С широко открытыми счетами
Как граждане помогают хакерам себя грабить
Неизвестно, сколько времени люди приучались не выходить из пещеры на холод без шкур, но в результате это вошло в привычку — она и сегодня бережет нам здоровье. Возможно, уже на нашем веку люди приучатся не отвечать на сообщения неизвестных отправителей. Пока же мы, как правило, сами открываем хакерам доступ к своим деньгам.
В начале ноября Tesco Bank, принадлежащий крупнейшей британской розничной торговой сети Tesco, подвергся хакерской атаке, в результате которой с 20 тыс. счетов было похищено как минимум 2,5 млн фунтов. Глава британского Управления по контролю за соблюдением норм поведения на финансовых рынках (Financial Conduct Authority, FCA) Эндрю Бейли сообщил членам парламента, что хакерская атака на Tesco Bank для Великобритании беспрецедентна. Преступники использовали вирус-троян Retefe, который рассылается по почте и позволяет перехватывать логины и пароли пользователей онлайн-банкинга. По сообщениям СМИ, жертвами вируса также могут стать клиенты банков Raiffeisen, Credit Suisse, Barclays, HSBC и таких сервисов, как Facebook, PayPal, Gmail.
Многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учетные данные, пароль
Более того, эксперты не исключают, что Tesco Bank ожидает вторая волна атак, которая будет произведена при помощи давно известного приема — фишинга. "Фишинг,— поясняет в написанной несколько лет назад обширной статье "Википедия",— одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности; в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учетные данные, пароль и прочее".
Карта бита
В России основные кражи данных хакерами как раз и происходят из-за незнания пользователями правил сетевой безопасности. В 2015 году по российским городам прокатилась волна мошенничеств: при помощи поддельных доверенностей осуществлялся перевыпуск сим-карт без ведома владельцев. Все дело было в одноразовых паролях, которые банки присылают пользователям для подтверждения трансакций в системе дистанционного банковского обслуживания (ДБО).
Группировка Lurk заражала компьютеры клиентов банка, обнаруживала и похищала личные данные, а затем с их помощью изготавливала копии сим-карт. После чего хакеры преспокойно похищали все средства со счета жертвы. Схема проработала недолго. В июне 2016 года ФСБ и МВД сообщили об аресте участников Lurk: были задержаны более 50 человек из 15 регионов России. Кроме того, банки начали активно внедрять защитные механизмы, отслеживающие изменения уникальных номеров сим-карт.
Тем не менее мошенничества с сим-картами не просто продолжаются — они активно набирают обороты. Последний скандал связан с интернет-ресурсом Avito. У Сбербанка есть функция перевода денег на счет своего телефона с помощью СМС. Допустимая сумма перевода — 10 тыс. руб. в сутки без подтверждения: достаточно отправить СМС с указанием суммы на номер 900. Мошенники перевыпускают сим-карту по поддельному паспорту, получают доступ к интернет-банку жертвы и переводят на счет телефона деньги, чтобы вывести средства.
У хакеров нет бюрократических барьеров — все это делает их лидерами информационной гонки с сотрудниками отделов информационной безопасности компаний
Для этого они выбирают одно из объявлений на Avito, сообщают о готовности приобрести вещь или внести залог, просят номер карты продавца и код, который приходит ему в СМС. После чего получают доступ к личному счету. "Позвонили покупатели насчет выставленного мной на продажу товара, предложили оплатить дистанционно, попросили номер карты для перевода. Через несколько минут пришло СМС от Сбербанка с паролем и тут же перезвонили и попросили назвать им код, который пришел на мою трубку. Сказали, что код нужен для того, чтобы сделать перевод, так что попал на 3 тыс. руб.",— рассказывает Александр на webcontext.ru. "Сейчас этим заработком кинулись промышлять все вчерашние хакеры-недотепы. Риска никакого, разговоров минимум, результат оправдывает затраты — более чем. Начиналось все с мест лишения свободы, а теперь даже школьники пользуются дырами в безопасности Сбербанк-онлайн",— прокомментировал администратор этого сайта. Чтобы отключить "быстрый платеж", а с ним и возможность перевода денег по СМС, достаточно отправить СМС с цифрой 0 на тот же номер 900.
Прогресс на службе хакерства
Способы кражи денег хакерами существенно усложнились в процессе очередной игры "Полицейские и воры". В 2011 году хакеры использовали программное обеспечение под названием "Малварь" — буквальный перевод англоязычного термина Malware (от malicious — злонамеренный и software — программное обеспечение). Оно в автоматическом режиме взаимодействовало с программным обеспечением для ДБО, подменяя реквизиты в платежных поручениях, формируемых бухгалтером атакованной организации. "Малварь" могла и самостоятельно формировать такие платежки.
"Сейчас, в 2016 году, довольно странно читать о банковском ПО, которое не требует никаких дополнительных мер аутентификации, но пять лет назад именно так все и было: чтобы беспрепятственно похищать деньги, в большинстве случаев нужно было лишь заразить компьютер, на котором было установлено ПО для работы с системами ДБО. В 2011 году банковская система России, да и многих других стран, еще не была готова к подобным атакам, и злоумышленники активно этим пользовались",— рассказывает руководитель отдела расследований компьютерных инцидентов компании "Лаборатория Касперского" Руслан Стоянов.
Позже, в 2013-2014 годах, индустрия начала реагировать на участившиеся случаи хищений. Производители ПО для дистанционного банковского обслуживания убрали свои продукты из открытого доступа. Также банки начали массово противодействовать так называемому автозаливу — процедуре, в ходе которой злоумышленники изменяли с помощью "Малвари" данные платежного поручения.
Они просто проникали в корпоративную сеть и учились маскировать мошеннические действия под легитимные
"Киберпреступники уже много лет создают банковских троянцев, которые попадают на компьютер или смартфон пользователя, и таким образом получают доступ к реквизитам. Методов существует множество, самый распространенный — фишинг, когда на почту приходят вредоносные вложения. Для этого очень широко используются навыки социальной инженерии, когда преступники маскируются под сами банки и платежные системы и под регулирующие органы, заставляют пользователя перейти по ссылке либо скачать вредоносное приложение. Не всегда для того, чтобы подхватить троянца, пользователь должен совершить какое-то действие, иногда заражены сами сайты, и пользователь, просто заходя на этот ресурс, пускает к себе "вредонос" через уязвимость браузера. Такое происходит, если на компьютере или смартфоне не установлены последние версии антивирусной защиты и не обновлены версии интернет-браузеров",— говорит старший антивирусный эксперт "Лаборатории Касперского" Сергей Ложкин.
Два года назад прогремела история с группировкой Carbanak, которая выбрала своей мишенью банковские ресурсы. С помощью продвинутого технического оснащения и банального фишинга мошенники проникали в информационную систему банков. Чтобы получить доступ к внутренней сети, заражали компьютер кого-то из сотрудников, это давало возможность найти компьютеры администраторов систем денежных трансакций и развернуть видеонаблюдение за их экранами. В итоге мошенники контролировали банкоматы и смогли запрограммировать выдачу наличных денег в заранее запланированное время.
"Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Более того, хакерам не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились маскировать мошеннические действия под легитимные. Это действительно профессиональное ограбление",— пояснил ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов.
Без веры в электричество
У компаний, особенно у крупных, есть целые отделы, занимающиеся обеспечением информационной безопасности, которые следят за неприкосновенностью данных и надежностью их защиты. И нередко, приходя на работу в такую компанию, обычный человек сталкивается с массой ограничений, правил и требований. "Именно человек — самое слабое звено в системе защиты информации. Проблема состоит в том, что часто сотрудники просто не осознают рисков информационной безопасности. Например, им кажется, что требования к паролям — это просто бюрократическое правило, усложняющее жизнь. Между тем использование несложного пароля или открытие вложений из писем с незнакомых адресов подвергает опасности всю компанию",— говорит старший менеджер группы по оказанию услуг в области управления информационными рисками КПМГ в России и СНГ Илья Шаленков.
При этом чем больше компания и ценнее информация, которую можно у нее украсть, тем сильнее натиск и изощреннее приемы хакеров. "У нас еще не везде понимают, что информация — один из наиболее ценных активов компании, и ее утечка может навредить бизнесу, вплоть до полного его прекращения. Простой пример разницы в отношении: предположим, вы видите незнакомого человека, который проходит за вами в дверь офиса, не приложив пропуск. Какими будут ваши действия? Скорее всего, вы любезно придержите дверь. И поверьте, такая реакция будет у большинства сотрудников российских предприятий. Также важно отметить разницу в отношении руководства компаний к безопасности. В иностранных фирмах реже встречается отношение к процедуре защиты информации как к помехе бизнесу. Требования к сотрудникам по соблюдению безопасности должны быть одинаковыми вне зависимости от их статуса. Если вы директор, то к вам должны предъявляться такие же требования, как и к стажеру, а по-хорошему — еще более высокие, поскольку у вас есть доступ к более важным данным",— уверен Шаленков.
Именно человек — самое слабое звено в системе защиты информации
Хакеры постоянно придумывают новые схемы и подходы. Их интересуют любые отрасли на рынке, потому что даже скомпрометированный сайт небольшой компании можно использовать для вредоносных действий. Например, провести рассылку спама и осуществить атаку на другие ресурсы. К тому же у хакеров нет бюрократических барьеров — все это делает их лидерами информационной гонки с сотрудниками отделов информационной безопасности компаний. "В этой борьбе всегда лидировали хакеры, а служба информационной безопасности находится в позиции отстающего из-за того, что в компании работают сотни и даже тысячи сотрудников, которые могут проигнорировать установленные правила; кроме того, есть множество доступных из сети интернет-ресурсов и многофункциональных внутренних систем, за уязвимостями в которых надо непрерывно следить. Это все значительно увеличивает площадь атаки для хакеров и усложняет контроль конфиденциальности информации со стороны службы ИБ. Причем эта служба всегда ограничена приоритетом обеспечения непрерывности бизнеса, что не позволяет минимизировать риски",— говорит Илья Шаленков.