Карточные игры: Киберугрозы и кибербезопасность
Что банки могут противопоставить кибермошенникамПроблема кибератак в Казахстане была и остается острой — то и дело появляются сообщения о несанкционированном доступе к счетам банков и их клиентов. О том, насколько велика угроза, как не стать жертвой мошенников и что может противопоставить этой опасности банковское сообщество, рассказывает Алексей КОНЯЕВ, старший консультант антифрод-практики SAS Россия/СНГ.
Атака за атакой
С начала года Казахстан находится под постоянным прицелом кибермошенников. В марте по стране прошла волна хакерских атак, которая встревожила и Нацбанк, и БВУ, и их клиентов. Нацбанк РК выступил с предупреждениями, а представители банковского сообщества провели ряд совещаний по поводу контрмер, которые необходимо предпринять. В июле преступники вновь активизировались. В середине месяца появились сообщения о том, что POS-терминалы в Казахстане атакует модифицированный вирус Neutrino, который крадет данные платежных карт. Впрочем, Казахстаном кибермошенники не ограничились: этот же вирус активно распространялся в России, Украине и ряде других стран. Ситуацию осложняет то, что Neutrino начинает свою вредоносную деятельность не сразу после внедрения: некоторое время он находится в спящем режиме, чтобы усыпить бдительность систем безопасности.
Кроме того, в июле был обнаружен другой вирус, который позволяет получить несанкционированный доступ к мобильным устройствам, а точнее, к установленным на них мобильным банковским приложениям. Вирус распространяется с помощью СМС-сообщений, прячась за ссылкой на просмотр «фотографии». В связи с серьезностью угрозы Нацбанк РК вновь выступил с обращением, призывая пользователей внимательно изучать входящие сообщения и не переходить по сомнительным ссылкам, не передавать никому конфиденциальные данные и так далее.
И это лишь отдельные случаи — на самом же деле вирусов, с помощью которых мошенники пытаются снять деньги с карт или вывести напрямую из банка, великое множество, при этом одни сменяются другими. Перечислить все способы атаки вряд ли возможно, но необходимо знать хотя бы о самых распространенных, чтобы не стать жертвой киберпреступников.
Никто не застрахован
Способ атаки, который выбирают злоумышленники, зависит во многом от потенциальной жертвы. Так, держателям банковских карт в первую очередь стоит опасаться скимминга — компрометации данных карты с помощью помещенного на кард-ридер банкомата специального устройства — скиммера. Несмотря на то, что в виду повсеместного распространения чипованных карт, случаи скимминга все еще актуальны, хотя, объективно, данные по потерям от данного вида фрода снижаются год от года. В этой связи мошенники все чаще нацеливаются на сбор конфиденциальных данных в удаленных каналах — при этом e-mail с информацией о крупном выигрыше уже в прошлом. Сегодня фишинговые письма могут приходить от банка с хорошо замаскированного адреса или даже от ваших родственников, если их почта была взломана. Данные карты могут утечь и после перехода по ссылке, полученной, например, в мессенджере и фоновой загрузки вредоносного ПО, и после ввода данных на всплывающих страницах интернет-банков, и после загрузки на телефон взломанного приложения или приложения, специально созданного для выманивания конфиденциальных данных (например, приложения для ведения домашней бухгалтерии, где вводятся не только данные о покупках, но и о картах)
От всего этого страдают не только пользователи, но и сами банки. Так, например, известны случаи попыток несанкционированного доступа к диспенсеру банкомата с помощью фальшивой банковской карты. Чтобы создать такие карты, преступники подключаются непосредственно к банкомату через портативное устройство, обходя антивирус, защищающий компьютер банкоматов. Первым вирусом такого типа, который вызвал серьезную тревогу, стал в 2009 троян Backdoor.Win32.Skimer. К тому же он позволял украсть не только данные, но и наличные из диспенсера.
Также интересна схема АТМ-реверса, или обратного реверса. Этот способ впервые выявили специалисты Group-IB в 2015 году, когда пять российских банков потеряли около 250 млн рублей.
При этой схеме пользуются уязвимостью в процессинге, чтобы снимать в банкомате средства с помощью неименной карты и запросов на отмену операции. Сначала карта пополнялась через банкомат, потом деньги с нее снимались, давался запрос на отмену через удаленный доступ к зараженному POS-терминалу, указывая специальный код транзакции, который они получили вместе с операцией в ATM.& Для платежной системы это выглядело как обычная отмена покупки в ТСП, а по факту пополнялся баланс карты. При этом, когда баланс карты становился прежним, деньги снимались снова и снова. Что интересно, банкомат, с помощью которого преступники получали средства, и POS-терминал, дававший доступ к данным, могли находиться на любом расстоянии друг от друга — хоть в разных городах, хоть в разных странах. Есть и другая разновидность этой схемы: когда в результате компрометации системы управления карточными операциями баланс карты не меняется, сколько бы раз с нее не снимались деньги. Кроме того, к подобным схемам можно отнести и доступ к банкомату через специальные команды и коды, позволяющие опустошать банкомат за считанные минуты. И все это в результате компрометации либо конкретного банкомата, либо системы управления ими.
Наконец, один из самых распространенных видов нападения — это кибератака. Ее жертвой могут стать как банки, так и их клиенты. Например, в 2009 году группа преступников украла из 130 банкоматов более 9 млн долларов после взлома глобального процессинга карт RBS Worldpay. Кибератака охватила одновременно 49 городов в разных странах.
Очень распространены трояны, которые атакуют пользователей интернет-банкинга. Они подменяют на компьютере пользователя легальную страницу системы на поддельную, собирают всю введенную с клавиатуры информацию и даже периодически отправляю принт-скрины платежных страниц. Таким образом, преступники получают не только логин и пароль доступа к личному кабинету клиента, но и доступ ко всем счетам и продуктам клиента. По факту, они даже могут открыть кредитный счет и сделать клиента должником.
СМС — не панацея
Многие пользователи уповают на СМС сообщения, считая их надежной защитой от атак преступников. Конечно, определенной эффективностью они обладают, но считать их панацеей нельзя, поскольку мошенники быстро научились их обходить. Им удается перехватывать сообщения и получать коды — это позволяет сделать поддельные мобильные приложения, которые практически не отличить от настоящих, взлом личных кабинетов на сайте сотового оператора и переадресация СМС, а также вирусы, внедряемые в мобильные устройства.
Такие вредоносы позволяют осуществлять Перехват СМС-сообщений от банка на уровне самого мобильного устройства: для этого преступникам даже не нужно знать ни номера карты, ни номера телефона, ни комбинации логина и пароля. Два года назад появились первые сообщения от клиентов банков, использующих Android-смартфоны, о том, что с их карт пропадают деньги. Попытки узнать баланс карты через СМС результата не давали. О пропаже люди узнавали, когда уже не могли расплатиться картой из-за нехватки средств, или по выписке из банкомата. Троян, который прописывался на смартфоне, отправлял на закрепленный за банком короткий номер команды на перевод средств на подставные карточные счета и затирал отправленные и полученные в ответ сообщения, а также ответы банка на пользовательский запрос о балансе.
СМС-банкинг очень популярен в СНГ, поскольку удобен для пользователей: в первую очередь потому, что не требует многоступенчатой авторизации. Отсюда и высокое количество кибератак с использованием СМС-команд: в среднем до момента обнаружения атаки ботнет совершает от 50 до 200 атак, по данным специалистов, занимающихся расследованиями киберпреступлений. Правда, из-за того, что на мобильные операции часто вводятся жесткие лимиты, средняя сумма транзакции не так велика. Например, в России она составляет 3 тыс. рублей (около 15 тысяч тенге), но именно это играет на руку преступникам. Если кража крупной суммы будет замечена сразу и вызовет тревогу, а пострадавший обратится в правоохранительные органы, то исчезновение со счета нескольких сотен или пары тысяч может пройти незамеченным для самого держателя карты. Однако в совокупном объеме такие преступления наносят серьезный ущерб в силу массового характера.
Адекватный ответ
К сожалению, стопроцентной защиты не существует, и даже наличие антивируса на устройстве клиента не гарантирует безопасность: по статистике у большинства пострадавших клиентов был установлен антивирус. Да и в целом меры противодействия кибермошенникам проработаны плохо — эти преступления сложно обнаружить, сложно расследовать, четких законов по сути нет, а банки не всегда защищены должным образом. Особенно остро эта проблема стоит для небольших банков, у которых нет финансовой возможности построить полноценный контур защиты.
Нацбанк Казахстана понимает всю остроту проблемы и постоянно предпринимает меры, которые призваны минимизировать риски, связанные с киберпреступлениями. Банковское сообщество тоже стремится объединить усилия и обменивается информацией, чтобы усилить защиту. Но этих мер мало — необходимо повышать грамотность банковского персонала и пользователей, обучать сотрудников банков информационной безопасности. И, наконец, в современном мире, когда технологии развиваются с опережением и устаревают очень быстро, нужны современные автоматизированные инструменты, которые могли бы дать адекватный ответ киберпреступникам. Очень важно, чтобы они обладали способностью к самообучению, не позволяя мошенникам оказаться впереди, могли строить сети взаимосвязей, помогали бы быстро собирать доказательную базу и были способны охватить бы все без исключения информационные системы банка.
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.