Хищения в системах интернет-банкинга

Кибермошенничество в России: эволюция угроз
Хищения в системах интернет-банкинга, целевые атаки и кардинг принесли в 2014
году злоумышленникам больше всего денег.
Предлагаем
вашему
вниманию
материал
о
тенденциях
развития
кибермошенничества в России, составленный по результатам исследований компании
Group-IB.
Group-IB – одна из ведущих международных компаний по предотвращению и
расследованию
киберпреступлений
и
мошенничеств
с
использованием
высоких
технологий. Клиентами компании Group-IB являются крупнейшие российские банки
(такие
как
Сбербанк,
ВТБ
24,
Альфа-Банк,
Россельхозбанк,
Газпромбанк),
правоохранительные органы и другие различные организации.
Хищения в системах интернет-банкинга
Для совершения хищений в системах интернет-банкинга хакеры используют:
• Фишинг1;
• СМС-банкинг2;
• Эмуляцию3 работы банковского приложения на телефоне.
На хищениях в системах интернет-банкинга в России и СНГ хакеры за год
заработали 288 млн. долл. Суммарные доходы русскоговорящих хакеров в Европе, США и
на Ближнем Востоке значительно выше. Тут практически все по-старому: воруют либо с
помощью фишинговых сайтов, либо банковских троянов, позволяющих не только
перехватывать логины/пароли, цифровые подписи, предоставлять удаленный доступ, но и
совершать автоматические хищения, либо автоматическую подмену реквизитов во время
платежей. Сами методы не новы, но злоумышленники постоянно дорабатывают
вредоносные программы, делая их все неуязвимее. Так, в 2014 году мобильные трояны
позволили похитить в России с банковских счетов около 3 млн. долл.
Фишинг – вид интернет-мошенничества, целью которого является получение доступа к
конфиденциальным данным пользователей (информации о банковской карте, либо логина и пароля от
интернет-банка). Чаще всего используется в виде рассылки через Интернет писем от имени банка или
платёжной системы с просьбой подтвердить конфиденциальную информацию пользователя на сайте
организации.
2
СМС-банкинг – услуга, предоставляющая возможность пользователям использовать мобильный телефон
для доступа к своим банковским счетам и управлению ими, совершать платежи с банковских счетов,
получать информацию об использовании услуги. Используется хакерами для хищений с банковских счетов.
3
Эмуляция – это максимально точное воспроизведение (копирование) внутреннего устройства эмитируемой
системы, программы или банковского приложения на телефоне. Используется для хищения
конфиденциальной информации пользователя и хищения средств.
1
До недавнего времени мобильные троянские программы представляли угрозу для
банков и их клиентов только в случае одновременного заражения компьютеров в банке и у
клиента. Тогда хакер получал доступ к логину/паролю от интернет-банка и с помощью
мобильного трояна узнавал одноразовые пароли. Теперь же злоумышленники нашли
способ совершать хищения с банковских счетов, используя только троянскую программу
на мобильном устройстве.
Согласно исследованиям Group-IB мобильных бот-сетей, 40% пользователей
мобильных устройств имеют банковский счет, привязанный к зараженному мобильному
телефону.
Важно знать, что некоторые хакеры автоматизировали процесс до такой степени,
что троян при попадании на телефон автоматически проверяет, клиентом какого банка вы
являетесь, сколько у вас денег на счете. В зависимости от суммы он совершает небольшие
транзакции, пока ваш счет не опустеет.
Целевые атаки
Другим качественным изменением в хищениях стали целевые атаки на банки.
Средняя сумма хищения на территории России и СНГ при целевой атаке на банк
составляет 60 млн. руб. С 2013 года зафиксирован несанкционированный доступ в сети
более 50 российских банков и 5 платежных систем. На начало 2015 года итоговая сумма
хищений составляла более 1 млрд. руб., бо́льшая часть из которой приходится на вторую
половину 2014 года. Среднее время с момента проникновения во внутреннюю сеть
финансовой организации до момента хищения составляет 42 дня.
Кроме самих банковских и платежных систем хакеры могут получать доступ к
серверам
электронной
почты
для
установления
контроля
над
внутренними
коммуникациями. Таким образом, полученная информация о способах противодействия
хищению позволяет им принимать контрмеры.
Кардинг
Кардинг4 - один из старейших хакерских способов незаконного заработка. По
оценкам Group-IB, используя этот метод, российские хакеры за год заработали 680 млн.
долл.
Кардинг – вид мошенничества, при котором производится операция с использованием платёжной карты
или её реквизитов, не инициированная или не подтверждённая её держателем. Реквизиты платёжных карт,
как правило, берут со взломанных серверов интернет-магазинов, платёжных и расчётных систем, а также с
персональных компьютеров.
4
Данные
карт
можно
получить
самыми
разными
способами:
используя
скимминговое оборудование, троянское программное обеспечение для банкоматов или
РОS-терминалов, в результате взломов процессингов или web-ресурсов, связанных с
электронной коммерцией, а также с зараженных компьютеров пользователей при помощи
формграбберов5, фишинговых сайтов или вишинга6.
На черном рынке предлагают два типа данных скомпрометированных карт:
текстовые данные о картах (номер, дата истечения, имя держателя, адрес) и «дампы»
(содержимое магнитных полос карт). Рыночная стоимость «дампа» карты в среднем в 10
раз превышает стоимость текстовой информации о карте, что обусловлено расширенными
возможностями по осуществлению мошеннических операций. Так, имея «дамп» карты,
можно изготовить ее физический дубликат и проводить операции в офлайновых точках
продаж, при наличии ПИН-кода можно снять деньги в банкомате.
Трояны для банкоматов и POS-терминалов - один из основных драйверов развития
этого сегмента, хотя они и менее опасны, чем скимминг7. С начала 2014 года в России
было скомпрометировано 52 банкомата и активность растет, так как вредоносные
программы дают больше шансов преступникам остаться незамеченными.
Если скимминг и троянские программы для банкоматов - это старые способы
получения «дампов» карт, то компрометация POS-терминалов является относительной
новинкой.
Сейчас на черном рынке продают не только сами вредоносные программы, но и
отдельно доступ к терминалам, на которые эти программы можно установить.
Получить доступ к POS-терминалам крупных ритейловых сетей гораздо проще,
чем к процессинговому центру. Последние массовые утечки данных карт связанны
именно с этим способом.
Одним из первых троянов именно для POS-терминалов был Dexter, о котором
сообщили в декабре 2012 г. С него и началось широкое распространение этого способа
получения «дампов» карт. В декабре 2013 года из американской сети Target было
похищено около 70 млн. карт, а в сентябре 2014 года сеть магазинов Home Depot
сообщила о компрометации около 56 млн. карт. За этими атаками стоят русскоговорящие
Формграббер – это вредоносное программное обеспечение (шпионская программа), созданное для
получения злоумышленником всех введённых пользователем паролей и логинов, а также для изменения
html кода страниц путём внедрения своего кода или замены существующего.
6
Вишинг – вид мошенничества – голосовой фишинг, использующий технологию, позволяющую
автоматически собирать информацию, такую как номера карт и счетов и т.д.
7
Скимминг – мошенническая информация, при которой используется инструмент (или скиммер,
скимминговое устройство) злоумышленника для несанкционированного считывания данных с платёжной
карты путём копирования информации с магнитной полосы.
5
специалисты. Пока их основной мишенью являются США и Европа, но все может
измениться в любой момент.
Что нового в способах защиты?
Злоумышленники всегда на шаг впереди - они диктуют правила, а производители
средств защиты им следуют, не имея достаточной информации о действиях хакеров. Им
невозможно противостоять вслепую. Это все равно, что вести войну без данных о
количестве и дислокации врага, используемом им вооружении, источниках подкреплений
и т. п. Это является одной из основных причин, почему злоумышленники настолько
успешны и, почему увеличение бюджетов на информационную безопасность не приводит
к снижению уровня киберпреступности. Осознание этой проблемы привело к появлению
такого направления у частных компаний, как Cyber Intelligence8. Как и в обычной
разведке, выясняющей, какие у атакующего возможности, намерения, текущие действия
Cyber Intelligence основаны на добыче сведений о том:
 какие атаки уже произошли или могут произойти;
 как действия атакующего могут быть распознаны и обнаружены;
 как эти действия могут быть смягчены;
 кто стоит за этими атаками;
 каковы мотивы атакующих и чего они пытаются добиться;
 каковы их возможности с точки зрения тактики, техники, процедур, используемых
ими ранее и в скором будущем;
 какие уязвимости, ошибки конфигурации они эксплуатируют;
 какие действия они предпринимали в прошлом и т. д.
Таким образом, по мнению Group-IB лучшая практика противодействия
киберугрозам - это сочетание знаний, полученных от Cyber Intelligence, и уже внедренных
средств защиты. Но такие знания имеют значение, только если они получены оперативно.
Сейчас же о чем-то новом узнают с недопустимыми задержками из аналитических отчетов
или какой-то новости, просочившейся в СМИ, и как всегда, очень многое остается
неосвещенным.
Отделение по Амурской области Дальневосточного главного управления
Центрального банка Российской Федерации
Cyber Intelligence (киберразведка) – платформа, позволяющая заказчику проводить мониторинг,
анализировать и прогнозировать потенциальные угрозы информационной безопасности, актуальные для
компании, её партнёров и клиентов. При этом стратегия безопасности строится на знании угроз
сегодняшнего и прошлого дня.
8