Атаки на банки через Swift: мнение ИТ-эксперта

П. Луцик: Думаю, говорить о принципиальной новизне не стоит. Например, с августа 2015 года по февраль 2016 хакерская группа Buhtrap, по результатам исследования компанией Group-IB, совершила более 10 успешных атак на банки России на общую сумму, близкую к 2 миллиардам рублей. 

Единственное отличие – использование злоумышленниками разных типов уязвимостей. Если раньше для этого использовались уязвимости офисного ПО, то теперь дошло дело до прикладного софта. 

П. Луцик: Фишинговые письма могут быть частью направленных APT (Advanced Persistent Threat) атак, особенно на финансовые учреждения с целью денежных хищений. В приложении к такому письму, которое нередко отправляется с доменных имен, близких к названиям известных компаний, может находиться специальным образом сформированный RTF-документ, эксплуатирующий имеющиеся уязвимости. 

При открытии такого документа создается файл с расширением .exe, который прописывается в автозагрузку и устанавливает вредоносную программу, которая является частью комплексной системы атаки. После этого злоумышленники могут управлять зараженными компьютерами, в том числе и создавать мошеннические платежные поручения и отправлять их на оплату. 

Также вредоносное приложение может быть установлено на устройство пользователя в результате посещения взломанных сайтов, с которых человек автоматически попадает на сервер с набором эксплойтов. 

И наконец, «заразиться» можно, скачав в интернете модифицированную версию какой-либо программы. 

То есть обнаружить подвох, самостоятельно соглашаясь на скачивание или совершая какие-то действия, довольно сложно. Отсюда – и высокая эффективность такого типа атак. 

П. Луцик: Борьба с направленными атаками, реализуемыми путем фишинговых рассылок и других способов получения пользователями эксплойтов (программ, эксплуатирующих имеющиеся уязвимости) продолжает оставаться одной из наиболее актуальных, особенно в банковской сфере. 

Для противодействия такого рода атакам важно вовремя и правильно на них среагировать, лучше, конечно, не открывать странные письма и не скачивать сомнительные приложения, но добиться этого сложно. 

На корпоративном уровне для исключения подобных случаев необходимо, во-первых, гибко выстроить процессы управления информационной безопасностью, включая процессы повышения осведомленности конечных пользователей в вопросах безопасности и реагирования на инциденты. 

И, во-вторых, понадобится комплекс технических средств, способных защитить как от уже известных вирусов и атак (тут помогут межсетевые экраны нового поколения, антивирусы, антиспам-решения, средства анализа защищенности, регулярное обновление и по возможности анализ на уязвимости используемого ПО), так и сигнализировать о подозрительных активностях на уровне сети и конечных точек (тут помогут так называемые «песочницы» и анализаторы сетевых аномалий). 

П. Луцик: Борьба с любыми атаками и вирусами в киберпространстве похожа на борьбу с биологическими вирусами – появляется новый вирус, медицина разрабатывает вакцину от него, когда вирус начинает мутировать и появляются новые штаммы, в ответ медицина разрабатывает новую вакцину и так далее. 

Так же и в киберпространстве - это бесконечный процесс, по крайней мере пока у банков есть деньги. И защититься раз и навсегда, к сожалению, невозможно. Но можно быть готовым к любому развитию событий и оперативному реагированию на подобные события, имея арсенал организационно-технических средств, примеры которых приведены выше.