Атаки на российские банки: отчет ESET
Вирусная лаборатория компании ESET подготовила отчет о целевых атаках на финансовые учреждения России. Эксперты проанализировали деятельность крупных кибергрупп, схемы атак и уязвимые банковские системы.
С 2015 г. ESET отмечает в России рост числа таргетированных атак на финансовый сектор. Большая их часть построена на человеческом факторе – методах социальной инженерии и старых уязвимостях ПО. Основные кибергруппы, атакующие российские банки, это Corkow, Carbanak и Buhtrap.
Все группы используют сходную тактику. Большинство атак начинается с фишингового письма с вложенным вредоносным документом – как правило, файлом Word с эксплойтом. Открытие файла в уязвимой системе запускает загрузку другого вредоносного ПО, позволяющего хакерам установить контроль над компьютером жертвы.
Одно из вложений-приманок, обнаруженное экспертами ESET, имитирует официальную рассылку «ФинЦЕРТ» Банка России – центра мониторинга и реагирования на кибератаки в кредитно-финансовой сфере. В документе хакеры предупреждают о возможной компрометации банковских систем.
Получив доступ к системе банка, хакеры пытаются вывести средства. Среди методов, изученных специалистами ESET, были атаки на АРМ КБР (автоматическое рабочее место клиента Банка России), банкоматы, межбанковскую систему SWIFT и торговые терминалы для трейдеров. В частности, по данным обзора финансовой стабильности Центробанка РФ, в начале 2016 г. зафиксированы целевые атаки на АРМ КБР, в результате которых совершены покушения на кражу 2,87 млрд руб.
Похожие схемы атак на финансовый сектор используются и в других странах мира. Например, в этом году из Банка Республики Бангладеш было выведено через сеть SWIFT 950 млн долл., а в Тайване крупная атака на банкоматы привела к краже 2 млн долл.
По оценке ESET, атаки на финансовый сектор эффективны из-за низкой осведомленности организаций об опасности и векторах заражения. Чтобы снизить риски, нужны доступ ИТ и ИБ-специалистов к информации о новейших угрозах, обучение персонала, своевременное обновление ПО и использование двухфакторной аутентификации.