поле непаханое» с точки зрения ИБ, а многие решения упираются в проблемы с законодательством. Их надо срочно решать!

Дело не только в Darknet

В последнее время ряд банкиров в один голос утверждают, что все беды из-за утечек персональных данных исходят от теневых ресурсов в интернете (Darknet), которые за «малую копеечку» готовы продать что угодно кому угодно.

Что здесь правда, а что нет? Банкиров можно отчасти оправдать тем, что персональные данные «текут отовсюду», причем давно. А люди порой добровольно сливают их в социальные сети ради лайков и повышения количества просмотров. Но по какой-то причине в стране не создана единая для всех база мошенников, которые всем этим занимаются…

Зато банкиры попали под раздачу из-за неумения служб ИБ договариваться с бизнесом. Яркий пример — игнорирование рекомендаций служб кибербезопасности продуктовыми командами при уменьшении ими любой ценой времени вывода продуктов на рынок. Взаимодействие безопасности и бизнеса — большая проблема. Бизнес не любит, когда безопасность вмешивается. Поэтому и запускаются сырые, недоделанные проекты. И только после массовых проблем начинается работа с бизнесом по «тюнингу и докручиванию» продукта.

Отдельный пример из этой серии — выстраивание в банках техники работы с кредитными заявками в ДБО. «Драматургия этого продукта» вызывает слезы у любого «безопасника» и прилив адреналина у хакеров.

Утверждения некоторых «экспертов» из департаментов ДБО, что ни один бот не сможет автоматически заполнить такую заявку, были в ходе дискуссии разбиты в пух и прах. Отрадно, что в данном вопросе отечественные ИБ-разработчики не отстают от криминала. Средства защиты уже есть, мало того — они запатентованы. Но проблемы, описанные выше, никуда не делись. Бизнес порой упрям. Значит, работы службам ИБ банков хватит надолго. А это печалит…