В 2012 г. из российских систем интернет-банкинга было похищено $446 млн (13,38 млрд руб.), подсчитали аналитики Group-IB. По итогам года эксперты насчитали 12 организованных групп,действовавших на территории России. В среднем одно сообщество преступников совершало 4 успешных хищения в день. Согласно статистике ЦБ РФ за второе полугодие 2012 г., в день фиксировалось 28 незаконных переводов. Средняя сумма хищений у юридических лиц составила 1641 тыс. руб., у физических лиц — 75 тыс.руб., утверждают специалисты Group-IB. Около 55% украденных средств оседали в карманах людей, занимающихся обналичиванием денег, и только 45% уходили непосредственным организаторам махинаций.
Наибольший интерес для злоумышленников представляют счета юридических фирм. Сумма средств, украденных с корпоративных счетов, составила $435,85млн (13,1 млрд руб.), физические лица потеряли «всего» $9,96 млн (299 млн руб.).8 из 12 организованных групп хакеров, специализирующихся на интернет-банкинге,работали только с юридическими лицами.
Локальные успехи
Хотя 13,38 млрд руб. – это огромная сумма, годом ранее этот показатель был еще выше. Общий объем рынка киберпреступности в 2012 г. снизился на 6%, и главная причина этого оказалась снижении объема хищений через системы дистанционного банковского обслуживания (ДБО). Успех был достигнут благодаря стечению нескольких факторов.
Многие структуры наладили выявление и расследование инцидентов. Прежде всего, этому способствовали действия правоохранительных органов, которые ликвидировали две наиболее известные и опасные группы, условно именуемые Carberp и Hodprot по названию вредоносным программ, которые использовались для кражи логинов и паролей к интернет-банкингу. Кроме того, был создан так называемый межбанковский список дропов, то есть база знаний о лицах и организациях, причастных к обналичиванию похищенных денежных средств. Он позволял вовремя выявлять и оперативно пресекать мошеннические операции.
Совершенствуется защита. Распространение антифрод-решений позволило снизить долю успешных попыток хищения. Некоторые финансовые организации начали эксперименты по выявлению вредоносных программ на ПК клиентов. «Любая уязвимость системы порождает два типа мошенников: профессионалов, хорошо разбирающихся в технологиях, и любителей. При этом профанов существенно больше, и от них обычно помогает даже самая простая защита», – комментирует исполнительный директор InfoWatch Всеволод Иванов. По его словам, усиление мер безопасности отсекло «совсем уж “случайных” людей, пытающихся завладеть чужими деньгами».
Появились новые технологии в области защиты пластиковых карт и операций в интернет-магазинах. «В настоящее время идет активная тенденция отказа от карт с магнитной полосой в пользу карт с чипами, в том числе стандарта EMV. Такие карты обладают большей защитой от несанкционированного доступа, а также осложняют реализацию некоторых видов мошенничества, например, скимминга», – рассказывает Алексей Бабенко, руководитель направления отдела безопасности банковских систем компании «Информзащита». В области электронной коммерции он отмечает распространение технологии 3DSecure – метода двухфакторной аутентификации при оплате пластиковыми картами через интернет.
Кибер-преступники стали осторожнее. Несмотря на появление новых преступных групп, обороты рынка уменьшились. «Одной из важнейших причин этого является постоянное повышение рисков для злоумышленников, а также низкий уровень доверия к новым партнерам на фоне проводимых в течение года задержаний членов преступных групп», – говорится в отчете Group-IB. Кроме того, некоторые мошенники теперь предпочитают списывать деньги небольшими суммами, чтобы не привлекать внимание.
Хакеры на шаг впереди ИБ-разработчиков
Прогноз по воровству средств с банковских счетов неблагоприятный, так как злоумышленники постоянно совершенствуют вредоносное ПО и находят новые способы кражи финансовых средств.
Ключевая модернизация произошла в технологиях автозаливов (автоматическое списание средств со скомпрометированных счетов с помощью вредоносного ПО). Ранее такие программы создавались под системы ДБО конкретных банков, но теперь злоумышленники пишут решения сразу под коробочные решения вендоров (например, iBank2,BSS), которые используются в десятках банков. При этом вирусописатели всегда оказываются на шаг впереди разработчиков систем безопасности, утверждают авторы отчета Group-IB о киберпреступности: «Если создатели вредоносного ПО используют труд квалифицированных реверс-инженеров для анализа работы банковских систем, совершенствования своих программ в целях противодействия обнаружению, анализу и разбору, то разработчики банк-клиентов не ставят перед собой задачи по противодействию модификации/обратной разработки программного кода своих продуктов».
Вид мошенничества | Описание |
---|---|
Инсайд | Утечка конфиденциальных данных через сотрудника банка |
Скимминг | Злоумышленник получает копию данных магнитной полосы банковской карты и пин-код, на основании которых изготавливает поддельную карту |
Социальная инженерия | Звонок мошенника, представляющегося сотрудником банка, который просит сообщит конфиденциальные данные (логин, пароль) |
Трояны | Вредоносные программы, которые после установки на компьютер жертвы отслеживают информацию, вводимую в поля веб-банкинга, и передают ее преступникам |
Фарминг | Перенаправление жертвы по ложному адресу, когда пользователь набирает адрес своего банка, за счет модификации файла hosts на зараженном компьютере |
Фишинг | Создание фальшивого копии банковского сайта, через который происходит хищение логинов/паролей |
Одновременно, злоумышленники не забывают и про индивидуальный подход в работе с кредитными организациями: «Мошенники, как правило, адаптируют свои действия под конкретный банк. Это могут быть технологические приемы, такие как использование в троянцах технологии туннелирования USB-токенов. Или реальные действия, например, мошенники производят замену SIM-карты жертвы по фальшивой доверенности для получения SMS с одноразовыми кодами авторизации в интернет-банкинге», – делится опытом Руслан Стоянов, руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского».
Мобильный банкинг: пока безопасно
Появление банковских приложений для смартфонов открыло для злоумышленников новый канал для заработков. В 2012 г. был зафиксирован первый случай атаки на банковских клиентов через мобильные устройства. При входе в интернет-банкинг на зараженном ПК появлялось подложное поле с просьбой ввести телефонный номер, на который отправлялось сообщение со ссылкой на поддельное банковское приложение в Google Play, которое на самом деле перехватывало SMS с кодами подтверждения транзакций.Ранее для доступа к этой информации мошенникам приходилось перевыпускать SIM-карты с номерами жертв. «В этом году мы наблюдали появление нового семейства вредоносного кода Hesperbot, который использует механизмы обхода SMS-подтверждений, компрометируя и ПК, и мобильное устройство пользователя, если он сможет получить к нему доступ», – рассказывает ведущий вирусный аналитик Eset Артем Баранов.
Эксперты прогнозируют рост числа махинаций через мобильные телефоны. «На черном рынке существует и активно продается универсальный банковский троян Perkele для платформы Android. Учитывая невысокую стоимость в $7 тыс. за полный комплект, положительные отзывы киберпреступников и возможность работы с более чем 70 банками в 12 странах, существует высокая вероятность дальнейшего активного развития и распространения данного вредоносного ПО», – полагают в Group-IB.
В итоге расслабиться пользователям банковских сервисов и разработчикам ИБ не придется. «В 2013 г. был зафиксирован рост активности нескольких семейств банковских вредоносных программ, что, в конечном счете, должно увеличить цифры, характеризующие ущерб, нанесенный в результате инцидентов ИБ. Не следует забывать, что сейчас быстро развиваются различные мобильные сервисы, связанные с онлайн-банкингом. Этот факт также будет использоваться злоумышленниками при компрометации мобильных устройств», – резюмирует Артем Баранов.