[Информационная безопасность] Что мы узнали из нового отчета ФинЦЕРТа

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
05-Апр-2021 21:30

23 марта ФинЦЕРТ выложил отчет"Основные типы компьютерных атак в кредитно-финансовой сфере в 2019-2020 годах". Есть любопытные моменты. Но главное, что обращает на себя внимание, – это небольшой график, который легитимизировал тот постулат, который мы повторяем год за годом: больше персданных – больше атак. Интенсивность атак на физлица росла пропорционально объему скомпрометированных ПДн клиентов финансовых организаций. Это делает фишинг опаснее – люди с большей вероятностью верят мошенникам, если те называют их по имени, знают паспортные данные и т.п. Но в качестве защитной меры для пользователей за последние два года не придумали ничего лучше, чем информирование (пиар и красивые плакаты).
Что в отчете?ФинЦЕРТ регулярно анализирует данные по мошенническим операциям по счетам граждан и атакам на банки. На этот раз дал срез ситуации с ИБ внутри и вокруг финсектора за 2019 и 2020 годы. Оценивали атаки на банки и их клиентов – организации и физических лиц. По сути, отчет всеобъемлющий и позволяет сделать универсальные выводы о схемах мошенников: они всегда завязаны на деньгах, куда бы ни целились. Для банковТрадиционно это одна из самых защищенных отраслей, здесь все в порядке с оснащенностью ИБ-инструментами (например, по нашим данным DLP против внутреннего мошенничества есть в 59% организаций, почти вдвое больше, чем в среднем по всем отраслям). И качество защиты растет. Способствуют высокие риски и пристальный контроль регулятора. В итоге традиционные атаки здесь уже не проходят – ФинЦЕРТ отмечает спад массовых фишинговых рассылок, их результативности, так что мошенникам они стали невыгодны.Понятно, что атаки не кончились, а лишь сместили вектор. Теперь ситуация, как ее описывает ФинЦЕРТ выглядит так:
  • Большинство атак все еще идет через почту. Письма содержат ссылки на зараженные сайты или вложения с зашитыми в них вирусами. Для убедительности отправители мимикрируют под домены регуляторов, крупных финорганизаций и пр. – в строгом соответствии с классикой жанра.
  • Вместо массовых рассылок практикуют точечные – теперь это 85% всех email-атак. К адресатам обращаются по имени, эксплуатируют темы, актуальные для решения конкретных рабочих задач. Реальные ящики для таких атак пока ломают редко, чаще маскируются под известного отправителя.
  • Шифровальщики резко потеряли спрос, популярнее шпионское ПО и браузерные плагины. Красть деньги «в лоб» с помощью вымогательства больше не получается, поэтому мошенники вынуждены играть в долгую – красть и перепродавать данные.
  • Под прицелом онлайн-банкинг и банковские приложения для пользователей. Злоумышленники исследуют приложения на наличие уязвимостей и затем эксплуатируют их, чтобы красть данные или перенаправлять платежи.
Всего за два года насчитали 2881 вирусную атаку на банки, реальная цифра может быть в разы выше.Как атаковали клиентов. Юрлица.Популярностью пользуется следующая схема атак на юрлица. Чтобы добраться до счетов компании, злоумышленники используют удаленный доступ – модифицированное ПО типа «невидимый TeamViewer». Оно получило название RTM (сокращение от Remote Transaction Manager, обнаруженного в коде ВПО), за ним и группировка, активнее всех практикующая способ.Вариантов несколько:
  • Внедрение ПО для удаленного администрирования с дополнительной библиотекой, которая скрывает программу в трее. Иногда использовались программы, ранее установленные самими пользователями. Через них хакеры получают возможность напрямую осуществлять переводы со счета организации, пользуясь доступом к платежному клиенту под видом легитимного пользователя. Учитывая распространение легальных версий такого ПО в период удаленки, под угрозой любая организация.
  • Встраивание специального модуля в процесс веб-браузера. Через «закладку» (например, плагин к браузеру) хакеры могут подменить платежные поручения, пока пользователь пытается провести платеж от имени организации в веб-версии банковского клиента.
  • Копирование сертификатов доступа в систему дистанционного банковского обслуживания, если они хранились на обычном носителе вместо защищенного токена. Затем остается только получить пароли к ДБО с помощью кейлоггера или WebBrowserPassView – и у злоумышленников полный доступ к счетам компании. Атака самая бронебойная, поскольку позволяет в дальнейшем проводить операции в неконтролируемом пространстве – с других машин и IP-адресов. Но сложная в реализации, а потому менее распространенная.
RTM распространяли в основном по почте.
Второй по популярности метод – через зараженный сайт, откуда пользователи могут скачать необходимые в работе документы (с виду легитимные формы по образцу регулятора, тексты регулирующих документов и пр.) – этакий «консультант-плюс» со зловредной начинкой.Как атаковали клиентов. Физлица.А вот атаки на обычных пользователей не претерпели значительных изменений, здесь по-прежнему «рулит» социнженерия. За два года число таких атак выросло на 88%. И против этого лома пока нет приема.Топ угроз для рядовых юзеров выглядит так:
  • Мошеннические звонки. 84% всех атак мошенники проворачивают по телефону, в 98% случаев звонят «из банка». Схемы не меняются, разве что злоумышленники стали чаще играть на теме безопасности (жертву пугают «утечкой данных» или «кражей средств со счета», в 41% случаев звонящий представляется безопасником, в последнее время еще и сотрудником полиции). И вот тут самое интересное. Базы для обзвона мошенники берут из утечек. ФинЦЕРТ указывает на четкую корреляцию! В октябре 2019 года случился пик утечек данных, а спустя пару месяцев – выросло число фишинговых атак (см. заглавную картинку).Хотя ФинЦЕРТ отчитывается, что велел операторам связи заблокировать 26 397 мошеннических номеров, понятно, что это капля в море.
  • Фишинговые сайты на актуальную тему. Мошенники активно эксплуатируют «горячие» инфоповоды и плодят фейковые домены – это видно на теме COVID-19, социальных выплат, роста популярности сервисов доставки (мы наглядно демонстрировали эту тенденцию в нашем собственном отчете о типах мошенничеств с доменами и самых актуальных информационных поводах, которые использовали злоумышленники). Эти сайты заражают вредоносным ПО или крадут деньги и данные через формы регистрации. Фишинговые домены долго не живут, по данным ЦБ от обнаружения до блокировки проходит от 3 часов до 3 дней. Но этого оказывается достаточно, чтобы успеть провернуть задуманное. Кроме того, мошенники действуют оперативно: штампуют сайты, как горячие пирожки, продвигают в поисковой выдаче, и в итоге только за время локдауна их аудитория суммарно составляла 100 тыс. пользователей в сутки.
  • Доски объявлений. ЦБ заметил, что на «Юле» и «Авито» не все ладно – общее количество псевдосделок не посчитали, зато выяснили, что в 83% случаев мошенники стараются выманить жертву за пределы площадки (в СМС, мессенджеры) для обсуждения покупки/продажи товара. И уже здесь выманивают деньги.
В результате только за 2019 год ФинЦЕРТ насчитал 576 566 операций по счетам без согласия клиента на общую сумму в 6426,5 млн руб. 69% из этого числа пришлось на «разводы»: когда люди сами сообщали мошенникам платежные данные или переводили им средства. Как быть?ЦБ отчитывается, что ведет информкампанию по борьбе с мошенниками. Внутри кредитно-финансовой сферы это, кстати, неплохо работает, ФинЦЕРТ регулярно оповещает банки о новых угрозах и собирает отчеты по инцидентам ИБ – результат налицо. Вне ее все ограничивается агитками в СМИ и плакатами в бюджетных учреждениях. Вряд ли это очень эффективно. К примеру, как-то так получилось, что лишь из отчета я узнал об их информационном ресурсе для финансового ликбеза "Финансовая культура". Оказывается, на нем есть неплохой разделпро мошенников. А теперь риторический вопрос: как много людей знает об этом ресурсе?При этом ЦБ признает: при атаке мошенников поможет только бдительность. А если она подвела – помощи жертве ждать неоткуда. В подавляющем большинстве случаев банки не возвращают деньги – ведь если жертва назвала мошенникам CVV или код из СМС, то нарушила условия договора. Решить проблему, похоже, и правда может только массовый ИБ-ликбез. ЦБ пока обучает профессионалов – недавно прошел курс по кибербезопасности для правоохранителей, разбирали, как расследовать и предотвращать киберпреступления. Дальше в планах обучение для ИБ-специалистов банков и других компаний. Мы заходим с другого конца: рассказываем сотрудникам госорганизаций и бизнеса, откуда ждать подвоха, чему не верить и как спасать деньги и данные, в случае чего. Остается со сдержанным оптимизмом надеяться, что повторение – мать учения, и если у пользователей не разовьется «слепота невнимания» на предупреждения о мошенниках, то выработается привычка им не доверять.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_bank_rossii (банк россии), #_informatsionnaja_bezopasnost (информационная безопасность), #_fishing (фишинг), #_otchety (отчеты), #_blog_kompanii_searchinform (
Блог компании SearchInform
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:36
Часовой пояс: UTC + 5