Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №5 » 216 просмотров

Почему хакерские группировки все реже грабят банки?

Почему хакерские группировки все реже грабят банки?

По данным исследования «Hi-Tech Crime Trends 2019/2020» компании Group-IB,ущерб российских банков от кибератак снизился на 85% по итогам 12 месяцев 2018–2019 гг.; совокупный ущерб составил 510 млн рублей, в то время как годом раньше хакерам удалось похитить 3,2 млрд рублей.

Уменьшилось число целевых атак, стало меньше троянских программ для компьютеров и смартфонов, в когда-то всемогущий фишинг сократился на 65%. Все говорит о том, что киберпреступники быстро теряют интерес к атакам на банки. О том, в каком направлении и почему смещается вектор финансовых интересов киберпреступных группировок, рассказывает Михаил Кондрашин, технический директор Trend Micro в России и СНГ.

О хакерских группировках

Современные хакеры уже давно не работают в одиночку, поскольку практически любая серьезная кибератака требует множества различных знаний и навыков, а также параллельной работы нескольких человек, решающих разные задачи. Можно выделить три основных разновидности хакерских группировок:

  • государственные хакеры, например, Lazarus, Pawn Storm (Fancy Bear), Turla, EquationGroup;
  • финансово-ориентированные хакеры, такие как Cobalt, MoneyTaker, Silence, SilentCards, Lazarus и другие;
  • хактивисты– Anonymous, LuzlSec, Lizard Squad.

Приведенная классификация довольно условна, поскольку госхакеры могут проводить финансовые кибератаки как для пополнения своего бюджета, так и для отвлечения внимания от других своих операций, а хактивисты – похищать деньги, чтобы отправить их фонду защиты дикой природы. Кибершпионаж, атаки на промышленные предприятия и вымогательские кампании в конечном счете имеют финансовую мотивацию. Другими словами, практически все хакерские группировки работают ради того, чтобы получить больше денег. Вполне закономерно, что главной мишенью для охоты за деньгами стали банки.

Следуя за развитием технологий, хакерские группировки разработали разнообразные способы ограбления банков, причем на смену устаревшим неэффективным методам постепенно пришли новые, более результативные. Основным критерием становится соотношение затрат на проведение киберкампании к выручке.

Начав с атак на счета клиентов – юридических лиц, группировки перешли к проникновению в инфраструктуру банков, компрометируя системы электронных платежей, перехватывая управление банкоматами и даже внедряясь в процессинговые центры. А когда оказалось, что благодаря усилиям банков стоимость и риски таких атак становятся все более высокими, группировки переключились на менее опасные варианты, атакуя физических лиц. Небольшая сумма «выручки» от одного клиента компенсировалась низкими затратами и огромным количеством потенциальных жертв.

Атаки на компании через системы ДБО

Не все хакеры решались сразу нападать на банки, предпочитая отточить свои навыки на их клиентах. Именно так развивалась группировка Buhtrap, появившаяся в поле зрения в 2014 году.

Для проведения кампаний хакеры Buhtrap использовали следующую схему:

  • регистрировали доменные имена, схожие по написанию с доменами известных компаний;
  • для этих доменов создавали почтовые серверы, с которых производили фишинговые рассылки;
  • мошеннические письма содержали вложение, запускающее модуль, который искал на компьютере жертвы систему ДБО, и если находил, загружал и незаметно устанавливал программу для удаленного управления (Remote Access Tool, RAT);
  • хакеры подключались к зараженному компьютеру, в системе ДБО создавали платежные поручения и отправляли их в банк, который «спокойно» переводил средства на счета преступников.

Максимальный размер ущерба от атаки Buhtrap на клиентов банка составил «всего лишь» 40 млн рублей, поэтому в погоне за деньгами они скоро перешли на новый уровень и стали внедряться в банковскую инфраструктуру.

Атаки на инфраструктуру банка

Подмена реквизитов в АРМ КБР

Для упрощения взаимодействия с банками ЦБ РФ разработал и опубликовал у себя на сайте описание унифицированного формата обмена электронными банковскими сообщениям (УФЭБС) и программный комплекс автоматизированного рабочего места клиента Банка России (АРМ КБР). С помощью АРМ КБР банки отправляли межбанковские платежи в ЦБ для дальнейшей обработки и получали из ЦБ «рейсы», содержащие сведения о поступивших в адрес клиентов банка платежах.

Изучив формат сообщений и работу АРМ КБР, хакерские группировки получили новые возможности для хищения денег. Все, что для этого требовалось, – проникнуть в сеть банка и добраться до компьютера с АРМ КБР, а затем, используя программу для удаленного доступа, подменить в отправляемых платежах реквизиты получателя на собственные.

Чтобы попасть в сеть банка, группировки по большей части использовали фишинговые письма, содержащие вредоносные вложения. Когда сотрудник банка открывал такое вложение на своем рабочем месте, запускалась программа, которая искала компьютер с АРМ КБР и устанавливала на него RAT.

Способ с подменой реквизитов в файлах АРМ КБР работал только для российских банков, поэтому его применяли русскоговорящие группировки – Silence, MoneyTaker, Lurk, Buhtrap и Annunak. Для атак на иностранные банки использовались другие векторы, например, внедрение в систему управления банкоматами, к котором следует поговорить подробнее.

Внедрение в систему управления банкоматами

Чтобы расширить географию, группировки стали использовать еще одну методику хищения: с помощью вредоносной программы они заставляли банкоматы в нужный момент выдавать деньги.

Для проникновения в сеть банка в основном использовались фишинговые письма. Этот вектор использовали Silence, Cobalt, Lazarus, MoneyTaker и другие группировки.

Помимо фишинга, технически продвинутые группировки использовали уязвимости сетевого оборудования и атаки через цепочки поставок и атаки типа «водопой» (watering hole).

Попав в сеть банка, вредоносный код находил банкоматы и внедрял на них троянскую программу для управления диспенсером. После этого нужно было направить курьеров к банкомату и отдать команду на выдачу денег, которые буквально «вылетали» в руки курьерам из устройства самообслуживания.

Атака FastCash

Поскольку использование банкомат-троянов для проведения диспенсера требовало не только технически сложной операции по внедрению в банкоматы, но и координации взаимодействия «мулов» и «центра управления», группировка Lazarus разработала более эффективный метод.

Для проведения атаки требовалось:

  • получить доступ в сеть банка с помощью фишинга или других имеющихся в арсенале хакеров способов;
  • найти в сети банка сервер приложений ATM Switch, отвечающий за обработку транзакций с банкоматов (во время снятия денег с банкомата на этот сервер приходит запрос остатка по карте, сервер проверяет остаток в банковской системе, и если средств достаточно, отправляет подтверждение операции);
  • в процесс обмена данными на сервере ATM Switch внедрялась вредоносная библиотека, которая перехватывала запросы остатка и для нужных карт подтверждала операцию выдачи денег.

Таким образом, достаточно было вручить курьерам карты, зарегистрированные во вредоносной программе, после чего они могли в любое удобное время опустошать банкоматы скомпрометированного банка один за другим.

Используя этот способ атаки, группировка Lazarus в 2018 году похитила 11 млн долл. США у индийского Cosmos Bank. В течение 7 часов в 28 странах было проведено почти 15 тыс. транзакций с использованием «специально изготовленных преступниками карт.

Атаки на клиентов банков

Подсчитав убытки от кибератак, банки пересмотрели свою бюджеты на безопасность и стали внедрять средства противодействия, политики и регламенты информационной безопасности. По оценкам экспертов, стоимость набора инструментов для кражи денег из банка составляет более 55 тыс. долларов США. При этом из-за принимаемых банками мер эффективность таких атак стала снижаться, что вынудило хакеров в поисках новых способов заработка переключиться на физических лиц и применять иной набор инструментов.

 Банковские трояны

Множество людей используют свои смартфоны для взаимодействия с банками и оплаты онлайн-покупок. Заражая смартфоны вредоносным ПО, хакеры получали возможность

  • переводить деньги по каналам SMS-банкинга;
  • похищать деньги жертвы через поддельное банковское мобильное приложение;
  • собирать данных карт, логинов и паролей, показывая фальшивые окна поверх настоящих форм оплаты или регистрации в банковском приложении.

Онлайн-скиммер

Один из самых простых и эффективных способов компрометации банковских карт – использование онлайн-скиммера. Скиммер представляет собой вредоносный JavaScript-код, который злоумышленники добавляют на сайт интернет-магазина или иного ресурса, где имеется онлайн-оплата. Скиммер перехватывает и отправляет хакерам вводимые пользователями номера банковских карт, имен, адресов, логинов, паролей. Полученные платежные данные преступники перепродают на теневых форумах или используют самостоятельно.

Одним из способов добавления на сайты скиммеров стали открытые для записи хранилища Amazon S3, о поиске которых мы рассказывали в исследовании «Untangling the Web of Cloud Security Threats».

Социальная инженерия

Атаки с использованием социальной инженерии не требуют сложных технических инструментов – мошенникам вполне хватает телефонных звонков, SMS-канала и соцсетей.

Примерный сценарий общения с мошенником выглядит так:

  • злоумышленник связывается с жертвой, представляется сотрудником банка и сообщает, что зафиксирована попытка взлома личного кабинета или вывода средств;
  • чтобы заблокировать атаку или остановить перевод, нужно помочь банку решить техническую проблему – для этого требуется срочно установить программу для удаленного управления смартфоном;
  • как только жертва устанавливает на телефон TeamViewer или аналогичную программу, мошенник заходит в банковское приложение и переводит деньги жертвы себе.

Что в итоге?

Реализация атак с внедрением в инфраструктуру банка или процессинга требует серьезных технических навыков, а также довольно затратна в плане координации и вывода средств: приходится оплачивать командировки «мулов» и учитывать риск их ареста. Кроме того, группировки вынуждены постоянно «затачивать пилу», поддерживая в актуальном состоянии инструментарий для проведения атак на банки. Стоимость такой поддержки может вылиться в значительную сумму. При этом банки также постоянно совершенствуют защитные системы, что делает задачу их киберограбления все более сложной и дорогостоящей.

С другой стороны, все больше людей используют банковские карты для оплаты покупок в интернете и активно работают с системами онлайн-банкинга и мобильными банковскими приложениями. При этом значительная часть владельцев карт обладает крайне низким уровнем грамотности в сфере информационной безопасности, что делает их идеальным объектом для атак.

По данным ФинЦЕРТ Банка России, в 2019 году объем всех операций, совершенных без согласия клиентов – физических и юридических лиц – с использованием электронных средств платежа, составил 6,427 млрд рублей. Средняя сумма одной операции без согласия клиента по счетам физических лиц в 2019 году составила 10 тыс. рублей, юридических лиц – 152 тыс. рублей. При этом большая часть мошеннических операций приходится на счета физлиц – объем хищений в этом сегменте составил 5,7 млрд рублей. Эта сумма в 11 с лишним раз больше, чем ущерб от кибератак на банки за тот же период!

Таким образом, атаки на людей становятся все более популярным направлением деятельности киберпреступных группировок, что вполне логично, учитывая простоту и низкую стоимость их реализации, значительно меньшие риски и высокую эффективность. По мере дальнейшего совершенствования защитных систем банков можно прогнозировать, что хакеры все активнее будут атаковать физлиц – самое уязвимое звено в цепочке взаимодействия банков и клиентов.

По материалам PLUSworld.ru


Понравился материал? Поделись.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных