07.02.2023, 12:05
Количество просмотров 2962

Хакеры vs банки: атака и защита. Стоит ли бояться за свои счета

Количество атак на российский сегмент рынка в 2022 году увеличилось в несколько раз. Больше всего досталось финансовому сектору: сайты и приложения банков и брокеров регулярно сталкиваются с техническими проблемами. Ситуацию анализирует Александр Лямин, основатель Qrator Labs.
Хакеры vs банки: атака и защита. Стоит ли бояться за свои счета

26 октября 2022 года пользователи потеряли доступ к мобильному приложению БКС на 6 часов из-за волны кибератак. 19 октября о DDoS-атаке сообщил брокер «Финам». 10 октября кибератаки были зафиксированы службой безопасности «Открытие Инвестиции»: некоторые клиенты столкнулись с проблемами в работе приложения.

Прослеживается не очень хорошая тенденция. Графики показывают, что в 2022 году количество атак выросло более чем в 10 раз: минимальные показатели последнего года на порядок выше пиковых значений в дофевральский период.

Интенсивность DDoS-атак на российские компании с февраля 2022 года

  54132.png  

По данным Qrator Labs

Некоторые крупные предприятия и организации научились справляться с атаками (Сбербанк успешно нейтрализовал массированную DDoS-атаку), поэтому хакеры переключились на компании второй линии, которые все еще остаются неподготовленными.

Не секрет, что финансовые учреждения всегда были заветной целью киберпреступников, так почему же спустя восемь месяцев после ключевых февральских событий банки и брокеры так и не сумели справиться с хакерами-любителями?

Кто стоит за кибератаками

Точно отследить источник DDoS-атаки можно, но это ничего даст: такие атаки распределены по всему адресному пространству интернета. DDoS — это Distributed

Denial of Service, и первая буква в аббревиатуре как раз указывает на то, что атаки исходят изначально со всех точек земного шара.

Именно фактор «распределенности» служит мощным и эффективным инструментом атаки. Если бы источник атаки можно было легко обнаружить, существовала бы возможность его устранить или прервать с ним связь.

Инициаторами большинства современных атак называют хактивистов, выражающих таким образом свой социально-политический протест. Однако нельзя со 100% уверенностью приписывать им абсолютно все атаки, несмотря на то что корреляция между сообщениями в телеграм-каналах и атаками на российские компании несомненно есть. Ни для кого не секрет, что существуют Telegram каналы и различные форумы, где координируются действия хакеров и обозначаются цели грядущих атак. Часть этих нападений оказываются успешными и неизбежно попадают в многочисленные новостные ленты.

В этой связи можно вспомнить другие похожие кибератаки хактивистов прошлых лет. Например, знаменитые «рождественские атаки на игровые сервисы: Sony PlayStation, Microsoft Xbox и Steam в 2014 году, целью которых также был некий социальный протест. Ответственность за нападения на себя взяла группировка Lizard Squad.

В современной реальности большая часть фиксируемых DDoS-атак не была организована профессионалами и не способна навредить инфраструктуре хорошо подготовленной компании, но иногда среди нападений встречаются аномалии, когда уровень сложности атаки существенно отличается от обычно наблюдаемых значений.

За организацией таких аномальных атак стоят уже настоящие специалисты – профессиональные хакеры, которые либо сочувствуют идеям хактивистов, либо преследуют свои цели. Например, в нынешней ситуации под прикрытием хактивистов хакеры имеют прекрасную возможность протестировать и показать свой арсенал кибероружия без особых последствий для себя.

Как пробивается защита

Почему многие российские банки спустя почти год все еще регулярно становятся жертвами DDoS-атак?

Если говорить языком метафор, то атака – это снаряд, а защита от DDoS-атак – броня. Соответственно, чем толще становится броня, тем мощнее должен быть снаряд. Но есть один нюанс: следует также учитывать, куда именно может быть нацелен снаряд и под каким углом он может ударить.

Если цель того стоит, хакер всегда сможет найти какую-то незащищенную часть инфраструктуры, уязвимый участок в броне — вроде DNS-сервера, отвечающего за хранение информации об IP-адресе сайта, или внутренних корпоративных систем, про защиту которых компании часто забывают. И тогда DDoS-атака непременно достигает своей цели, вызывая полный отказ приложений.

Так, атака на крупнейшего регистратора доменных имен Ru-Center для многих стала полной неожиданностью. Как следствие, сотни тысяч пользователей не могли получить доступ к своим сайтам и корпоративной почте, размещенных на хостинге mail.nic.ru.

DDoS с большой дороги

Потери от успешной DDoS-атаки компании часто недооценивают. Как правило, в расчет берут только упущенную прибыль – это потенциальный доход, который компания потеряла во время приостановки работы сайта или приложения.

На самом деле это в корне неправильно. В долгосрочной перспективе такая оценка приводит к краху компании и более существенным убыткам. Например, к потере рынка и лояльности среди клиентов. Иногда к убыткам добавляют дополнительную нагрузку на кол-центры и инженерную службу.

Многие компании только «арендуют» кол-центры, которые работают по принципу поминутной оплаты телефонного трафика. Неудивительно, что во время атаки, когда пользователи в панике пытаются связаться с техподдержкой банка или брокера, такой аутсорсинг становится абсолютно невыгодным. К тому же организация может нести убытки из-за оплаты сверхурочных инженерной службе, которая в авральном режиме, возможно, все следующие сутки и ночь будет ликвидировать последствия DDoS-атаки.

Но самой невосполнимой потерей является потеря доверия, если компания регулярно подвергается DDoS-атакам, которые замечают пользователи. Доверие по своей ценности для бизнеса существенно перевешивает все остальные издержки и расходы: репутация превыше всего, особенно если речь идет о финансовых организациях.

Под прикрытием DDoS

Сами по себе DDoS-атаки не угрожают ни данным пользователей, ни их деньгам. Но очень часто в момент нападения параллельно идет взлом ресурса, несанкционированный доступ к информации с целью кражи или удаления данных.

Как правило, DDoS-атака – один из компонентов атаки на финансовую организацию, который используют в качестве «дымовой завесы», чтобы загрузить кол-центры, технические службы и информационные системы. Таким образом отвлекая внимание, хакеры спокойно могут осуществить вывод денежных средств или получить доступ к закрытой коммерческой информации.

В финансовом сегменте крупные банки с хорошей защитой в момент DDoS-атак ставят переводы крупных транзакций на ручной контроль либо вообще их приостанавливают. Однако, к сожалению, пока так делают далеко не все.

Как защитить свои деньги

Важно помнить, что параллельно с проведением DDoS-атаки злоумышленники могут красть деньги клиентов банка. Если в момент атаки поставщика финансовых услуг его пользователи получают подозрительные SMS, электронные письма или звонки, следует обязательно связаться с банком. Можно позвонить на горячую линию или написать в чат службы поддержки и рассказать о полученных от «банка» сообщениях.

В таких ситуациях полнота картины очень важна для службы безопасности банка (даже важнее работающей кофемашины). Предоставленная клиентами информация поможет обнаружить и предотвратить еще один неучтенный вектор атаки, а значит, будут сохранены средства большого числа пользователей.

Чтобы избежать таких ситуаций, в том числе, необходимо ответственно подойти к выбору банка или брокера. Если компания периодически становится жертвой DDoS-атак, это может быть сигналом о недостаточной надежности финансового учреждения с точки зрения киберустойчивости.

В таком случае безопаснее быть клиентом крупного банка. Да, есть угроза того, что большой банк или брокер всегда будет жертвой №1 для всевозможных атак, но с другой стороны, такие организации, как правило, максимально заботятся о своей безопасности и не допускают простоев в работе сервисов.

Можно воспользоваться и другой тактикой, выбрав небольшой банк, который, с большой долей вероятности, не будет привлекать внимания хактивистов.

Стоит отметить, что хорошая защита, к сожалению, не появляется только от «тушения» проблемы деньгами. «Толстая броня» требует времени, мотивации, опыта пререквизитов и готовности организации к сложным и частым трансформациям, чтобы адаптироваться к новым рискам и вызовам.

С этой точки зрения, у крупных компаний больше ресурсов и возможностей, но и тут есть свой нюанс: провести любую, даже минимальную реконструкцию процессов в большой организации гораздо сложнее.

В данных обстоятельствах у малых и средних финансовых компаний есть больше шансов быть инновационными, внедрять новые сервисы и подходы к обеспечению безопасности. И дело тут не только в деньгах, а скорее в желании и в наличии экспертизы. Но выбор, кому доверять свои деньги, всегда остается за конечным пользователем.

Рубрика:
{}Безопасность
Новости в вашей почте
mail

PLUSworld в соцсетях:
telegram
vk
dzen
youtube
ЕЩЁ НОВОСТИ