30 июля 2024,
17:22
2953
«Китобойный промысел». Как вейлинг становится популярным в России направлением фишинга
Алексей Гусев, старший советник председателя правления Банка «Центрокредит», преподаватель РТУ РУДН и НИЯУ МИФИ
Андрей Тарасов, председатель совета директоров Банка «Центрокредит»
Андрей Тарасов, председатель совета директоров Банка «Центрокредит»
Вейлинг – фишинг, о котором мы даже не подозревали!
За последние пару лет мы уже привыкли к тому, что для хакеров Россия стала одной из самых (если не самой) атакуемой страной, а отечественный бизнес – теперь самая желанная цель для не только целенаправленных, но и массовых и легко тиражируемых кибератак. И в последнем случае это уже не только DDoS-атаки и классический фишинг. За последний год закономерно вырос интерес к более сложным типам и разновидностям даже таких простых атак.
Редкий, специализированный и таргетированый, нишевый вариант привычного фишинга, нацеленный на VIP-клиентов, — вейлинг (whaling, от китобойного промысла: whale — кит) относится к не столь распространенному и потому редко упоминаемому направлению этих атак. Однако в последнее время хакеры начинают обращать внимание как раз на вейлинг, методики которого используются в качестве базы для более сложного таргетированного фишинга. Ведь от классического фишинга, ставшего уже привычным для обывателя, а потому и перестающего приносить прибыль, приходится постепенно отходить.
Поэтому, прагматично рассматривая приоритеты основных стейкхолдеров в лице киберпреступников, ИБ-специалистов и отечественного private banking, как раз и нацеленного на обслуживание российских VIP-клиентов, аналитики ИБ традиционно оценивали риски, связанные с такими атаками, как весьма незначительные и нивелируемые стандартными средствами защиты. Тем более что основные игроки этого рынка в лице ведущих российских банков (в основном с государственным капиталом) и западных частных банкиров как до пандемии, так и в настоящий момент склонны уделять внимание другим, более важным для бизнеса рискам.
Алексей Гусев
Тем удивительней стала активность средних и нишевых банков, еще перед пандемией начавших поднимать эти вопросы на профильных конференциях и семинарах по тематике российского private banking. А со временем, когда санкции сократили присутствие в России западных игроков и сокращение число подобных мероприятий еще раз подчеркнуло тезис, что «большие деньги любят тишину», благодаря их усилим эта тематика стала проявляться на банковских и ИБ-форумах. Особенно активно этот тренд проявился в начале нынешнего года, в том числе и с участием автора: Ifin2024[1], ТБ форум 2024[2], Cnews-Информационная безопасность[3], CISO форум 2024[4]), Universe Ecom Convention 2024[5], Positive hack days fest 2[6].
Чем так опасны подобные атаки? В отличие от массово рассылаемых стандартных фишинговых писем, при вейлинге хакеры практикуют персональные сообщения, и не просто к конкретному сотруднику, а нацеливаясь исключительно на топ-менеджмент: собственника компании, генерального директора, его заместителя, члена совета директоров или высокопоставленного менеджера. Задача — выманить у жертвы ценную финансовую или корпоративную информацию, к которой у них априорно есть доступ, что вполне компенсирует издержки на предварительный сбор максимально возможной доступной информации об объекте атаки (обычно из социальных сетей и других открытых источников). При этом отделить сам вейлинг от фишинга весьма непросто, поскольку больше 90% всех кибератак начинаются именно с классического фишинга, а традиционные методы защиты редко помогают предотвратить подобные атаки, так как они всегда нацелены на конкретного сотрудника, и обычные спам-фильтры их попросту не замечают.
Кто готов сделать ставку на вейлинг?
Высококвалифицированные хакерские группировки (в том числе близкие к государственным структурам) и отдельные хакеры изначально ориентированы на получение значительной прибыли (которая не обязательно имеет денежную составляющую) от целенаправленных атак. Как следствие, они потенциально готовы нести значительные издержки, тщательно и неторопливо подготавливая их. Само по себе резкое смещение вектора таких атак в сторону России пока еще не привело к стабильным результатам, но это представляется лишь делом времени.
Не будем забывать и о том, что информация об атаках на крупный российский бизнес (а также госкомпании и госструктуры) традиционно не является общедоступной. К тому же сделаем дополнительную поправку на высокую квалификацию отечественных ИБ-специалистов, особенно занятых в защите значимых предприятий, той же КИИ с весьма жесткой регламентацией необходимых организационно-методических мероприятий. И за последние годы такой подход обеспечил их защиту на уровне явно выше, чем «средняя температура по больнице», тем более от простых атак.
А вот менее подготовленные и только набирающиеся опыта хакеры, пользуясь готовыми и тиражируемыми инструментами по модели «преступление как сервис» (Crime-as-a-Service), в последнее время как раз успешно сработали по вполне традиционному сценарию быстрой массовой «атаки по площадям». То есть атаковали по всему спектру российских компаний – от крупного до среднего и малого бизнеса, а также всех доступных для атак как юридических, так и физических лиц. По сходному сценарию использовали тот же инструментарий и более квалифицированные хакеры, попутно стараясь нащупать дополнительные уязвимости. Со временем стал проявляться интерес к переходу на атаки с более четким таргетированием. Последнее было реализовано во многом благодаря ранее уже используемым методикам индивидуализации фишинговых атак для конкретных VIP-клиентов именно в рамках вейлинга, как более сложного и продвинутого фишинга, апробированные наработки по которому можно легко адаптировать, а не разрабатывать с нуля[7].
Примечательно, что более сложные таргетированые типы проникновений сейчас не могут сравниться по прибыльности с подобной тактикой низкомаржинальных атак. Все дело в изначально высокой стоимости работы высококвалифицированных хакеров, длительном периоде подготовки и тщательном выборе уязвимостей для атаки с последующей монетизацией прибыли. И хотя стратегия «срочного импортозамещения» со стороны российских ИБ-специалистов, на первый взгляд, оставляет широкие возможности для таргетированных атак, пока отдельные уязвимости еще не прикрыты, последние преступникам еще только предстоит обнаружить. Да, можно ударить «по площадям», затратив более серьезные ресурсы на более широком спектре самих инструментов, чем в том же фишинге и DDoS-е. В конце концов, пока идет непрерывная перестройка российских ИБ-систем, всегда можно успешно определить отдельную еще не прикрытую уязвимость, что мы сейчас и наблюдаем в рамках анализа спроса-предложения на конкретные средства защиты и реальных кейсов, демонстрирующих, как именно надо закрывать эти успешно атакованные уязвимости в защите отечественных компаний. Вопрос лишь в том, насколько нынешняя практика будет оставаться актуальной и как быстро будут закрываться эти уязвимости.
Спасибо регуляторам за переход на импортозамещение!
Российский бизнес вряд ли можно удивить негативом. По крайней мере с 2014 года мы продолжаем выживать в крайне неблагоприятных и постоянно ухудшающихся экономических условиях, к чему постепенно привыкли. Если же говорить конкретно об ИБ, то к концепции о ее правильной организации на российских инструментах отечественный бизнес был подготовлен задолго до санкций, как раз в начале пандемии. Даже те, кто не задумывался о цифровизации, стали внедрять удаленку, оценили риски вынужденного перехода на цифру и необходимость защиты данных.
Сокращающиеся ресурсы стали распределяться по новым приоритетам. Кадры для ИБ и ИТ в целом стали наниматься, переобучаться и удерживаться не только с учетом их желания переехать на Запад, на более высокие зарплаты, но и с учетом получения необходимой квалификации и опыта через тот же трамплин в виде российских вендоров и отечественного бизнеса. Поэтому после начала спецоперации новые санкции оказались не столь критичны, так что эффект «идеального шторма» сказался лишь в начале марта 2022 года, постепенно нивелируясь теми моментами, которые уже были наработаны за время пандемии, а стратегия «срочного импортозамещения» уже не выглядела здесь чем-то принципиально отличным от прошлых наработок. Тем более речь шла не о простом латании дыр временными паллиативами, как это могло представляться хакерам, но о точечной доработке и ручной настройке отечественного программного обеспечения, в рамках непрерывного оперативного контроля качества при взаимодействии не только ИБ-специалистов вендоров, но и ИТ-специалистов различного уровня самого корпоративного бизнеса.
Андрей Тарасов
Последнее за счет непрерывности вносимых улучшений во многом и нивелировало риск таргетированной атаки сложными инструментами со стороны тех же высококвалифицированных хакеров, несмотря на общую недоработанность и изначальную недостаточную защищенность продукта. При этом сохранялись лишь временные уязвимости, доступные для обнаружения при массовых атаках простыми, недорогими средствами того же фишинга и DDoS-а и позволяющие реализовать выявленную уязвимость как можно быстрее, пока она еще не ликвидирована очередным улучшением.
Отдельно заметим, что понимание необходимости таких наработок для крупного бизнеса, госкомпаний и тех, кого принято относить к КИИ, стало общепринятым еще до пандемии, регулируясь обязательными к исполнению нормативными актами. По сути, именно требования регулятора заставили эти структуры тщательно определить собственные потребности в области ИБ, став своеобразным драйвером в процессе внедрения и разработки отечественных решений для информационной безопасности в последние годы. В конце концов, ранее установленные сроки перехода на отечественное программное обеспечение к 2025 году всеми объектами КИИ никто не отменял. Все остается предельно понятным и привычным, разве что приоритеты немного поменялись.
Так, если ранее все это затрагивало крупных игроков, то сейчас — уже средний и малый бизнес, который, чаще подвергаясь атакам, вынужден задуматься о необходимости пройти категорирование объектов КИИ и в дальнейшем выстраивать свою безопасность в соответствии с требованиями регуляторов.
Как следствие, отечественный бизнес к настоящему времени достиг определенного уровня зрелости в понимании того, что ему уже необходимо не просто выстраивать эффективную ИБ, но выстраивать ее на основе российских решений. Причем контроль за этим процессом со стороны регуляторов весьма жесткий, так что в повседневной работе предстоит не только минимизировать ущерб от атак хакеров, но и тщательно соблюдать требования регуляторов.
Со своей стороны, ИБ-вендоры, продвигая собственные решения такому заказчику, уже получили возможность перестать выступать в роли «продавцов страха», а перейти к практике консалтинга в области управления рисками. Поэтому и необходимость внедрения нынешних «паллиативных» решений с их последующей точечной доработкой с ручной настройкой сейчас выглядит вполне приемлемым средством защиты. Средством, которое хотя и допускает массовые и не столь дорогие для этой защиты атаки того же фишинга и DDoS-а, но нивелирует атаки более сложные и затратные.
Тем не менее подобная зрелость в понимании необходимости внедрения соответствующих технологий сейчас отнюдь не гарантирует необходимого уровня ИБ. Помимо топ-менеджмента бизнеса, специалистов ИБ и ИТ, а также линейных менеджеров, непосредственно вовлеченных в вопросы ИБ в своих бизнес-процессах, необходимо дополнительно обеспечить достаточно высокий общий уровень информационной грамотности в области ИБ всех специалистов («общая гигиена в области ИБ», «техминимум буфетчика в области ИБ»). Именно они в результате атак могут стать основными каналами проникновения угроз в корпоративную сеть и приоритетным объектом атак хакеров.
Не стоит забывать, что внутренние ИБ-специалисты и «безопасники» внешних вендоров уже давно и успешно реализуют отдельные мероприятия по повышению осведомленности персонала в области ИБ, вплоть до проведения специальных учений, причем как по собственной инициативе, так и в рамках требований регуляторов. Подобные меры стали вполне распространенными и привычными еще до пандемии, во многом ориентируясь на защиту как раз от того же фишинга как основного источника риска для таких сотрудников и в последующем реализуя более продвинутое обучение в области ИБ на его основе. При этом учебные программы ИБ по фишингу вполне доходчивы, просты и наглядны, что особенно важно для тех, кто принимает окончательное решение по внедрению не только инструментов ИБ, но и отдельных программ переподготовки — для собственников и топ-менеджмента бизнеса. Это позволяет вендорам в области ИБ эффективно продвигать не только программы обучения, но и собственные решения по ИБ.
С одной стороны, такое положение вещей привело к тому, что о том же фишинге теперь знают практически все, в результате хакерам уже нельзя ограничиваться простейшим фишингом и необходимо усложнять атаки. С другой стороны, о защите от фишинга стали говорить столь часто, а учить столь формально, что и сами сотрудники, и топ-менеджмент поверили в то, что уж их-то квалификации теперь вполне достаточно для выявления и противодействия подобной персонифицированной атаки, а сами текущие средства корпоративной защиты от фишинга вполне удовлетворительны.
И как раз здесь поведение хакеров становится вполне прагматичным. Им ничего не остается, как выбрать наименее сложный и не столь дорогой инструмент для новых атак, ограничиваясь более продвинутым таргетированным фишингом – тем самым вейлингом, наработки по российской специфике которого уже апробированы. Тем более инструмент этот хотя и известен, но в достаточно узких кругах!
Откуда российский private banking так много знает о вейлинге?
Готовыми и апробированными наработками, позволяющими эффективно защищаться от вейлинга, сейчас располагают в первую очередь частные банкиры, представляющие не только западный, но и отечественный private banking. Их интерес к этой тематике при обслуживании VIP-клиентов в последние годы стал смещаться как раз в сторону ИБ. Поэтому об интеграции усилий в рамках этих направлений по защите от более продвинутого фишинга в нынешних условиях все чаще говорят специалисты на различных профильных конференциях и семинарах, пытаясь формализовать специфику российского вейлинга. Тем более что и сам российский private banking серьезно заинтересован в партнерском взаимодействии по данному вопросу, определяя это направление как одно из стратегически значимых для своего нынешнего развития.
Все дело в том, что именно собственник средних промышленных предприятий (та самая основная мишень для вейлинга), с его активами (как раз то состоятельное лицо, с которым предпочтительнее всего установить длительные финансовые отношения), еще с начала 2000-х является давним и успешным клиентом российского private banking, из потенциального VIP-клиента эволюционировав в одного из приорититеных. Для эффективного привлечения и обслуживания такого собственника отечественный private banking перешел на управление не только его личным состоянием, но и его бизнесом, эволюционировав в «программу корпоративной лояльности», именно таким образом выстраивая собственное позиционирование.
Такой собственник централизованно замыкает решение не только стратегических, но и оперативных вопросов на самого себя, в лучшем случае — на ограниченный круг лиц, которые не обязательно являются профессионалами, но которым он доверяет. Обычно это родственники, одноклассники или давние друзья, реже — проверенные временем сотрудники или партнеры по прошлому бизнесу, и лишь в крайнем случае — собственные сотрудники, наемные работники-профессионалы.
Несмотря на высокие внутренние издержки на поддержание подобной избыточной и неоптимальной организационно-управленческой структуры, в определенных случаях она вполне успешно обеспечивает устойчивость бизнеса, прежде всего при попытках враждебных поглощений (особенно со стороны государства и государственных корпораций), а также в кризисной ситуации (например, когда собственник бизнеса берет кредит не для всего бизнеса, а для его части, далее списывает кредит и так же поступает с убытками, списываемыми на принудительно банкротящуюся часть структуры бизнеса).
Начиная с 2009 года, а особенно с введением первых санкций в 2014-м, почти непрерывная стагнация в российской экономике привела к постоянному снижению маржи бизнеса и появлению устойчивого спроса на оптимизацию издержек по содержанию организационно-управленческой структуры. Высокая степень доверия со стороны целевого VIP-клиента обеспечила private banking наилучшие возможности эффективного выявления избыточных и неоптимальных элементов в организации и управлении, от которых можно было безболезненно избавиться. Сейчас и в ближайшей перспективе это формирует более массовый спрос со стороны VIP-клиентов, в том числе и новых категорий, на услуги по оптимизации организационно- управленческой структуры[8]. И здесь решения по организации эффективной комплексной киберзащиты внешнего и внутреннего периметра для всего капитала собственника оказывается вполне удачным способом наглядно продемонстрировать все возможности эффективного перехода к решениям оптимизации корпоративной структуры[9].
Например, дополнительная защита планшета сестры бывшей жены собственника, которая к тому же до сих пор является главным бухгалтером одного из предприятий в структуре его холдинга, – не просто необходимый шаг в плане обеспечения эффективной защиты внешнего периметра, но и один из факторов, позволяющих провести последующую оптимизацию, вплоть до ликвидации предприятия, если организовать оптимальную защиту от киберугроз[10]. Необходимо сделать так, чтобы через этот планшет нельзя было получить доступ к информации от других предприятий холдинга. В конце концов, собственник склонен недооценивать уровень киберугроз, что открывает неплохие возможности для соответствующего пентестинга внешнего периметра его бизнеса с последующим переосмыслением его составных частей[11].
Именно поэтому отечественный private banking начинает активно поднимать вопросы переоценки уязвимостей защиты внешнего и внутреннего периметров предприятий критически важной инфраструктуры и промышленности. Цель очевидна — необходимо найти в лице собственника партнера, который будет заинтересован в проведении оптимизации корпоративной структуры для выстраивания системы эффективной кибербезопасности. Привлечь для этого более специализированных внешних контрагентов из сферы ИБ private banking вполне способен, что он неоднократно продемонстрировал ранее на примере не менее сложных и требующих высокой степени доверия со стороны собственника задач по оптимизации.
При этом и общий контроль здесь сохраняется за подразделением private banking, которое в наиболее полном виде может не только представить сам периметр, но и описать сопутствующие риски проникновения, причем не ограничиваясь одними лишь предприятиями, а рассматривая всю корпоративную структуру бизнеса в целом. А это уже требует понимания того, что именно представляет собой организационно-управленческая структура бизнеса собственника и как ее целесообразно изменить. Здесь private banking как раз и обладает необходимыми компетенциями, позволяющими учесть сопутствующие риски не только по отдельным предприятиям бизнеса клиента, но и по их стейкхолдерам, например, членам семьи клиента, имеющим даже самое косвенное отношение к его бизнесу. И даже будучи не самым продвинутым консультантом в области ИБ (разве что в отношении защиты от киберугроз собственного банковского бизнеса), private banking располагает апробированными методиками, позволяющими при необходимости привлекать внешние компании-контрагенты. Что позволяет эффективно решать не только частные, специализированные задачи в области ИБ, но и (с получением полного доступа к его организационно-управленческой структуре) проектировать полноценную защиту от киберугроз всего бизнеса, а далее и всего капитала собственника в целом. Не будем забывать, что само по себе это представляет вполне приемлемый маркетинговый ход, позволяющий усилить доверие и в дальнейшем предложить собственнику решение потенциально более интересных и перспективных задач по обеспечению тех же прав наследования, проведению правильной подготовки бизнеса к продаже и т. д. В конце концов, только что, на частной и узкой задаче, клиенту удалось продемонстрировать не столько возможности банка по построению для него системы ИБ, сколько то, что private banking может в дальнейшем так же успешно заниматься и оптимизацией корпоративной структуры бизнеса клиента.
Поэтому и напрашивается второй шаг со стороны банкира, который вполне обоснованно претендует как раз на то, что теперь он станет для собственника основным провайдером долгосрочных услуг по такой оптимизации, которая и подразумевается в рамках этих насущных задач. Тем самым качественно усиливается лояльность текущих VIP-клиентов к их нынешнему подразделению private banking. Причем последнее получает неплохой шанс привлечь на последующее полное обслуживание и новых VIP-клиентов (что пока большая редкость), продемонстрировав, что как раз на этих-то задачах уже есть кто-то, кто вполне можете эффективно заменить их основной банк.
Почему именно российский private banking стал продвигать защиту от вейлинга? – спасибо ИИ!
Неудивительно, что как раз наработки private banking здесь сразу и стали основными, при этом конкурентное преимущество в private banking получили в основном средние и нишевые российские банки, которые все время старались хоть как-то выделиться по отношению к крупным, получив перед последними (как и перед вендорами) почти решающее преимущество на продуктах ИБ. Ведь крупные банки часто предпочитали более традиционный консервативный подход в обслуживании и привлечении клиентов, не рискуя хотя и прорывными, но не до конца отработанными клиентскими технологиями[12]! Более того, именно средние и нишевые банки, не располагая, в отличие от крупных, значительными средствами на внедрение новых технологий, смогли найти и еще один прорывной сегмент, в котором низкий порог входа обеспечил им прекрасные стартовые условия для понимания того, в каком именно направлении фишинг (и более продвинутый вейлинг) будет усложняться и совершенствоваться хакерами далее, – искусственный интеллект, машинное обучение.
До весны 2023 года модели генеративных нейросетей позволяли почти в реальном времени составить фишинговое письмо, которым наглядно для VIP-а, будь то потенциальный или текущий клиент, «вскрывались» его топ-менеджеры. Причем не просто наглядно, а почти с участием клиента, с его непосредственным вовлечением в технологии, о которых он что-то уже мельком слышал.
В свою очередь от подразделений private banking была нужна лишь предварительная работа, чтобы выбрать наиболее эффективные методики социальной инженерии. Требовалось заранее посмотреть, например, на бизнес VIP-клиента, его топ-менеджеров в тех же социальных сетях, в общем – выполнить домашнюю работу и, например, понять по открытым данным, какому из топ-менеджеров лучше всего стоит отправить конкретное фишинговое письмо с «нулевым шрифтом». И заранее определить непосредственные приоритеты, которые потом в режиме реального времени позволят продемонстрировать наглядность и не слишком высокую сложность процедуры проникновения (в понимании клиента).
Также весна 2023-го ознаменовалась взрывным ростом популярности чат-ботов. Про ChatGPT услышали все. В нашем случае это означает еще большую наглядность и вовлечение, тем более кто-то из VIP-клиентов уже успел сам попробовать сервисы ChatGPT или что-то подобное ему успели продемонстрировать на практике в других предметных областях. Но ничего нового для private banking здесь не появилось: всего лишь замена одной методики другой. Тем более – к осени прошлого года, когда у Сбера и Яндекса появляются отечественные аналоги. К концу 2023 года научились использовать и более продвинутый дипфейк, когда от имени VIP-клиента не просто пересылается письмо с его аватаркой из фото, сейчас же нарисованное им же самим с нашей помощью в Кандинском, а генерится звонок, в том числе и видеозвонок, с его похожим изображением и голосом с подмененного номера телефона.
По сути реализуется та же атака «планшета бухгалтера – сестры бывшей жены собственника», однако теперь ее риски для клиента более существенны. Ведь такая атака уже может быть осуществлена более простыми и доступными способами, причем ее вероятность заметно выше. И все это наглядно демонстрируется на вполне понятных для клиента действиях, без залезания в дебри терминологии и технологий ИБ, как это было раньше!
В результате VIP-клиенту становится уже не так просто игнорировать риски ИБ, непосредственно свзанные с его корпоративной структурой, эффективно минимизировать которые может лишь подразделение private banking[13]!
Да и с ИБ крупные банки пока не столько смотрят на VIP-клиентов, сколько готовы конкурировать с другими подразделениями собственного банка за ресурсы. Опыт вейлинга банкиры готовы тиражировать на малый и средний бизнес вообще, благо на подобном бизнесе часто выстроена корпоративная структура VIP-клиента. Ну а в дальнейшей эволюции таких продаж на МСБ снова востребован опыт private banking. И здесь остается всего один шаг до предложения апробированных технологий private banking в области ИБ другим целевым банковским клиентам – МСБ и менее состоятельной рознице. Что, собственно, и начинают реализовывать отдельные средние и нишевые российские банки, просто обязанные в нынешних условиях быть адаптивными к новым перспективным технологиям.
А не слишком ли переоценивают свои возможности средние и нишевые банки?
Перспективы средних и нишевых банков в отечественном private banking остаются весьма заманчивыми. Пусть их число заметно сократилось. Пусть ряд таких банков сменил собственников. Но их дальнейшее выживание по-прежнему реализуется по методике «клиентского клуба» – концентрации нескольких наиболее значимых клиентов в рамках кэптивного банка[14]. Для таких VIP-клиентов банк – это операционно-расчетная платформа или MFO на несколько семей, с весьма оптимистичными перспективами, по аналогии с опытом репозиционирования по отношению к крупным игрокам в начале 2010-х. В конце концов, можно сделать ставку на более удобное и продвинутое специализированное обслуживание в таргетированном мобильном приложении, что вместе с выходом на долгосрочные услуги по реструктуризации обеспечивает и долгосрочную лояльность VIP-клиентов. Главное, уже есть понимание: напрямую конкурировать с подразделениями private banking крупных банков не стоит. Важна даже не столько более узкая, нишевая специализация, сколько возможность реализовать именно в среднем и нишевом банке открытую архитектуру швейцарского private bank. Для лояльного клиента достаточно выстроить экспертизу, а все остальное из продуктового ряда можно докупить у конкурентов, поделившись с ними комиссией.
За последние пару лет мы уже привыкли к тому, что для хакеров Россия стала одной из самых (если не самой) атакуемой страной, а отечественный бизнес – теперь самая желанная цель для не только целенаправленных, но и массовых и легко тиражируемых кибератак. И в последнем случае это уже не только DDoS-атаки и классический фишинг. За последний год закономерно вырос интерес к более сложным типам и разновидностям даже таких простых атак.
Редкий, специализированный и таргетированый, нишевый вариант привычного фишинга, нацеленный на VIP-клиентов, — вейлинг (whaling, от китобойного промысла: whale — кит) относится к не столь распространенному и потому редко упоминаемому направлению этих атак. Однако в последнее время хакеры начинают обращать внимание как раз на вейлинг, методики которого используются в качестве базы для более сложного таргетированного фишинга. Ведь от классического фишинга, ставшего уже привычным для обывателя, а потому и перестающего приносить прибыль, приходится постепенно отходить.
Поэтому, прагматично рассматривая приоритеты основных стейкхолдеров в лице киберпреступников, ИБ-специалистов и отечественного private banking, как раз и нацеленного на обслуживание российских VIP-клиентов, аналитики ИБ традиционно оценивали риски, связанные с такими атаками, как весьма незначительные и нивелируемые стандартными средствами защиты. Тем более что основные игроки этого рынка в лице ведущих российских банков (в основном с государственным капиталом) и западных частных банкиров как до пандемии, так и в настоящий момент склонны уделять внимание другим, более важным для бизнеса рискам.
Алексей Гусев
Тем удивительней стала активность средних и нишевых банков, еще перед пандемией начавших поднимать эти вопросы на профильных конференциях и семинарах по тематике российского private banking. А со временем, когда санкции сократили присутствие в России западных игроков и сокращение число подобных мероприятий еще раз подчеркнуло тезис, что «большие деньги любят тишину», благодаря их усилим эта тематика стала проявляться на банковских и ИБ-форумах. Особенно активно этот тренд проявился в начале нынешнего года, в том числе и с участием автора: Ifin2024[1], ТБ форум 2024[2], Cnews-Информационная безопасность[3], CISO форум 2024[4]), Universe Ecom Convention 2024[5], Positive hack days fest 2[6].
Чем так опасны подобные атаки? В отличие от массово рассылаемых стандартных фишинговых писем, при вейлинге хакеры практикуют персональные сообщения, и не просто к конкретному сотруднику, а нацеливаясь исключительно на топ-менеджмент: собственника компании, генерального директора, его заместителя, члена совета директоров или высокопоставленного менеджера. Задача — выманить у жертвы ценную финансовую или корпоративную информацию, к которой у них априорно есть доступ, что вполне компенсирует издержки на предварительный сбор максимально возможной доступной информации об объекте атаки (обычно из социальных сетей и других открытых источников). При этом отделить сам вейлинг от фишинга весьма непросто, поскольку больше 90% всех кибератак начинаются именно с классического фишинга, а традиционные методы защиты редко помогают предотвратить подобные атаки, так как они всегда нацелены на конкретного сотрудника, и обычные спам-фильтры их попросту не замечают.
Кто готов сделать ставку на вейлинг?
Высококвалифицированные хакерские группировки (в том числе близкие к государственным структурам) и отдельные хакеры изначально ориентированы на получение значительной прибыли (которая не обязательно имеет денежную составляющую) от целенаправленных атак. Как следствие, они потенциально готовы нести значительные издержки, тщательно и неторопливо подготавливая их. Само по себе резкое смещение вектора таких атак в сторону России пока еще не привело к стабильным результатам, но это представляется лишь делом времени.
Не будем забывать и о том, что информация об атаках на крупный российский бизнес (а также госкомпании и госструктуры) традиционно не является общедоступной. К тому же сделаем дополнительную поправку на высокую квалификацию отечественных ИБ-специалистов, особенно занятых в защите значимых предприятий, той же КИИ с весьма жесткой регламентацией необходимых организационно-методических мероприятий. И за последние годы такой подход обеспечил их защиту на уровне явно выше, чем «средняя температура по больнице», тем более от простых атак.
А вот менее подготовленные и только набирающиеся опыта хакеры, пользуясь готовыми и тиражируемыми инструментами по модели «преступление как сервис» (Crime-as-a-Service), в последнее время как раз успешно сработали по вполне традиционному сценарию быстрой массовой «атаки по площадям». То есть атаковали по всему спектру российских компаний – от крупного до среднего и малого бизнеса, а также всех доступных для атак как юридических, так и физических лиц. По сходному сценарию использовали тот же инструментарий и более квалифицированные хакеры, попутно стараясь нащупать дополнительные уязвимости. Со временем стал проявляться интерес к переходу на атаки с более четким таргетированием. Последнее было реализовано во многом благодаря ранее уже используемым методикам индивидуализации фишинговых атак для конкретных VIP-клиентов именно в рамках вейлинга, как более сложного и продвинутого фишинга, апробированные наработки по которому можно легко адаптировать, а не разрабатывать с нуля[7].
Примечательно, что более сложные таргетированые типы проникновений сейчас не могут сравниться по прибыльности с подобной тактикой низкомаржинальных атак. Все дело в изначально высокой стоимости работы высококвалифицированных хакеров, длительном периоде подготовки и тщательном выборе уязвимостей для атаки с последующей монетизацией прибыли. И хотя стратегия «срочного импортозамещения» со стороны российских ИБ-специалистов, на первый взгляд, оставляет широкие возможности для таргетированных атак, пока отдельные уязвимости еще не прикрыты, последние преступникам еще только предстоит обнаружить. Да, можно ударить «по площадям», затратив более серьезные ресурсы на более широком спектре самих инструментов, чем в том же фишинге и DDoS-е. В конце концов, пока идет непрерывная перестройка российских ИБ-систем, всегда можно успешно определить отдельную еще не прикрытую уязвимость, что мы сейчас и наблюдаем в рамках анализа спроса-предложения на конкретные средства защиты и реальных кейсов, демонстрирующих, как именно надо закрывать эти успешно атакованные уязвимости в защите отечественных компаний. Вопрос лишь в том, насколько нынешняя практика будет оставаться актуальной и как быстро будут закрываться эти уязвимости.
Спасибо регуляторам за переход на импортозамещение!
Российский бизнес вряд ли можно удивить негативом. По крайней мере с 2014 года мы продолжаем выживать в крайне неблагоприятных и постоянно ухудшающихся экономических условиях, к чему постепенно привыкли. Если же говорить конкретно об ИБ, то к концепции о ее правильной организации на российских инструментах отечественный бизнес был подготовлен задолго до санкций, как раз в начале пандемии. Даже те, кто не задумывался о цифровизации, стали внедрять удаленку, оценили риски вынужденного перехода на цифру и необходимость защиты данных.
Сокращающиеся ресурсы стали распределяться по новым приоритетам. Кадры для ИБ и ИТ в целом стали наниматься, переобучаться и удерживаться не только с учетом их желания переехать на Запад, на более высокие зарплаты, но и с учетом получения необходимой квалификации и опыта через тот же трамплин в виде российских вендоров и отечественного бизнеса. Поэтому после начала спецоперации новые санкции оказались не столь критичны, так что эффект «идеального шторма» сказался лишь в начале марта 2022 года, постепенно нивелируясь теми моментами, которые уже были наработаны за время пандемии, а стратегия «срочного импортозамещения» уже не выглядела здесь чем-то принципиально отличным от прошлых наработок. Тем более речь шла не о простом латании дыр временными паллиативами, как это могло представляться хакерам, но о точечной доработке и ручной настройке отечественного программного обеспечения, в рамках непрерывного оперативного контроля качества при взаимодействии не только ИБ-специалистов вендоров, но и ИТ-специалистов различного уровня самого корпоративного бизнеса.
Андрей Тарасов
Последнее за счет непрерывности вносимых улучшений во многом и нивелировало риск таргетированной атаки сложными инструментами со стороны тех же высококвалифицированных хакеров, несмотря на общую недоработанность и изначальную недостаточную защищенность продукта. При этом сохранялись лишь временные уязвимости, доступные для обнаружения при массовых атаках простыми, недорогими средствами того же фишинга и DDoS-а и позволяющие реализовать выявленную уязвимость как можно быстрее, пока она еще не ликвидирована очередным улучшением.
Отдельно заметим, что понимание необходимости таких наработок для крупного бизнеса, госкомпаний и тех, кого принято относить к КИИ, стало общепринятым еще до пандемии, регулируясь обязательными к исполнению нормативными актами. По сути, именно требования регулятора заставили эти структуры тщательно определить собственные потребности в области ИБ, став своеобразным драйвером в процессе внедрения и разработки отечественных решений для информационной безопасности в последние годы. В конце концов, ранее установленные сроки перехода на отечественное программное обеспечение к 2025 году всеми объектами КИИ никто не отменял. Все остается предельно понятным и привычным, разве что приоритеты немного поменялись.
Так, если ранее все это затрагивало крупных игроков, то сейчас — уже средний и малый бизнес, который, чаще подвергаясь атакам, вынужден задуматься о необходимости пройти категорирование объектов КИИ и в дальнейшем выстраивать свою безопасность в соответствии с требованиями регуляторов.
Как следствие, отечественный бизнес к настоящему времени достиг определенного уровня зрелости в понимании того, что ему уже необходимо не просто выстраивать эффективную ИБ, но выстраивать ее на основе российских решений. Причем контроль за этим процессом со стороны регуляторов весьма жесткий, так что в повседневной работе предстоит не только минимизировать ущерб от атак хакеров, но и тщательно соблюдать требования регуляторов.
Со своей стороны, ИБ-вендоры, продвигая собственные решения такому заказчику, уже получили возможность перестать выступать в роли «продавцов страха», а перейти к практике консалтинга в области управления рисками. Поэтому и необходимость внедрения нынешних «паллиативных» решений с их последующей точечной доработкой с ручной настройкой сейчас выглядит вполне приемлемым средством защиты. Средством, которое хотя и допускает массовые и не столь дорогие для этой защиты атаки того же фишинга и DDoS-а, но нивелирует атаки более сложные и затратные.
Тем не менее подобная зрелость в понимании необходимости внедрения соответствующих технологий сейчас отнюдь не гарантирует необходимого уровня ИБ. Помимо топ-менеджмента бизнеса, специалистов ИБ и ИТ, а также линейных менеджеров, непосредственно вовлеченных в вопросы ИБ в своих бизнес-процессах, необходимо дополнительно обеспечить достаточно высокий общий уровень информационной грамотности в области ИБ всех специалистов («общая гигиена в области ИБ», «техминимум буфетчика в области ИБ»). Именно они в результате атак могут стать основными каналами проникновения угроз в корпоративную сеть и приоритетным объектом атак хакеров.
Не стоит забывать, что внутренние ИБ-специалисты и «безопасники» внешних вендоров уже давно и успешно реализуют отдельные мероприятия по повышению осведомленности персонала в области ИБ, вплоть до проведения специальных учений, причем как по собственной инициативе, так и в рамках требований регуляторов. Подобные меры стали вполне распространенными и привычными еще до пандемии, во многом ориентируясь на защиту как раз от того же фишинга как основного источника риска для таких сотрудников и в последующем реализуя более продвинутое обучение в области ИБ на его основе. При этом учебные программы ИБ по фишингу вполне доходчивы, просты и наглядны, что особенно важно для тех, кто принимает окончательное решение по внедрению не только инструментов ИБ, но и отдельных программ переподготовки — для собственников и топ-менеджмента бизнеса. Это позволяет вендорам в области ИБ эффективно продвигать не только программы обучения, но и собственные решения по ИБ.
С одной стороны, такое положение вещей привело к тому, что о том же фишинге теперь знают практически все, в результате хакерам уже нельзя ограничиваться простейшим фишингом и необходимо усложнять атаки. С другой стороны, о защите от фишинга стали говорить столь часто, а учить столь формально, что и сами сотрудники, и топ-менеджмент поверили в то, что уж их-то квалификации теперь вполне достаточно для выявления и противодействия подобной персонифицированной атаки, а сами текущие средства корпоративной защиты от фишинга вполне удовлетворительны.
И как раз здесь поведение хакеров становится вполне прагматичным. Им ничего не остается, как выбрать наименее сложный и не столь дорогой инструмент для новых атак, ограничиваясь более продвинутым таргетированным фишингом – тем самым вейлингом, наработки по российской специфике которого уже апробированы. Тем более инструмент этот хотя и известен, но в достаточно узких кругах!
Откуда российский private banking так много знает о вейлинге?
Готовыми и апробированными наработками, позволяющими эффективно защищаться от вейлинга, сейчас располагают в первую очередь частные банкиры, представляющие не только западный, но и отечественный private banking. Их интерес к этой тематике при обслуживании VIP-клиентов в последние годы стал смещаться как раз в сторону ИБ. Поэтому об интеграции усилий в рамках этих направлений по защите от более продвинутого фишинга в нынешних условиях все чаще говорят специалисты на различных профильных конференциях и семинарах, пытаясь формализовать специфику российского вейлинга. Тем более что и сам российский private banking серьезно заинтересован в партнерском взаимодействии по данному вопросу, определяя это направление как одно из стратегически значимых для своего нынешнего развития.
Все дело в том, что именно собственник средних промышленных предприятий (та самая основная мишень для вейлинга), с его активами (как раз то состоятельное лицо, с которым предпочтительнее всего установить длительные финансовые отношения), еще с начала 2000-х является давним и успешным клиентом российского private banking, из потенциального VIP-клиента эволюционировав в одного из приорититеных. Для эффективного привлечения и обслуживания такого собственника отечественный private banking перешел на управление не только его личным состоянием, но и его бизнесом, эволюционировав в «программу корпоративной лояльности», именно таким образом выстраивая собственное позиционирование.
Такой собственник централизованно замыкает решение не только стратегических, но и оперативных вопросов на самого себя, в лучшем случае — на ограниченный круг лиц, которые не обязательно являются профессионалами, но которым он доверяет. Обычно это родственники, одноклассники или давние друзья, реже — проверенные временем сотрудники или партнеры по прошлому бизнесу, и лишь в крайнем случае — собственные сотрудники, наемные работники-профессионалы.
Несмотря на высокие внутренние издержки на поддержание подобной избыточной и неоптимальной организационно-управленческой структуры, в определенных случаях она вполне успешно обеспечивает устойчивость бизнеса, прежде всего при попытках враждебных поглощений (особенно со стороны государства и государственных корпораций), а также в кризисной ситуации (например, когда собственник бизнеса берет кредит не для всего бизнеса, а для его части, далее списывает кредит и так же поступает с убытками, списываемыми на принудительно банкротящуюся часть структуры бизнеса).
Начиная с 2009 года, а особенно с введением первых санкций в 2014-м, почти непрерывная стагнация в российской экономике привела к постоянному снижению маржи бизнеса и появлению устойчивого спроса на оптимизацию издержек по содержанию организационно-управленческой структуры. Высокая степень доверия со стороны целевого VIP-клиента обеспечила private banking наилучшие возможности эффективного выявления избыточных и неоптимальных элементов в организации и управлении, от которых можно было безболезненно избавиться. Сейчас и в ближайшей перспективе это формирует более массовый спрос со стороны VIP-клиентов, в том числе и новых категорий, на услуги по оптимизации организационно- управленческой структуры[8]. И здесь решения по организации эффективной комплексной киберзащиты внешнего и внутреннего периметра для всего капитала собственника оказывается вполне удачным способом наглядно продемонстрировать все возможности эффективного перехода к решениям оптимизации корпоративной структуры[9].
Например, дополнительная защита планшета сестры бывшей жены собственника, которая к тому же до сих пор является главным бухгалтером одного из предприятий в структуре его холдинга, – не просто необходимый шаг в плане обеспечения эффективной защиты внешнего периметра, но и один из факторов, позволяющих провести последующую оптимизацию, вплоть до ликвидации предприятия, если организовать оптимальную защиту от киберугроз[10]. Необходимо сделать так, чтобы через этот планшет нельзя было получить доступ к информации от других предприятий холдинга. В конце концов, собственник склонен недооценивать уровень киберугроз, что открывает неплохие возможности для соответствующего пентестинга внешнего периметра его бизнеса с последующим переосмыслением его составных частей[11].
Именно поэтому отечественный private banking начинает активно поднимать вопросы переоценки уязвимостей защиты внешнего и внутреннего периметров предприятий критически важной инфраструктуры и промышленности. Цель очевидна — необходимо найти в лице собственника партнера, который будет заинтересован в проведении оптимизации корпоративной структуры для выстраивания системы эффективной кибербезопасности. Привлечь для этого более специализированных внешних контрагентов из сферы ИБ private banking вполне способен, что он неоднократно продемонстрировал ранее на примере не менее сложных и требующих высокой степени доверия со стороны собственника задач по оптимизации.
При этом и общий контроль здесь сохраняется за подразделением private banking, которое в наиболее полном виде может не только представить сам периметр, но и описать сопутствующие риски проникновения, причем не ограничиваясь одними лишь предприятиями, а рассматривая всю корпоративную структуру бизнеса в целом. А это уже требует понимания того, что именно представляет собой организационно-управленческая структура бизнеса собственника и как ее целесообразно изменить. Здесь private banking как раз и обладает необходимыми компетенциями, позволяющими учесть сопутствующие риски не только по отдельным предприятиям бизнеса клиента, но и по их стейкхолдерам, например, членам семьи клиента, имеющим даже самое косвенное отношение к его бизнесу. И даже будучи не самым продвинутым консультантом в области ИБ (разве что в отношении защиты от киберугроз собственного банковского бизнеса), private banking располагает апробированными методиками, позволяющими при необходимости привлекать внешние компании-контрагенты. Что позволяет эффективно решать не только частные, специализированные задачи в области ИБ, но и (с получением полного доступа к его организационно-управленческой структуре) проектировать полноценную защиту от киберугроз всего бизнеса, а далее и всего капитала собственника в целом. Не будем забывать, что само по себе это представляет вполне приемлемый маркетинговый ход, позволяющий усилить доверие и в дальнейшем предложить собственнику решение потенциально более интересных и перспективных задач по обеспечению тех же прав наследования, проведению правильной подготовки бизнеса к продаже и т. д. В конце концов, только что, на частной и узкой задаче, клиенту удалось продемонстрировать не столько возможности банка по построению для него системы ИБ, сколько то, что private banking может в дальнейшем так же успешно заниматься и оптимизацией корпоративной структуры бизнеса клиента.
Поэтому и напрашивается второй шаг со стороны банкира, который вполне обоснованно претендует как раз на то, что теперь он станет для собственника основным провайдером долгосрочных услуг по такой оптимизации, которая и подразумевается в рамках этих насущных задач. Тем самым качественно усиливается лояльность текущих VIP-клиентов к их нынешнему подразделению private banking. Причем последнее получает неплохой шанс привлечь на последующее полное обслуживание и новых VIP-клиентов (что пока большая редкость), продемонстрировав, что как раз на этих-то задачах уже есть кто-то, кто вполне можете эффективно заменить их основной банк.
Почему именно российский private banking стал продвигать защиту от вейлинга? – спасибо ИИ!
Неудивительно, что как раз наработки private banking здесь сразу и стали основными, при этом конкурентное преимущество в private banking получили в основном средние и нишевые российские банки, которые все время старались хоть как-то выделиться по отношению к крупным, получив перед последними (как и перед вендорами) почти решающее преимущество на продуктах ИБ. Ведь крупные банки часто предпочитали более традиционный консервативный подход в обслуживании и привлечении клиентов, не рискуя хотя и прорывными, но не до конца отработанными клиентскими технологиями[12]! Более того, именно средние и нишевые банки, не располагая, в отличие от крупных, значительными средствами на внедрение новых технологий, смогли найти и еще один прорывной сегмент, в котором низкий порог входа обеспечил им прекрасные стартовые условия для понимания того, в каком именно направлении фишинг (и более продвинутый вейлинг) будет усложняться и совершенствоваться хакерами далее, – искусственный интеллект, машинное обучение.
До весны 2023 года модели генеративных нейросетей позволяли почти в реальном времени составить фишинговое письмо, которым наглядно для VIP-а, будь то потенциальный или текущий клиент, «вскрывались» его топ-менеджеры. Причем не просто наглядно, а почти с участием клиента, с его непосредственным вовлечением в технологии, о которых он что-то уже мельком слышал.
В свою очередь от подразделений private banking была нужна лишь предварительная работа, чтобы выбрать наиболее эффективные методики социальной инженерии. Требовалось заранее посмотреть, например, на бизнес VIP-клиента, его топ-менеджеров в тех же социальных сетях, в общем – выполнить домашнюю работу и, например, понять по открытым данным, какому из топ-менеджеров лучше всего стоит отправить конкретное фишинговое письмо с «нулевым шрифтом». И заранее определить непосредственные приоритеты, которые потом в режиме реального времени позволят продемонстрировать наглядность и не слишком высокую сложность процедуры проникновения (в понимании клиента).
Также весна 2023-го ознаменовалась взрывным ростом популярности чат-ботов. Про ChatGPT услышали все. В нашем случае это означает еще большую наглядность и вовлечение, тем более кто-то из VIP-клиентов уже успел сам попробовать сервисы ChatGPT или что-то подобное ему успели продемонстрировать на практике в других предметных областях. Но ничего нового для private banking здесь не появилось: всего лишь замена одной методики другой. Тем более – к осени прошлого года, когда у Сбера и Яндекса появляются отечественные аналоги. К концу 2023 года научились использовать и более продвинутый дипфейк, когда от имени VIP-клиента не просто пересылается письмо с его аватаркой из фото, сейчас же нарисованное им же самим с нашей помощью в Кандинском, а генерится звонок, в том числе и видеозвонок, с его похожим изображением и голосом с подмененного номера телефона.
По сути реализуется та же атака «планшета бухгалтера – сестры бывшей жены собственника», однако теперь ее риски для клиента более существенны. Ведь такая атака уже может быть осуществлена более простыми и доступными способами, причем ее вероятность заметно выше. И все это наглядно демонстрируется на вполне понятных для клиента действиях, без залезания в дебри терминологии и технологий ИБ, как это было раньше!
В результате VIP-клиенту становится уже не так просто игнорировать риски ИБ, непосредственно свзанные с его корпоративной структурой, эффективно минимизировать которые может лишь подразделение private banking[13]!
Да и с ИБ крупные банки пока не столько смотрят на VIP-клиентов, сколько готовы конкурировать с другими подразделениями собственного банка за ресурсы. Опыт вейлинга банкиры готовы тиражировать на малый и средний бизнес вообще, благо на подобном бизнесе часто выстроена корпоративная структура VIP-клиента. Ну а в дальнейшей эволюции таких продаж на МСБ снова востребован опыт private banking. И здесь остается всего один шаг до предложения апробированных технологий private banking в области ИБ другим целевым банковским клиентам – МСБ и менее состоятельной рознице. Что, собственно, и начинают реализовывать отдельные средние и нишевые российские банки, просто обязанные в нынешних условиях быть адаптивными к новым перспективным технологиям.
А не слишком ли переоценивают свои возможности средние и нишевые банки?
Перспективы средних и нишевых банков в отечественном private banking остаются весьма заманчивыми. Пусть их число заметно сократилось. Пусть ряд таких банков сменил собственников. Но их дальнейшее выживание по-прежнему реализуется по методике «клиентского клуба» – концентрации нескольких наиболее значимых клиентов в рамках кэптивного банка[14]. Для таких VIP-клиентов банк – это операционно-расчетная платформа или MFO на несколько семей, с весьма оптимистичными перспективами, по аналогии с опытом репозиционирования по отношению к крупным игрокам в начале 2010-х. В конце концов, можно сделать ставку на более удобное и продвинутое специализированное обслуживание в таргетированном мобильном приложении, что вместе с выходом на долгосрочные услуги по реструктуризации обеспечивает и долгосрочную лояльность VIP-клиентов. Главное, уже есть понимание: напрямую конкурировать с подразделениями private banking крупных банков не стоит. Важна даже не столько более узкая, нишевая специализация, сколько возможность реализовать именно в среднем и нишевом банке открытую архитектуру швейцарского private bank. Для лояльного клиента достаточно выстроить экспертизу, а все остальное из продуктового ряда можно докупить у конкурентов, поделившись с ними комиссией.
[1] https://forumifin.ru/
[2] https://www.tbforum.ru/2024/program/ai-ml
[3] https://events.cnews.ru/events/informacionnaya_bezopasnost_2024.shtml
[4] https://infosecurity-forum.ru/program/
[5] https://universeecomconvention.ru/
[6][6] https://phdays.com/
[7][7] https://plusworld.ru/journal/2022/plus-5-2022/vejling-v-rossii-ohota-na-vip-klientov-nabiraet-oborot...
[8] https://plusworld.ru/journal/2022/plus-8-2022/rossiyskiy-private-banking-chto-ostalos-seychas-ot-oso...
[9] https://plusworld.ru/journal/2022/plus-7-2022/vip-y-nachinayut-optimizirovat-organizatsionno-upravle...
[10] https://plusworld.ru/journal/2023/plus-1-2023/kiberbezopasnost-kak-istochnik-ubeditelnykh-argumentov...
[11] https://plusworld.ru/journal/2023/plus-3-2023/informatsionnaya-bezopasnost-vip-klientov-ot-private-b...
[12] https://plusworld.ru/journal/2023/plus-10-2023/chastnye-voprosy-kibergigieny-vip-klientov-v-private-...
[13] https://plusworld.ru/journal/2024/plus-3-2024/rastushchiy-interes-rossiyskogo-private-banking-k-kibe...
[14] Кэптивный банк – вид кредитной организации, созданной финансово-промышленной группой или частными лицами для обслуживания своих интересов. Название происходит от captive – «пойманный», «пленный». В мировой практике кэптивные банки могут учреждаться как офшорные кредитные организации, обслуживающие вплоть до всего одного клиента – их собственника
