Финансовая сфера

Банковское обозрение


  • Киберопасный поворот
06.08.2024 FinSecurityFinTechАналитика

Киберопасный поворот

За последние месяцы IT-инфраструктура ряда крупных банков и финансовых компаний России подвергалась масштабным кибератакам


Так, 23 и 24 июля 2024 года от хакеров пострадали мобильные приложения сразу нескольких системно значимых банков. Для организаций это чревато не только прямыми денежными потерями, но и негативным влиянием на доверие клиентов — по оценке ВЦИОМ, около половины населения России не уверены в том, что их счета и приложения на смартфонах надежно защищены. Ведущие эксперты России в сфере информационной безопасности (ИБ) рассказали БО о главных задачах в борьбе с киберпреступлениями и о том, как устранить прорехи в защите.

Киберпреступность не имеет границ. Во всем мире, по оценке аналитической компании Cybersecurity Ventures, ущерб от нее растет на 15% в год и по прогнозу к 2025 году достигнет 10,5 трлн долларов.

Так, глобальный масштаб проблемы побудил правительство России ускорить продвижение в ООН международной конвенции по противодействию информпреступности. В июле МИД РФ провел с этой целью брифинг для 50 стран-единомышленников. Помимо угроз федерального масштаба, таких как атаки на военно-промышленный и энергетический комплекс, на брифинге шла речь о защите данных граждан как об основе безопасной цифровизации, а также о персональных устройствах как точечных целях кибервойны.

Эта же тема обсуждалась в июне на Петербургском международном экономическом форуме (ПМЭФ) на сессии «Защита прав граждан в интернете как вопрос экономической безопасности». Выступая на ней, директор Центра цифровой экономики и финансовых инноваций МГИМО МИД РФ Элина Сидоренко подчеркнула, что проблема «вышла за рамки разумного». По ее словам, статистика киберпреступлений напрямую об этом говорит, несмотря на все государственные меры и активную работу банков по защите клиентов. 

Замначальника следственного департамента МВД РФ Данил Филиппов на том же мероприятии отметил увеличение динамики преступлений. За 2023 год их совершено было 677 тыс., а за первые четыре месяца этого года — уже более 240 тыс. Рост подтверждают также данные СберБанка на конец июля 2024 года, согласно которым количество атак на банковский сектор превышает показатели 2023 года на 15%.

Так, в июне хакеры атаковали НСПК и Московскую биржу. А совсем недавно, 24 и 25 июля, с продолжительной и мощной DDoS-атакой, которая вывела из строя приложения, столкнулись сразу несколько ведущих банков — ВТБ, Альфа-Банк, Газпромбанк, РСХБ, Райффайзенбанк, Почта Банк и Росбанк. 

В чем проблема

По оценкам телекоммуникационной компании Ericsson, к настоящему моменту количество мобильных устройств, включая смартфоны, составило 8,31 млрд. Это означает, что с момента появления первых мобильных телефонов в 1973 году в 2024-м их количество превысило численность населения Земли. Только в России на одного человека в среднем приходится два смартфона, а 85% граждан получают услуги онлайн, указано в июньском докладе Банка России «Цифровизация платежей и внедрение инноваций на платежом рынке».

По мнению СЕО компании «Интеллектуальная безопасность» (бренд Security Vision) Руслана Рахметова, возможные проблемы с кибербезопасностью банковских приложений можно разделить на две группы.

Первая — уязвимости и ошибки при разработке. Например, связанные с недостаточной защитой банковских и аутентификационных данных при их хранении на смартфонах и передаче по сети или приводящие к некорректному использованию штатного функционала приложений. Бывало, что утекали персональные данные клиентов банка при переборе множества телефонных номеров якобы для отправки денежного перевода. А в 2020 году один из банков при реализации функционала СБП допустил ошибку, которая привела к возможности несанкционированного списания денег.

Вторая группа — вредоносное воздействие на приложение или на само устройство. Это и вредоносное ПО, и мошеннические утилиты удаленного управления, и вирусы из интернета, и фишинговые рассылки, включая «липовые» приложения в магазинах под видом легитимных банковских приложений. Сюда же можно отнести социальную инженерию, когда мошенники выманивают у пользователей одноразовые СМС-коды для доступа к их платежным данным и счетам или когда злоумышленники обманом вынуждают жертву выполнить все переводы самостоятельно, от своего лица.

Эксперт по анализу защищенности департамента систем безопасности компании BSS Роман Ким перечислил основные виды непосредственно самих киберпреступлений.

Фрод. К нему относится фишинг, когда злоумышленники от имени представителей банков отправляют фальшивые электронные письма, СМС или сообщения в мессенджеры, чтобы получить конфиденциальную информацию. Вишинг — телефонное мошенничество, при котором злоумышленники звонят и, представляясь сотрудниками банка, правоохранительной или другой организации, пытаются выведать личные данные. Смишинг — мошенничество через сообщения на телефоны, направленные на получение конфиденциальной информации или заражение устройства.

Вредоносные программы. Роман Ким выделил трояны — по сути, вирусы, которые проникают в устройство и предоставляют злоумышленникам доступ к его данным и управлению ими. Трояны маскируются под легальное программное обеспечение, что усложняет их обнаружение. Кейлоггеры — программы, которые записывают все нажатия клавиш, чтобы перехватывать пароли и другую конфиденциальную информацию. Spyware — шпионское программное обеспечение (ПО), которое собирает данные о пользователе без его ведома.

Взломы. Наиболее грубое и откровенное вредительство — те самые атаки через уязвимости приложений, о которых говорил Руслан Рахметов из Security Vision. Это манипуляции с API — атаки на интерфейсы программирования приложений для обхода систем безопасности. Supply chain attack (атака на цепочку поставок) — метод, при котором злоумышленники пытаются нанести ущерб организации через ее поставщиков и партнеров, а также через зависимости, которые используются при разработке ПО (third-party dependencies). «Это особенно актуально в современном мире, где большинство проектов используют сторонние библиотеки и фреймворки», — заключил Роман Ким.

В чем цель атак на смартфоны 

Цель атак на смартфоны проста — украсть деньги и информацию. Роман Ким из BSS выделил несколько основных путей к этому.

Первый — перехват паролей и данных, когда злоумышленники получают доступ к учетной записи пользователя.

Второй — управление телефоном, когда мошенники могут выполнять действия от имени пользователя, включая денежные переводы и изменение настроек безопасности.

Третий — взлом через другие приложения, использование для доступа к банковским данным уязвимостей в сторонних приложениях, например онлайн-супермаркета или портала «Госуслуги», установленных на устройстве пользователя.

Четвертый — подмена банковского приложения, то есть установка для захвата данных пользователя фальшивого приложения, которое визуально неотличимо от настоящего.

Автор продукта Solar appScreener Даниил Чернов видит особый риск в фиктивных мобильных приложениях, которые можно скачать, например, через AppStore или GooglePlay. Их количество стремительно растет из-за санкций, а банкам все труднее делать запросы в иностранные магазины. «При загрузке можно через API синхронизировать фейковое приложение с банком напрямую или, еще проще, украсть логин и пароль на этапе входа», — пояснил Даниил Чернов. Он отметил, что привлечь внимание пользователей к фейковым приложениям ничего не стоит. «Можно отправить рассылку на электронную почту или написать сообщение в мессенджер, представляясь техподдержкой банка», — конкретизировал Даниил Чернов.

Скрытые последствия

Одно из критичных последствий кибератак для финансовой организации помимо прямых расходов — потеря доверия клиентов, отмечено в докладе Банка России.

Когда миллионы персональных данных становятся общедоступными, пусть даже без финансовых последствий, клиенты разочаровываютсяв способности компании защищать их информацию. 

Регулятор подчеркнул в докладе, что более 90% клиентов в случае получения негативного опыта или неудовлетворительного сервиса чаще всего сразу меняют поставщика. Можно привести в пример сферу торговли и обслуживания: хакерские атаки, такие как в 2024 году на логистического оператора СДЭК и на сеть супермаркетов «Верный», парализовавшие работу их IT-систем на несколько дней, или атаки в 2022 году на доставку Delivery Club и на лабораторию «Гемотест», когда в свободном доступе оказалось несколько миллионов записей с заказами. Это побудило государство усилить наказание компаний за утечки и сбои.

Банк России со ссылкой на Базельский комитет отметил, что бесперебойное и безопасное использование новых технологий и бизнес-моделей требует от банков и других поставщиков платежных услуг выделения максимальных ресурсов и внедрения всех должных процессов для защиты данных и управления рисками.

Что делают банки

По данным компании-разработчика «СерчИнформ», 49% кредитно-финансовых организаций продолжили наращивать бюджеты на ИБ.

Данная сфера, как пояснил начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд, традиционно больше других уделяет внимание вопросам информационной безопасности. «Этому способствуют как строгие требования регуляторов, предъявляемые к организациям из этой отрасли, так и реальные потребности в защите», — отметил Алексей Дрозд.

Основные меры безопасности, которые применяют банки в отношении своих мобильных приложений, по словам Романа Кима, — двухфакторная аутентификация для повышения уровня защиты учетной записи, шифрование передачи данных между устройством пользователя и сервером банка, постоянный мониторинг активности и своевременное обновление систем безопасности.

Руслан Рахметов сообщил, что разработка мобильных приложений включает в себя соблюдение рекомендаций и лучших практик по безопасности от Google и Apple. «Это защита кода приложения, контроль отсутствия Root и Jailbreak, изоляция приложения во время работы, надежная аутентификация пользователей, защита (шифрование, цифровая подпись) данных при хранении, использовании и передаче», — рассказал Руслан Рахметов и уточнил, что некоторые финансовые организации встраивают в свои приложения антивирусы и механизмы блокировки удаленного доступа, санкционированность которого не всегда удастся определить.

«В 2021 году, например, Тинькофф Банк (сейчас Т-банк. — «Б.О») запустил ассистента Олега, который должен был защищать пользователя от спамеров и мошенников, — напомнил Алексей Дрозд («СерчИнформ»). — Также некоторые банки используют после каких-либо подозрительных действий “период охлаждения”, в течение которого банк приостанавливает движение денежных средств. Если, например, меняется сим-карта или номер телефона, то пользователь какое-то время не может зайти в банковское приложение или совершать переводы». Алексей Дрозд добавил, что некоторые банки блокируют возможность запуска приложения, если на смартфоне установлена программа для удаленного доступа. 

Все эксперты как основные способы защиты выделяют многофакторную аутентификацию — подтверждение входа сразу несколькими способами, биометрическую верификацию — использование для подтверждения личности отпечатков пальцев или Face ID, уведомления о подозрительных действиях — незамедлительное сообщение пользователю о попытках несанкционированного доступа.

Инструкция по применению

«Все данные, которыми мы располагаем, весь житейский опыт говорят о том, что от мошенников страдают люди любого возраста, любого социального статуса и, к сожалению, любого уровня образования, если у них нет специальных финансовых знаний», — сказала председатель Банка России Эльвира Набиуллина, выступая в конце июня 2024 года на Х Всероссийском конгрессе волонтеров финансового просвещения.

Даниил Чернов рассказал, о чем в первую очередь банки должны предупреждать своих клиентов.

Социальная инженерия или манипулирование пользователем. Чтобы от этого защититься, пользователю важно обладать здравым скепсисом, не доверять подозрительным запросам и всегда проверять подлинность информации, прежде чем предоставлять конфиденциальные данные.

Фейковые мобильные приложения. Для борьбы с ними банк может контролировать появление новых приложений и при необходимости обращаться к официальным магазинам для их удаления. Пользователям Даниил Чернов рекомендует следующее: при скачивании обязательно убедиться, что приложение действительно выложено от имени банка и находится в официальном магазине, а также что в нем адекватное количество пользователей. «Если банк находится под санкциями, то скачивать приложение можно в случае, если ссылка получена в официальном чате банка, а еще лучше позвонить на горячую линию и уточнить, действительно ли это легитимное приложение, а не подделка», — обратил внимание на риски Даниил Чернов.

Алексей Дрозд, в свою очередь, указал на несколько способов показать защищенность приложения и серьезное отношение к безопасности. Во-первых, в России существуют площадки Bug Bounty, которые помогают компаниям найти уязвимости в их продуктах. Во-вторых, компании могут открыть исходных код своего приложения или его части, чтобы независимые эксперты могли искать в нем уязвимости. Третий способ проверки — независимый аудит безопасности, который проводят специализированные компании. «Также клиенты могут обращать внимание на независимые исследования, в которых эксперты проводят оценку защищенности банковских приложений», — подчеркнул Алексей Дрозд.

Шпионские страсти 

Эксперты говорят также о риске инсайда, в том числе риске внедрения в организацию шпиона или подкупа сотрудника.

«Из-за фокуса на внешних угрозах банки часто упускают из виду риски, связанные с инсайдерами, — прокомментировал Алексей Дрозд. — Почти в половине инцидентов информационной безопасности оказывается виноват внутренний пользователь». По данным Алексея Дрозда, наиболее вероятную угрозу представляют сотрудники, ведь они знают, как устроена инфраструктура, лучше хакеров понимают, где и какие документы хранятся внутри организации и регулярно обращаются к этим данным по рабочим задачам. «Наш клиент из кредитного учреждения столкнулся с тем, что один из сотрудников готовился к переходу на работу в конкурирующий банк. Чтобы не уходить с пустыми руками, сотрудник скачал на личную флэшку информацию, составляющую коммерческую тайну банка», — рассказал Алексей Дрозд. По его словам, служба безопасности сумела предотвратить утечку — сработала DLP-система, то есть специальная программа, которая контролируют передвижения критичных данных внутри компании. Но если бы данные оказалась у конкурентов, банк только за один год потерял бы десятки миллионов рублей.

Как отметил Руслан Рахметов, всегда есть риск, что недавно нанятый и перспективный сотрудник окажется засланным конкурентами инсайдером, а давно работающий специалист по каким-либо причинам (финансовым или моральным) вдруг утратит лояльность к работодателю. «Злоумышленники активно пытаются вербовать сотрудников различных организаций, обещая значительные денежные средства в обмен на, казалось бы, незначительное и простое действие — переслать несколько файлов по почте, открыть полученный файл, сделать фотографию экрана компьютера и т.д.» 

Руслан Рахметов советует для предотвращения подобного, во-первых, тщательно проверять кандидатов перед приемом на работу и подписывать с новым работником юридически значимые соглашения о защите корпоративной информации (например, в соответствии с 98-ФЗ «О коммерческой тайне»). Во-вторых, обеспечивать эффективный контроль работы персонала с применением организационных и технических мер защиты, включая DLP-системы для защиты от утечки данных.






Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ