Как хакеры грабят банки — отчет Positive Technologies. Хакеры создали свою платежную систему для кражи денег из всех банков Как уберечь себя от кражи

Весной этого года двое из организаторов хакерской группы Carberp были приговорены к пяти и восьми годам лишения свободы. Их жертвами стали более тысячи российских граждан, а общая сумма хищений составила около $10 млн, это при том, что доказать удалось далеко не все эпизоды. Хакеры создали бот-сеть с использованием банковского трояна Carberp, на долю которого приходится 72% заражений финансово-кредитных учреждений в мире. Вирус попадал в компьютеры пользователей при посещении зараженных сайтов, среди которых были популярные финансовые порталы. Специальная программа-загрузчик определяла тип системы дистанционного банкинга используемой на компьютере, и подбирала подходящий модуль вируса.

Хотя организаторов группы поймали и привлекли к ответственности, исходные тексты вредоносного Carperp были опубликованы в Интернете в общем доступе, и уже появляются его различные модификации под банки Европы и Латинской Америки.

Дистанционное банковское обслуживание (ДБО) - наиболее привлекательный объект для атаки хакеров. Они тщательно подбирают банки с большим оборотом средств в ДБО и атакуют их системы.

По данным Group-IB, ежедневно в российских банках совершается около 28 хищений, при этом у юридических лиц сумма хищения в среднем составляет 1,6 млн руб., у физических лиц - 75 000 руб.

Когда ключи электронной подписи хранились на флешках или компьютерах, кражи совершались моментально и очень просто. Тогда банки начали переходить на токены - компактные USB-брелоки, которые служат для авторизации пользователяи безопасного удаленного доступа к данным. Но и они не стали панацеей - разработчикам хакерской группы Carberp потребовалось не так много времени для создания подходящего вируса для обхода системы защиты и незаметной подмены реквизитов легального платежного поручения.

Пытаясь защитить своих клиентов, банки стали внедрять одноразовые пароли, которые отправляются владельцу карты или счета по sms.Однако им злоумышленники с успехом противопоставляют социальную инженерию и фишинговые страницы, похожие на реальные страницы интернет-банков. Именно одноразовые sms-пароли стали причиной недавнего инцидента с ДБО крупного российского банка. Мошенники просто взламывали личные кабинеты абонентов на сайтах мобильных операторов и настраивали услугу переадресации sms. Перенаправляя sms-сообщения клиентов на свои номера, они получали доступ к их учетным записям в интернет-банке и переводили средства на счета подставных лиц — клиентов банка.

Что касается краж, совершаемых сотрудниками компаний, схема довольно простая: злоумышленник выводит средства на обналичивание, заражает компьютер вирусом и списывает хищение на вирус.

Наличие большого количества сервисов по обналичиванию средств в России существенно облегчает экономическую часть преступления. Тем не менее, расследовать такие инциденты профессионалу достаточно просто - обычно даже первичная экспертиза определяет отсутствие банковского вируса, а если он и есть, то обнаруживается, что его не использовали.

Основным направлением защиты от мошенничеств в ДБО сегодня является создание таких систем, которые способны определить, что рабочая станция клиента заражена, а проводимая операция является хакерской атакой.

Последние два года в России также очень активно развивается сегмент решений класса TrustScreen. Они позволяют выводить реквизиты платежного поручения на экран устройства, которое устанавливается между рабочей станцией и токеном и блокировать операцию подписи до тех пор, пока клиент не проверит их корректность и не нажмет кнопку подтверждения. Такая архитектура не позволяет незаметно для легального пользователя подменить какой-либо документ в системе Интернет-банкинга. На Западе решения со схожим функционалом используются уже несколько лет и довольно хорошо себя зарекомендовали.

Хотя, если принимать врасчет невнимательность и легковерность многих пользователей систем ДБО, 100% защиты от атак у банков так и не существует. Хакерская работа становится все более продуманной, повсеместно используются не только технические средства, но и социальная инженерия. Кроме того, данные могут быть украдены не по вине банка, однако он все равно понесет убытки. Так, в США хакеры украли данные о пластиковых картах почти 70 миллионов клиентов у американской розничной сети Target, и банкам пришлось потратить $200 млн на их перевыпуск. Тем не менее, при правильном подходе к процессу относительно несложно снизить риски до приемлемого уровня и выстроить систему, которая в случае атаки поможет оперативно расследовать инцидент и минимизировать ущерб от него.

Банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер.

При наличии доступа к внутренней сети банка специалистам Positive Technologies удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогли бы вывести деньги последователи группировки Cobalt, использующие аналогичные методы взлома. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены группировки Lazarus и MoneyTaker, было бы возможно в 17% банков.

В 17% банков недостаточно защищены системы карточного процессинга, что позволяет злоумышленникам манипулировать балансом на своих карточных счетах, как мы это видели в начале 2017 года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства более чем у половины банков, протестированных экспертами. В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам.

В отчете отмечается, что уровень защиты сетевого периметра в банках значительно выше, чем в других компаниях: за три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Однако и такой уровень весьма далек от идеала, учитывая высокую финансовую мотивацию атакующих и отсутствие во многих банках практики анализа защищенности кода онлайн-сервисов на этапах проектирования и разработки. При проведении тестов на проникновение во всех случаях получению доступа способствовали уязвимости в веб-приложениях (методы социальной инженерии не применялись). Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.

Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).

Но самое слабое звено — сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода — фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО — взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.

После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах — для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках — слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.

Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система. Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).

Внутри сети атакующие свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.

«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты, — говорит аналитик Positive Technologies Екатерина Килюшева. — Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ».

Как говорится в исследовании, опубликованном сегодня компанией Positive Technologies , банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер .

Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных - протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).

Но самое слабое звено - сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода - фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО - взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.

После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах - для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках - слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.

«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты , - говорит аналитик Positive Technologies Екатерина Килюшева . - Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ ».

22 сен 2013, 19:18

Очень часто приходится читать в новостях, что хакеры украли несколько миллионов у клиентов таких-то банков. А как именно это происходит?
Я не разбирался в этом вопросе, да и интерес чисто теоретический, но на ум приходит только одно: клиенты оставляют данные своих кредитных карт в Интернете (например, при оплате в различных интернет магазинах), а хакеры взламывают базы данных магазинов и получают доступ к данным карт (номер + пин-код), далее занимаются обналичкой, или продают на обнал другим людям.
Получается, что когда мы читаем о краже 2 миллионов долларов у банка N, то на самом деле обворовываются сотни и тысячи клиентов (у людей же кредитные линии не сотни тысячи долларов).
Как еще хакеры могут присваивать банковские деньги?

22 сен 2013, 22:48

На самом деле все куда проще и банальнее. В наше время совсем не обязательно быть хакером для того чтобы совершить "хакерскую" атаку. Все делается сотрудниками банков или платежных систем. Кто-то где-то может скопировать нужную базу, и отдать нужным людям которые начнут штамповать липовые карты. Украсть данные изнутри в миллион раз проще чем добыть их вламываясь через интернет, потому что технический вопрос уже давно доведен до совершенства.

Все что сейчас делают хакеры это примитивный DDOS, который уже даже скорее похож на работу менеджера по организации групп людей для атак, чем на работу программистов. Если вам кто-то говорит о работе хакеров, то это в первую очередь значит что кто-то хочет припрятать ваши деньги или обвинить некие высшие силы в своих ошибках. Банки обязаны сами отвечать за такие проколы, но если это произойдет в какой-то небольшой платежной системе, то считайте что вас просто кинули.

Как именно хакеры воруют деньги со счетов банков?

23 сен 2013, 13:51

Думается, что это в мелких банках есть несовершенства в области защиты данных, крупные банки, скорее всего, и своих сотрудников проверяют вплоть до 7 колена, так что тут про шпионаж можно не говорить. При оплате в Интернете пин не вводится, так что эту информацию можно только вычислять путем алгоритмов. Если человек в банк имеет хорошую должность, то вряд ли будет рисковать своей работой и свободой ради нескольких тысяч руб.

Как именно хакеры воруют деньги со счетов банков?

23 сен 2013, 15:55

nsergienko писал(а): Думается, что это в мелких банках есть несовершенства в области защиты данных, крупные банки, скорее всего, и своих сотрудников проверяют вплоть до 7 колена, так что тут про шпионаж можно не говорить. При оплате в Интернете пин не вводится, так что эту информацию можно только вычислять путем алгоритмов. Если человек в банк имеет хорошую должность, то вряд ли будет рисковать своей работой и свободой ради нескольких тысяч руб.
Неосторожность самих людей - губит все системы защиты.

Речь совсем не об одной карточке с несколькими тысячами рублей, а о базах с тысячами карт. Рискнуть ради этого работой - легко. На такое преступление могут пойти даже те люди которые проверяют сотрудников "до 7 колена". Впрочем среди российских банков вы и не найдете ни одного крупного банка, даже сотрудники сбербанка работают в таких условиях при которых говорить о безопасности просто смешно. Это даже не шпионаж, а простая афера среди сотрудников которые имеют доступ к деньгам.

Понимаете-ли, для того чтобы установить систему защиты не обязательно быть крупным банком - это может сделать даже простой человек на домашнем компьютере. Времена когда для обработки данных использовались дорогостоящие компьютеры размером с дом давно прошли. Технически все защищены одинаково. Не надо обвинять людей в неосторожности. Это просто невозможно чтобы хакеры взламывали счета у каждого человека по отдельности (да и не выгодно) и в результате обворовывали весь банк на крупные суммы.

Как именно хакеры воруют деньги со счетов банков?

23 сен 2013, 17:19

Легко, заходят в банк, узнают пароли доступа в личные кабинеты и оттуда переводят деньги куда-то. Или делают еще наглее, переводят без всякого основания из банка (просто дают распоряжение от имени банка на перевод с его корсчета в ЦБ или в другом банке). Тут главное снять успеть до обнаружения пропажи банком, на этом паляться все.

Название банка и украденную сумму не разглашают, но таким образом хакеры могут лишать банки всех их денег. Среди клиентов Swift числятся около 11 тысяч учреждений...

Название банка и украденную сумму не разглашают, но таким образом хакеры могут лишать банки всех их денег. Среди клиентов Swift числятся около 11 тысяч учреждений, а их платежная система обрабатывает миллиарды долларов.

К этому ограблению, по мнению экспертов, имеет отношение организация Cobalt, которая сейчас является основной угрозой для финансовых организаций.

Атака состоялась 15 декабря через вредоносные программы. Дмитрий Волков, руководитель департамента киберразведки Group-IB, говорит, что этот инцидент показывает, что хакеры обнаружили надёжные способы для отмывания денег.

Волков объясняет, что сама по себе система Swift совершенно неуязвима. Проблема кроется в недостаточной безопасности банков, которые пользуются этой системой.

Как известно, раньше Swift не использовался для подобных краж. Это связано с тем, что для этого нужны профессионалы, так как, если в банкомате максимальная сумма не будет превышать нескольких сотен тысяч долларов, то через систему межбанковских переводов можно добыть миллионы, а это требует больших умений. Рекордом пока является сумма в полумиллиарда рублей. Сначала подозреваемая группировка успешно грабила банкоматы в странах СНГ, но теперь переключилась на карточный процессинг. Возможно потому, что были найдены специалисты, которые смогли поддержать и осуществить такие действия.

Предполагается, что это было сделано с помощью вредоносной программы. Она присылается в электронном письме, его открывает сотрудник банка, и программа запускается и даёт мошеннику доступ к этому компьютеру. Потом хакер начинает изучать внутреннюю сеть банка. Конечно, существуют способы отслеживания подобных атак, но не все отделения имеют достаточно современные средства для этого. Обычные межсетевые экраны и антивирусы не смогут обеспечить полную защиту от таких ситуаций.

Сообщается, что пострадавший банк недавно прошел проверку от ЦБ, которая указала на недостаточный уровень его информационной безопасности. Они получили рекомендации по её улучшению, но, судя по всему, не выполнили их.

Эксперты говорят, что можно было использовать и другие платёжные системы. Обычно есть два варианта действий: или получение доступа к конкретному терминалу, например, Visa или Mastercard, и последующая его атака; или же доступ получается к тому, что попадется первым, в этом случае, к Swift. И тогда уже действуют по ситуации.

В последние годы атаки на банки стали более продвинутыми, так как появляются все более и более усовершенствованные «трояны», от которых все сложнее найти защиту. Теперь нужно только узнать электронные адреса некоторых сотрудников, разослать им письма в виде финансового мониторинга, в которые вложены вирусные программы, запускающиеся при открытии письма.

Весной 2016 года Swift уже предупреждала своих сотрудников об участившихся попытках кибератак, но подробностей тогда не раскрывали.

Group-IB тоже не говорят, какой банк пострадал, и сколько было украдено. Swift поддержали такую позицию и сообщили о тщательной проверке всех угроз и их устранении.

Некоторые эксперты думают, что был атакован небольшой банк. Они объясняют это тем, что выгоднее «нападать» на банки, у которых не хватает средств на усовершенствование защиты от кибератак. Первым от такого ограбления пострадал банк в Бангладеше, так что судя по всему в России это было небольшое учреждение.

В Бангладеше этот случай произошел в предыдущем году. Тогда хакеры завладели доступом к нескольким аккаунтам в бангладешском Центробанке и запросили перевод определенной суммы. Федеральный банк Нью-Йорка одобрил эти запросы и на счета филиппинских казино было переведено 80 млн долларов. Сомнения вызвало лишь неправильно написанное слово «фонд» в одном из документов.