Спецпроекты

На страницу обзора
Объем хищений через системы ДБО упал до 13 млрд руб.
Кража средств с банковских счетов остается одним из ключевых направлений деятельности сетевых преступников. Активность правоохранительных органов позволила снизить оборот рынка в 2012 г., но «мобилизация» населения позволит злоумышленникам наверстать упущенное по итогам текущего года.

В 2012 г. из российских систем интернет-банкинга было похищено $446 млн (13,38 млрд руб.), подсчитали аналитики Group-IB. По итогам года эксперты насчитали 12 организованных групп,действовавших на территории России. В среднем одно сообщество преступников совершало 4 успешных хищения в день. Согласно статистике ЦБ РФ за второе полугодие 2012 г., в день фиксировалось 28 незаконных переводов. Средняя сумма хищений у юридических лиц составила 1641 тыс. руб., у физических лиц — 75 тыс.руб., утверждают специалисты Group-IB. Около 55% украденных средств оседали в карманах людей, занимающихся обналичиванием денег, и только 45% уходили непосредственным организаторам махинаций.

Наибольший интерес для злоумышленников представляют счета юридических фирм. Сумма средств, украденных с корпоративных счетов, составила $435,85млн (13,1 млрд руб.), физические лица потеряли «всего» $9,96 млн (299 млн руб.).8 из 12 организованных групп хакеров, специализирующихся на интернет-банкинге,работали только с юридическими лицами.

Локальные успехи


Хотя 13,38 млрд руб. – это огромная сумма, годом ранее этот показатель был еще выше. Общий объем рынка киберпреступности в 2012 г. снизился на 6%, и главная причина этого оказалась снижении объема хищений через системы дистанционного банковского обслуживания (ДБО). Успех был достигнут благодаря стечению нескольких факторов.

Многие структуры наладили выявление и расследование инцидентов. Прежде всего, этому способствовали действия правоохранительных органов, которые ликвидировали две наиболее известные и опасные группы, условно именуемые Carberp и Hodprot по названию вредоносным программ, которые использовались для кражи логинов и паролей к интернет-банкингу. Кроме того, был создан так называемый межбанковский список дропов, то есть база знаний о лицах и организациях, причастных к обналичиванию похищенных денежных средств. Он позволял вовремя выявлять и оперативно пресекать мошеннические операции.

Совершенствуется защита. Распространение антифрод-решений позволило снизить долю успешных попыток хищения. Некоторые финансовые организации начали эксперименты по выявлению вредоносных программ на ПК клиентов. «Любая уязвимость системы порождает два типа мошенников: профессионалов, хорошо разбирающихся в технологиях, и любителей. При этом профанов существенно больше, и от них обычно помогает даже самая простая защита», – комментирует исполнительный директор InfoWatch Всеволод Иванов. По его словам, усиление мер безопасности отсекло «совсем уж “случайных” людей, пытающихся завладеть чужими деньгами».

Появились новые технологии в области защиты пластиковых карт и операций в интернет-магазинах. «В настоящее время идет активная тенденция отказа от карт с магнитной полосой в пользу карт с чипами, в том числе стандарта EMV. Такие карты обладают большей защитой от несанкционированного доступа, а также осложняют реализацию некоторых видов мошенничества, например, скимминга», – рассказывает Алексей Бабенко, руководитель направления отдела безопасности банковских систем компании «Информзащита». В области электронной коммерции он отмечает распространение технологии 3DSecure – метода двухфакторной аутентификации при оплате пластиковыми картами через интернет.

Кибер-преступники стали осторожнее. Несмотря на появление новых преступных групп, обороты рынка уменьшились. «Одной из важнейших причин этого является постоянное повышение рисков для злоумышленников, а также низкий уровень доверия к новым партнерам на фоне проводимых в течение года задержаний членов преступных групп», – говорится в отчете Group-IB. Кроме того, некоторые мошенники теперь предпочитают списывать деньги небольшими суммами, чтобы не привлекать внимание.

Хакеры на шаг впереди ИБ-разработчиков


Прогноз по воровству средств с банковских счетов неблагоприятный, так как злоумышленники постоянно совершенствуют вредоносное ПО и находят новые способы кражи финансовых средств.

Ключевая модернизация произошла в технологиях автозаливов (автоматическое списание средств со скомпрометированных счетов с помощью вредоносного ПО). Ранее такие программы создавались под системы ДБО конкретных банков, но теперь злоумышленники пишут решения сразу под коробочные решения вендоров (например, iBank2,BSS), которые используются в десятках банков. При этом вирусописатели всегда оказываются на шаг впереди разработчиков систем безопасности, утверждают авторы отчета Group-IB о киберпреступности: «Если создатели вредоносного ПО используют труд квалифицированных реверс-инженеров для анализа работы банковских систем, совершенствования своих программ в целях противодействия обнаружению, анализу и разбору, то разработчики банк-клиентов не ставят перед собой задачи по противодействию модификации/обратной разработки программного кода своих продуктов».

Вид мошенничества Описание
Инсайд Утечка конфиденциальных данных через сотрудника банка
Скимминг Злоумышленник получает копию данных магнитной полосы банковской карты и пин-код, на основании которых изготавливает поддельную карту
Социальная инженерия Звонок мошенника, представляющегося сотрудником банка, который просит сообщит конфиденциальные данные (логин, пароль)
Трояны Вредоносные программы, которые после установки на компьютер жертвы отслеживают информацию, вводимую в поля веб-банкинга, и передают ее преступникам
Фарминг Перенаправление жертвы по ложному адресу, когда пользователь набирает адрес своего банка, за счет модификации файла hosts на зараженном компьютере
Фишинг Создание фальшивого копии банковского сайта, через который происходит хищение логинов/паролей

Одновременно, злоумышленники не забывают и про индивидуальный подход в работе с кредитными организациями: «Мошенники, как правило, адаптируют свои действия под конкретный банк. Это могут быть технологические приемы, такие как использование в троянцах технологии туннелирования USB-токенов. Или реальные действия, например, мошенники производят замену SIM-карты жертвы по фальшивой доверенности для получения SMS с одноразовыми кодами авторизации в интернет-банкинге», – делится опытом Руслан Стоянов, руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского».

Мобильный банкинг: пока безопасно


Появление банковских приложений для смартфонов открыло для злоумышленников новый канал для заработков. В 2012 г. был зафиксирован первый случай атаки на банковских клиентов через мобильные устройства. При входе в интернет-банкинг на зараженном ПК появлялось подложное поле с просьбой ввести телефонный номер, на который отправлялось сообщение со ссылкой на поддельное банковское приложение в Google Play, которое на самом деле перехватывало SMS с кодами подтверждения транзакций.Ранее для доступа к этой информации мошенникам приходилось перевыпускать SIM-карты с номерами жертв. «В этом году мы наблюдали появление нового семейства вредоносного кода Hesperbot, который использует механизмы обхода SMS-подтверждений, компрометируя и ПК, и мобильное устройство пользователя, если он сможет получить к нему доступ», – рассказывает ведущий вирусный аналитик Eset Артем Баранов.

Эксперты прогнозируют рост числа махинаций через мобильные телефоны. «На черном рынке существует и активно продается универсальный банковский троян Perkele для платформы Android. Учитывая невысокую стоимость в $7 тыс. за полный комплект, положительные отзывы киберпреступников и возможность работы с более чем 70 банками в 12 странах, существует высокая вероятность дальнейшего активного развития и распространения данного вредоносного ПО», – полагают в Group-IB.

В итоге расслабиться пользователям банковских сервисов и разработчикам ИБ не придется. «В 2013 г. был зафиксирован рост активности нескольких семейств банковских вредоносных программ, что, в конечном счете, должно увеличить цифры, характеризующие ущерб, нанесенный в результате инцидентов ИБ. Не следует забывать, что сейчас быстро развиваются различные мобильные сервисы, связанные с онлайн-банкингом. Этот факт также будет использоваться злоумышленниками при компрометации мобильных устройств», – резюмирует Артем Баранов.

Павел Лебедев/CNews Analytics

Интервью обзора

Рейтинги

CNews Analytics: Крупнейшие компании России в сфере защиты информации 2013
№ 2012 Название компании Специализация
1 Лаборатория Касперского (1) Разработка ПО
2 Softline Сервисы ИБ, лицензирование ПО, поставка ПО, ПАК
3 Акронис* (2) Разработка ПО
Подробнее
CNews Analytics: Крупнейшие компании России в сфере защиты информации 2013
№ 2012 Название компании Специализация
1 Лаборатория Касперского (1) Разработка ПО
2 Softline Сервисы ИБ, лицензирование ПО, поставка ПО, ПАК
3 Акронис* (2) Разработка ПО
Подробнее