Перейти к основному контенту
Финансы ,  
0 

Эксперты предупредили об угрозе атак на банкоматы перед Новым годом

Перед новогодними праздниками банки и банкоматы уязвимы для атак мошенников, рассказали эксперты. ЦБ предупредил банки о возможности атак на банкоматы без физического воздействия — с помощью писем от банков и органов власти
Фото: Getty Images
Фото: Getty Images

Крупные российские банки могут подвергнуться масштабной кибератаке перед Новым годом, рассказали РБК специалисты компании Group-IB и «Лаборатории Касперского». Перед праздниками банкоматы заполнены деньгами, а сотрудники банков уделяют меньше внимания безопасности, отмечают специалисты. Среди возможных организаторов атак на банкоматы Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений, называет международную группировку Cobalt с российскими корнями.

Банк России известил российские банки о новом виде мошенничества, сообщил РБК представитель регулятора.

Преступная группа Cobalt начала атаки в июне 2016 года, указывается в расследовании Group-IB (имеется у РБК). Преступники грабят банкоматы без физического воздействия, проникая в локальную сеть банка и получая полный контроль над устройствами, говорится в расследовании Group-IB. По удаленной команде машины начинают выдавать наличность, а заранее подготовленные люди просто собирают деньги в сумки, следует из документа Group-IB. В 2016 году злоумышленники уже атаковали банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.

По данным Group-IB, чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки электронные письма с вредоносными вложениями. «Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков», — уточняет Group-IB. Но на самом деле письма приходят с двух серверов с программой, изменившей адрес отправителя, при этом ЕЦБ, производитель банкоматов и региональные банки никакого отношения к этой рассылке не имеют.

Оба сервера, с которых рассылались письма, по данным Group-IB, находятся в России. В частности, для распространения вредоносных программ по банкам в русскоговорящем сегменте преступники использовали вложения с названиями «Договор_хранения2016.zip» и «Список документов.doc», указывается в расследовании.

После того как сотрудник банка запускает файл из фальшивого письма, вредоносное вложение загружается в оперативную память компьютера. «Это означает, что после перезагрузки операционной системы атакующие теряли контроль над этим компьютером», — пишет Group-IB. Чтобы «выжить», приложение автоматически прописывалось в автозагрузку. Дальше с помощью разнообразных способов преступники получали доступ к паролям администраторов системы банка. Это могло занимать у них от десяти минут до недели, указывается в расследовании. После атакующие обеспечивали себе удаленный доступ к локальной сети банка и привилегии, позволяющие им делать все, что необходимо для будущей кражи денег из банкоматов. Им требовалось только «закрепиться» и наладить резервные каналы доступа, если подозрительная активность будет замечена службами безопасности банка.

По данным Group-IB, после того, как преступники получали контроль над локальной сетью банка, они начинали искать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на устройства программы, позволяющие управлять выдачей наличных, отмечается в расследовании.

Один банкомат в несколько минут

Получив доступ к управлению банкоматами, преступники подходили к устройствам по выдаче наличных в разных концах города лишь с мобильным телефоном. «Он что-то сообщал по нему своим партнерам и готовил сумку. Через несколько минут банкомат начинал порциями выдавать деньги. После того как деньги в банкомате заканчивались, человек повторно связывался с партнерами и уходил», — пишет Group-IB. После опустошенный банкомат перезагружался. По данным Group-IB, съемом денег занимались небольшие группы, которые переходили к заранее определенным банкоматам и снимали деньги в течение нескольких часов.

В компании ожидают, что Cobalt может снова активизироваться в России в самое ближайшее время. Группировка начала многочисленные рассылки фишинговых писем с вредоносным вложением в российские банки месяц назад, рассказывает менеджер по развитию международного бизнеса Group-IB Виктор Ивановский. «Думаю, что они готовятся к ограблениям банкоматов к Новому году — это идеальное время для кражи, поскольку банкоматы к праздникам заполнены деньгами по максимуму. Поэтому мы считаем, что российским банкам необходимо повысить уровень бдительности и подготовиться к возможным атакам», — говорит Ивановский.

Атака на сети

Эксперт считает, что под угрозой атаки в первую очередь находятся крупные банки с разветвленной сетью банкоматов — от ста до тысячи. В первую очередь злоумышленники будут подбирать банки со слабыми местами в технической защите, говорит Ивановский.

Поскольку метод Cobalt позволяет опустошить все кассеты банкомата за считанные минуты, то потери банков при атаке группировкой могут быть очень высокими, считает Ивановский. В Европе, по его словам, только с одного банкомата при рабочем уровне загрузки группировка могла получить минимум €100 тыс. «Но атакой одного банкомата операция, как правило, не ограничивается», — предупреждает он.

Ивановский прогнозирует, что в будущем многие грабители сосредоточатся именно на формате краж, как у Cobalt, стараясь свести к минимуму воздействие на банкоматы и проникая в локальную банковскую сеть. «Будущее — это ограбление 30–100 банкоматов одновременно, а не одного», — говорит он.

Поэтому работники банков при малейшем подозрении на вредоносное письмо должны обращаться в службу безопасности банка, даже несмотря на, казалось бы, знакомый домен отправителя, продолжает Ивановский. «Вложения из таких писем открывать ни в коем случае нельзя. Опасность может представлять даже текстовый файл в формате rtf», — говорит он. По словам Ивановского, серьезно снизить возможность заражения поможет всего лишь своевременное обновление операционной системы и браузера.

Первые случаи атак на банки с помощью набора программ Cobalt Strike были зафиксированы еще в 2014 году, рассказывает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. С тех пор активность их использования только растет: программы появились в открытом доступе в интернете и стоят $3,5 тыс., продолжает он. По словам Голованова, ущерб от таких атак применительно к российским банкам может доходить до сотен миллионов рублей и ограничивается только числом тех, кто забирает деньги из банкоматов. Он соглашается с тем, что атака на российские банкоматы может быть предпринята перед Новым годом. «В целом можно сказать, что предновогодние дни — период, когда активизируются злоумышленники, так как сотрудники банка, как и все в России, готовятся к длинным выходным и меньше уделяют внимания безопасности», — отмечает Голованов.

При этом угрозу для российских банков конкретно от деятельности Cobalt эксперт расценивает как «среднюю». По его мнению, российские банки по сравнению с многими другими достаточно хорошо защищены от атак. Однако Голованов уточняет, что в каждом случае все зависит от готовности каждого конкретного банка: системы его информационной безопасности, бюджета на IT, подготовки сотрудников.

Расходы на безопасность

Банковский и финансовый сектор был главной целью киберпреступников в течение последних нескольких лет. Согласно отчету специализирующегося в сфере информационной безопасности издания Infosecurity, финансовые организации подвергаются кибератакам в три раза чаще по сравнению с компаниями в других отраслях. Чтобы противостоять росту киберпреступности, ведущие зарубежные банки увеличивают расходы на обеспечение безопасности в этой сфере. Ожидается, что по итогам 2016 года общая сумма расходов на кибербезопасность в международном банковском секторе составит $8,3 млрд.

Суммы при этом растут из года в год. Например, в 2014 году крупнейший американский банк JP Morgan Chase потратил на кибербезопасность $250 млн. Годом позже аналогичная статья для этой финансовой организации составила уже $500 млн (согласно оценке The Wall Street Journal).

Что касается российских банков, по словам руководителя службы кибербезопасности Сбербанка Сергея Лебедя, в 2016 году организация потратила около 1,5 млрд руб. Сумма сравнима с расходами на кибербезопасность в 2015-м, но в два раза превышает потраченные в этой сфере деньги за 2014 год.

ЦБ известил российские банки

Предновогодней активности злоумышленников ждут и в Банке России. «Есть вероятность усиления различных видов атак (включая информационные рассылки, публикации негативного и провокационного характера в социальных сетях, DDOS-атаки, рассылки вредоносного программного обеспечения и так далее) в течение декабря 2016 года», — сообщил РБК представитель ЦБ. По его словам, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) регулярно оповещает всех участников информационного обмена о вредоносных рассылках, в том числе якобы от имени банков или органов исполнительной власти. ФинЦЕРТ является структурным подразделением главного управления безопасности и защиты информации Банка России.

Банкиры заявляют, что готовы к возможным предновогодним атакам на банкоматы, в том числе по методу Cobalt. «Понимая наличие подобных уязвимостей, ВТБ24 уже предпринял необходимые меры по защите своих устройств», — сказал РБК представитель банка. При этом, по его словам, атаки на банкоматы ВТБ и ВТБ24 без физического воздействия пока не фиксировались.

В пресс-службе «ФК Открытие» РБК заявили, что банку известно о деятельности Cobalt, но практически все письма с зараженными вложениями, которые приходят сотрудникам, отсекаются на уровне почтовых фильтров.

В практике Промсвязьбанка были попытки атак по методу Cobalt, рассказал директор по карточным технологиям банка Александр Петров. «Но в результате работы средств защиты на различных уровнях инфраструктуры банка они все были предотвращены», — добавил он.

В Сбербанке от комментариев отказались. Представители еще восьми крупных банков не ответили на запрос РБК.

Авторы
Теги
Магазин исследований Аналитика по теме "Банки"
Видео недоступно при нулевом балансе
00 часов : 00 минут : 00 секунд
00 дней

.

Лента новостей
Курс евро на 29 ноября
EUR ЦБ: 116,14 (+3,05)
Инвестиции, 28 ноя, 17:55
Курс доллара на 29 ноября
USD ЦБ: 109,58 (+1,57)
Инвестиции, 28 ноя, 17:55
Российскому аукциону впервые удалось выйти на оборот в миллиард рублейБизнес, 06:00
Таланты в условиях «голода»: как сохранить ценных сотрудниковРБК и Битрикс24, 05:59
Трамп назвал решение Байдена помиловать сына нарушением правосудияПолитика, 05:43
Сын Байдена после помилования решил помогать в борьбе с зависимостямиПолитика, 05:26
Россия нарастила поставки СПГ в Азию по СевморпутиБизнес, 05:15
Географы оценили вывод, что люди откачали воду и наклонили ось ЗемлиТехнологии и медиа, 05:00
Около трети россиян вынуждены ссориться на работе из-за графика отпусковОбщество, 05:00
Скидки на подписку до 60%
Максимальная выгода до 2 декабря
Купить со скидкой
Израиль развернул самолет Ирана в небе над СириейПолитика, 04:59
Как выбрать зимние шины, подходящие именно вашему автомобилюРБК и Ikon tyres, 04:50
Оксфордский словарь назвал brain rot словом 2024 годаОбщество, 04:29
Проститутки в Бельгии получили право на пособия и защиту трудовых правОбщество, 04:12
Дофаминовые интерьеры: как создать дома интерьер, вызывающий яркие эмоцииРБК «Стиль» и Familia, 03:59
Социологи объяснили, почему дважды недооценили рейтинг ТрампаПолитика, 03:54
Байден помиловал своего сына ХантераПолитика, 03:35