Вейлинг в России. Охота на VIP-клиентов набирает обороты?

Ужесточение антироссийских санкций может серьезно изменить ситуацию с приоритетами киберугроз, но именно здесь наработки отечественного private banking могут оказаться вполне успешными для организации эффективной защиты, считает наш постоянный автор Алексей Гусев, старший советник председателя правления Банка «Центрокредит», преподаватель ИМЭБ РУДН, НИЯУ МИФИ и РТУ МИРЭА.

Знакомьтесь — вейлинг!

На фоне резкого всплеска массовых и легко тиражируемых кибератак на российский бизнес, наблюдающегося после начала спецоперации на Украине (помимо фишинга это в первую очередь DDoS-атаки, которых, по данным «Лаборатории Касперского», в марте этого года было на 54 % больше, чем в феврале, и почти в восемь раз больше по сравнению с аналогичным периодом 2021 года), у преступников вполне закономерно вырос интерес и к более сложным типам и разновидностям такого рода схем. Нишевой, специализированный и таргетированый вариант привычного фишинга, ориентированный на атаки VIP-клиентов, — вейлинг (whaling, от китобойного промысла: whale — кит) относится к не столь распространенному и потому редко упоминаемому направлению атак. Но сегодня обращает на себя внимание необычный рост интереса мирового преступного сообщества именно к вейлингу, методики которого используются в качестве базы для более сложного таргетированного фишинга. О данной разновидности фишинга упоминают и российские аналитики, причем не только на профильных семинарах по тематике private banking, посвященных особенностям работы с российскими VIP-клиентами в условиях санкций, но и на мероприятиях по ИБ (XV Межотраслевой Форум CISO FORUM и XII Международная конференция MobiFinance 2022), в том числе с участием автора настоящей статьи. В основе такого интереса лежит вполне прагматичная экономика бизнеса с учетом российской специфики. Надо лишь правильно оценить текущие приоритеты стейкхолдеров в лице киберпреступников, ИБ-специалистов и частных банкиров, ориентирующих свою деятельность на российских VIP-клиентов и не только.

Начнем с того факта, что непрекращающиеся с марта атаки на российские компании (да и вообще на любую инфраструктуру, имеющую отношение к России) косвенно стимулируются отсутствием ограничений со стороны регуляторов и контролирующих органов тех западных стран, из которых и идут основные атаки (28,9 % из США, 46,7 % — из стран Евросоюза). И здесь надо принимать во внимание диверсификацию субъектов угроз.

Высококвалифицированные хакерские группировки (в том числе близкие к государственным структурам) и отдельные хакеры изначально ориентированы на получение значительной прибыли (которая не обязательно имеет денежную составляющую). Как следствие, они потенциально готовы нести значительные издержки, тщательно и неторопливо подготавливая целенаправленные атаки. Само по себе резкое смещение вектора таких атак в сторону России пока еще не привело к ожидаемому результату, но это представляется лишь делом времени.

Не будем забывать и о том, что информация об атаках на крупный российский бизнес (а также госкомпании и госструктуры) традиционно не является общедоступной. К тому же сделаем дополнительную поправку на высокую квалификацию отечественных ИБ-специалистов, особенно занятых в защите значимых предприятий, той же КИИ с весьма жесткой регламентацией необходимых организационно-методических мероприятий. За последние годы такой подход обеспечил их защиту на уровне явно выше, чем «средняя температура по больнице».

А вот менее подготовленные и только набирающиеся опыта хакеры, пользуясь готовыми и тиражируемыми инструментами, успешно сработали по вполне традиционному сценарию быстрой массовой «атаки по площадям». То есть атаковали по всему спектру российских компаний от крупного до среднего и малого бизнеса, а также всех доступных для атак как юридических, так и физических лиц. По сходному сценарию использовали тот же инструментарий и более квалифицированные хакеры, попутно стараясь нащупать дополнительные уязвимости. Со временем стал проявляться интерес к переходу на атаки с более четким таргетированием. Последнее было реализовано во многом благодаря ранее уже используемым методикам индивидуализации фишинговых атак для конкретных VIP-клиентов именно в рамках вейлинга.

Фото: rawpixel

Примечательно, что более сложные таргетированые типы проникновений сейчас не могут сравниться по прибыльности с подобной тактикой низкомаржинальных атак. Все дело в изначально высокой стоимости работы высококвалифицированных хакеров, длительного периода подготовки и тщательного выбора уязвимостей для атаки с последующей монетизацией прибыли. И хотя стратегия «срочного импортозамещения» со стороны российских ИБ-специалистов на первый взгляд оставляет широкие возможности для таргетированных атак, пока отдельные уязвимости еще не прикрыты, однако последние преступникам еще только предстоит обнаружить. Да, можно ударить «по площадям», затратив более серьезные ресурсы на более широком спектре самих инструментов, чем в том же фишинге и DDoS-е. В конце концов, пока идет непрерывная перестройка российских ИБ-систем, всегда можно успешно определить отдельную еще не прикрытую уязвимость, что мы сейчас и наблюдаем в рамках анализа спроса- предложения на конкретные средства защиты и реальных кейсов, демонстрирующих, как именно надо закрывать эти успешно атакованные уязвимости в защите отечественных компаний. Вопрос лишь в том, насколько нынешняя практика будет оставаться актуальной и как быстро будут закрываться эти уязвимости. Но для атакующей стороны здесь не все так безоблачно.

Специфика обеспечения ИБ в период импортозамещения

Безусловно, в рамках стратегии «срочного импортозамещения» процесс миграции с решений западных вендоров на отечественные отнюдь не одномоментный и может растянуться более чем на год. Причем сам этот процесс непрерывный и поэтапный, с параллельным внедрением российских решений, постепенно заменяющих западные, переставшие поддерживаться, в том числе обновляться вендорами на фоне санкций. Вынужденная, хотя и временная, эксплуатация последних — источник уязвимостей. Их приходится пока прикрывать отечественным паллиативом, который предстоит постепенно доработать и который к тому же обладает собственными уязвимостями. Ситуация отнюдь не упрощается на фоне необходимости масштабировать и добиваться совместимости ИБ-решений разных вендоров между собой, стараясь повторить эффект целостности экосистем собственных продуктов западных вендоров (особенно крупных, например, Cisco, Check Point и Fortinet, которые весьма популярны в России).

Поэтому при подобной замене приходится дополнительно не только задумываться о совместимости российских решений с западными, но и выбирать среди отечественных лишь те, которые в рамках взаимодействия решений вендоров между собой смогут заменить апробированные западные экосистемы. А ведь все это — дополнительные издержки, которые в условиях ограничивающих ресурсы санкций сказываются на возможностях быстрой и эффективной разработки необходимых ИТ и ИБ-решений со стороны отечественных вендоров.

Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:

Добавить комментарий


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных