Центробанк: За полгода хакеры украли из российских банков больше миллиарда

Безопасность Стратегия безопасности ИТ в банках ИТ в госсекторе
мобильная версия
, Текст: Валерия Шмырова
FinCERT опубликовал первую годовую сводку по кибератакам. За конец 2015 г. - начало 2016 г. злоумышленники пытались похитить из банков 2,87 млрд руб., причем хищение 1,6 млрд руб. удалось предотвратить.

Первый отчет FinCERT

За полгода с октября 2015 г. по март 2016 г. хакерам удалось похитить из российских коммерческих банков 1,27 млрд руб., причем попытки краж еще 1,6 млрд руб. были предотвращены. В общей сложности за шесть месяцев злоумышленники пытались похитить из российских банков 2,87 млрд. Хищение . По фактам преступлений было открыто 12 уголовных дел.

Эти данные опубликовал в своем первом отчете о хакерских атаках на кредитные организации Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере FinCERT.

FinCERT был создан в июне 2015 г. при Главном управлении безопасности и защиты информации Банка России. Сейчас центр обменивается информацией с 275 кредитными организациями.

В своем отчете FinCERT сообщает, что им за отчетное время была зафиксирована 21 хакерская атака, связанная с подменой входных данных для АРМ КБР - Автоматизированных рабочих мест клиентов Банка России.

За полгода хакеры пытались похитить из банков 2,87 млрд руб, причем 1,27 млрд руб. успешно

Ее суть – изменение содержимого XML-документа, который используется для формирования электронного сообщения, направляемого в Банк России. В ходе атаки преступники отправляют в кредитную организацию электронное письмо, содержащее вредоносное ПО, которое не отслеживается антивирусными средствами. С помощью SMB-запросов это ПО сканирует локальную сеть, заражая новые компьютеры. На них грузится новое ПО, с функциями ботнет-клиента, возможностью удаленного управления и функцией хищения паролей.

Захватив участок сети, взломщики ищут АРМ КБР и компьютер, используемый для подготовки XML-документа. Затем создается подложный XML-документ, на основе которого формируется электронное сообщение, которое отправляется в Банк России.

Успех атаки обычно обеспечивает отсутствие сегментирования локальных вычислительных сетей – например, АРМ КБР и нужный компьютер находятся в пользовательской сети. Также взломщикам помогает отсутствие блокировки автоматического запуска макросов в документах Microsoft Office, устаревшие антивирусы и безграмотность пользователей в вопросах компьютерной безопасности.

Как защититься от подмены данных АРМ КБР

Чтобы избежать атак этого вида, FinCERT рекомендует ограничивать платежный сегмент сети, доступ к которому должен быть минимальным. Замедлить атаку поможет наличие резервного компьютера, на котором осуществляется подготовка XML-документа. Кроме того желательно проверять наличие исходящего трафика на серверы центра управления ботнетом в соответствии с данными рассылок FinCERT.

Рассылка писем с вредоносным ПО

Самый распространенный тип атаки – это рассылка электронных сообщений, содержащих вредоносное ПО. FinCERT сообщает о 96 таких случаях за отчетный период. При атаке на почтовый адрес жертвы приходит письмо от имени органов власти, крупной телекоммуникационной компании, фирмы-партнера, фирмы-клиента и т.п. Это письмо сообщает об изменениях в нормативно-правовых актах, оплате услуг, погашении штрафа, поиске документов для проверки. Непосредственное заражение компьютеров жертвы производит вложение – исполняемый файл, замаскированный под документ, или архив с таким файлом, или файл с макровирусами.

Широко известна рассылка «вакансий» – фишинговых писем от имени Банка России, содержащих файл «вакансия_NoХХ.doc». Пользователь откроет такой файл хотя бы из чистого любопытства. Вообще, атака этого типа срабатывает обычно в силу невежества пользователя, в результате чего на компьютере начинает действовать программа типа Trojan.Downloader, Trojan.Encoder, Trojan.Dropper или Backdoor.

Как бороться с рассылкой вредоносного ПО

Меры борьбы с атаками этого типа – проведение тренингов по компьютерной безопасности с сотрудниками, а также использование проверки SPF-записи, почтовых средств антивирусной защиты и спам-листов на почтовых серверах.

Другие виды хакерских атак

Кроме того, за отчетный период FinCERT зафиксировала 17 атак на банкоматы. Обычно это взломы трех типов: подмена хоста через USB-порты, вызывающая неконтролируемую выдачу денег банкоматом; получение контроля над банкоматом с помощью дополнительного устройства; так называемый «прямой диспенс» – подключение к диспенсеру - утсройству для выдачи денег и опустошение кассет путем вмешательства в работу BIOS банкомата.