Как не стать жертвой

Рост ИТ-атак мотивирует банки увеличить затраты на информбезопасность

Уходящий год оказался для банковских специалистов по кибербезопасности настоящим испытанием на прочность. Проблемой 2024 года стали мощнейшие ковровые ИТ-атаки, из-за которых сервисы крупных финансовых игроков были порой недоступны часами. Драматичный опыт уходящего года и неутешительный прогноз относительно роста киберугроз в 2025 году мотивируют банки увеличивать вложения в информационную безопасность (ИБ).

Кибербезопасность — это последнее, на чем можно экономить

Фото: Александр Миридонов, Коммерсантъ

Ковровый DDoS

В 2024 году банки чаще всего становились жертвами DDoS-атак. По словам старшего аналитика исследовательской группы Positive Technologies Анны Голушко, каждое второе объявление о банковских организациях на теневых форумах раскрывало подробности проведенных киберпреступными группировками DDoS-атак. Руководитель направления WAF и Anti-DDoS ГК «Солар» Алексей Пашков отмечает, что с начала года целями DDoS-атак были 60 банков и финансовых структур, среди которых и лидеры отрасли. В частности, Газпромбанк, Альфа-банк, ВТБ, оператор российской платежной системы «Мир». В результате сервисы порой оставались недоступными в течение нескольких часов.

В атаках на финсектор преобладали ковровые атаки, которые существенно отличаются от классических DDoS-атак, указывает директор по продуктам Servicepipe Михаил Хлебунов: «При классической DDoS-атаке с интенсивностью 1 Гбит/с злоумышленники направляют весь вредоносный трафик на один IP-адрес банка. Такая атака легко обнаруживается, поскольку резкое увеличение трафика на 1 Гбит/с резко выбивается из нормы. При распределенной атаке, когда трафик распределяется по тысячам IP-адресов, ситуация меняется. На каждый IP-адрес может приходиться всего 1 Мбит/с вредоносного трафика, что сложно отличить от обычной фоновой активности. Если анализировать нагрузку на каждый IP-адрес в отдельности, такой объем может остаться незамеченным. Однако при умножении 1 Мбит/с на тысячи или даже десятки тысяч IP-адресов формируется мощная атака, способная существенно затруднить противодействие».

Летом, по словам экспертов, было две волны атак на банки. В конце июня на финсектор обрушился классический «ковер», рассказывает Михаил Хлебунов, тогда как уже в июле атаки были на большое количество IP-адресов (но не все) и с достаточно ощутимой нагрузкой. Например, в июле у одного из банков под защитой Servicepipe атака шла более чем на 400 IP-адресов одновременно. Кредитные организации подтверждают беспрецедентные атаки лета 2024 года.

«В конце июля "с самой мощной кибератакой в своей истории" столкнулся Сбербанк, ее организовала "IT-армия" Украины,— рассказывает зампред правления Сбербанка Станислав Кузнецов.— Атака длилась 13 часов, в ней, помимо украинской стороны, участвовали также несколько сторонних бот-сетей, состоящих из более чем 62 тыс. устройств».

Михаил Хлебунов рассказал, что атаки на финансовые организации в 2024 году были и через интернет или облачных провайдеров: «Если интернет-провайдер использует защищенный от DDoS канал, весь трафик обрабатывается разными сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), каждое из которых имеет определенный уровень мощности. Цель атаки на сервис провайдера — исчерпать ресурсы устройств, чтобы они перестали работать, в результате чего недоступными станут не только сервисы банка, но и услуги для других клиентов этого провайдера».

Алексей Пашков добавляет, что в 2024 году при атаках на финсектор был зафиксирован рост случаев IP-спуффинга, то есть подмены IP-адресов путем создания IP-пакетов с ложным IP-адресом источника. Это, по словам эксперта, делало невозможным блокировку по географическому признаку или по списку «черных» IP.

Высокий интерес к DDoS-атакам на банковские организации объясняется обостренными геополитическими конфликтами между странами, поясняет госпожа Голушко: «С ними связана деятельность группировок хактивистов, которые атакуют финансовый сектор, выполняющий важные функции для стабильного функционирования экономики государств. В особенности важную роль здесь играют банки, фондовые биржи и операторы платежных систем, от стабильной работы которых зависят финансовые операции на внутреннем и международном рынках».

DDoS-атаки наносят реальный ущерб банковскому сектору, причем этот ущерб при желании можно легко посчитать, дополняет замначальника департамента защиты информации Газпромбанка Алексей Плешков.

Вредоносы на коне

Помимо DDoS, среди основных методов атак на финансовые организации находится использование вредоносного программного обеспечения (ВПО). В первой половине 2024 года его доля составила 56%, что на 12% больше, чем за аналогичный период 2023 года, следует из данных Positive Technologies.

В первой половине этого года мы наблюдали рост интереса хакеров к ВПО для удаленного управления (remote access trojan) в атаках на финансовые организации: такой тип ВПО применялся в 33% успешных кибератак, что в три раза чаще, чем за аналогичный период 2023 года, рассказывает старший аналитик исследовательской группы Positive Technologies Анна Голушко.

В частности, стал крайне заметен тренд на увеличение атак на мобильные приложения: с ростом популярности мобильного банкинга злоумышленники начали активно искать уязвимости в этих платформах. «В 2024 году количество атак на мобильные устройства возросло, включая фишинг через SMS и поддельные приложения, имитирующие легитимные банковские сервисы. Злоумышленники применяют такие методы, как подмена интерфейса (UI spoofing) и внедрение вредоносного ПО, чтобы получить доступ к личным данным пользователей»,— поясняют эксперты «Информзащиты». По данным компании, около 40% всех атак на финсектор были направлены на мобильные приложения.

Также в этом году увеличилось количество атак на системы аутентификации. По словам экспертов «Информзащиты», злоумышленники активно используют такие методы, как SIM-swapping, чтобы перехватить коды аутентификации, отправляемые на мобильные устройства, что позволяет им обойти защиту и получить доступ к банковским счетам. Атаки на биометрическую аутентификацию также становятся более распространенными, что ставит под угрозу безопасность пользователей.

Еще одной важной тенденцией является использование искусственного интеллекта (ИИ) в кибератаках, отмечают в «Информзащите». «Киберпреступники начали применять ИИ для автоматизации атак, что позволяет им создавать более сложные фишинговые схемы, адаптирующиеся к поведению пользователей,— рассказывают эксперты "Информзащиты".— ИИ также используется для обхода систем защиты, что делает атаки более эффективными и трудными для обнаружения».

Кроме того, эксперты указывают, что наблюдают продолжение атак на цепочки поставок. В этих случаях злоумышленники проникают в инфраструктуру предприятия, которое сотрудничает с финансовой организацией или предоставляет ей какое-либо ПО, и уже через него проводят атаку непосредственно на банк, поясняет главный эксперт «Лаборатории Касперского» Сергей Голованов.

Рост числа кибератак и их вариативность, в том числе атаки на бизнес-логику работы сервисов, эксперты связывают со стремительным ростом уровня подготовки киберзлоумышленников, атакующих финансовый сектор и обладающих знаниями об общем устройстве ИТ-инфраструктуры финансовых организаций, пониманием работы бизнес-процессов, а также с их высокой политической мотивированностью.

Клиенты под угрозой

Говоря об атаках на банковских клиентов, эксперты указывают, что социальная инженерия продолжает оставаться одной из самых распространенных тактик киберпреступников. По данным исследований, более 60% атак на банки в 2024 году были связаны с социальной инженерией, говорят в «Информзащите».

Злоумышленники связываются с жертвой от имени настоящего или бывшего руководителя и просят оказать содействие кому-либо, говорит Сергей Голованов.

Также эксперты указывают на принципиально новый кейс атаки на клиентов банка. «Мы выявили нетипичную атаку на кредитную организацию, когда бот, используя сервис банка, добывает номера телефонов клиентов кредитной организации, а далее атакует клиентов банка с использованием методов социальной инженерии,— рассказывает Михаил Хлебунов.— Если у банка есть сервис для действующих клиентов для оформления кобрендинговых дебетовых карт с повышенным кешбэком, сервис определяет принадлежность клиента банку по номеру телефона. В кредитной организации увидели четкую связь: боты пробивают номер телефона, а далее злоумышленники звонят его владельцу и, используя методы социальной инженерии, пытаются убедить перевести деньги на "безопасный счет", сказать код из СМС».

Кроме того, в атаках на клиентов также активно применяется вредоносное ПО. «Под разными предлогами злоумышленники убеждают людей установить на смартфон якобы защитные решения, приложения поддержки телеком-операторов или другие сервисы. Если человек соглашается, атакующие присылают ему в мессенджере вместо полезной программы вредоносный APK-файл. На сегодняшний день чаще всего таким образом распространяется именно SpyNote»,— рассказывает господин Голованов. Количество атак на владельцев Android-устройств в России с использованием этого троянца и его модификаций за девять месяцев 2024 года выросло в 4,5 раза по сравнению с аналогичным периодом 2023 года, следует из данных «Лаборатории Касперского».

По словам генерального директора SafeTech Дениса Калемберга, если в начале года преобладали атаки на клиентов, основанные исключительно на социальной инженерии, когда жертва атаки сама добровольно переводила деньги по указанию злоумышленников, то к концу года было все больше смешанных атак, где сочетались психология и технологии.

Затратный 2025 год

В 2025 году эксперты ожидают сохранения трендов уходящего года. «Киберпреступники будут использовать более сложные алгоритмы ИИ для создания адаптивных атак»,— уверена Анна Голушко. По словам Сергея Голованова, после повышения штрафов за утечки персональных данных злоумышленники могут начать публиковать информацию, похищенную во время инцидентов 2023 и 2024 годов, так как атакующие приберегали эту информацию для оказания давления на компании.

Банки согласны с мнением экспертов. Основными способами противостояния киберзлоумышленникам в данных условиях являются выстраивание эшелонированной защиты инфраструктуры, тщательная проработка бизнес-моделей использования финансовых сервисов, повышение осведомленности работников и клиентов финансовых организаций о современных киберугрозах и др., говорит Алексей Плешков. И, конечно, необходимо понимать, что кибербезопасность — это последнее, на чем можно экономить.

Олеся Ошанина

Вся лента