Хакеры без труда взламывают счета клиентов крупнейших банков

Взлом онлайн-банка

Взлом онлайн-банка — получение доступа к денежным счетам граждан с помощью вредоносных программ или мошеннических действий через несанкционированный доступ к системе дистанционного банковского обслуживания (ДБО).

Банки стараются предложить своим клиентам эффективные механизмы управления счетом и личным кабинетом, удобно организовать финансовое взаимодействие клиентов с их контрагентами. Для этого разрабатываются специальные веб-приложения, которые и позволяют производить манипуляции с активами, хранящимися в банке. Совокупность веб-сервисов, которые предоставляют возможность не только получать справочную информацию по счетам, но и давать банку поручения о движении денежных средств, называются онлайн-банкингом.

Однако скорость, с которой выпускаются новые продукты, может сыграть негативную роль. Если при разработке веб-приложения не было уделено достаточно внимания безопасности, то посторонние злоумышленники вполне могут вмешаться в работу онлайн-банкинга и ограбить его клиентов. Таким образом, взлом онлайн-банкинга — это выполнение злоумышленниками несанкционированных транзакций от имени клиента.

При этом банк имеет ограниченное влияние на клиента в части обеспечения безопасности. Например, он не может научить людей правильно хранить пароли от системы онлайн-банкинга или электронные сертификаты, проверять свои компьютеры на наличие вредоносных программ и выявлять другую нежелательную активность. Поэтому в договорах с банком обычно указано, что ответственность за несоблюдение требований безопасности лежит на клиенте, а это, в свою очередь, не позволяет последнему получать возмещение убытков после инцидентов ИБ. Поэтому компании и физические лица, выбирая банк с возможностью дистанционного обслуживания, должны проверять, какие инструменты защиты он может им предоставить.

Классификация и способы взлома онлайн-банка

Методы взлома онлайн-банкинга аналогичны вариантам взлома любого веб-приложения:

  • Фишинг. Злоумышленники рассылают спам или публикуют в социальных сетях ссылки на ресурсы, имитирующие платёжный интерфейс банка. Если жертва переходит по такой ссылке, у нее выманивается пароль и другая идентификационная информация, необходимая для совершения транзакции с ее счета. Для блокирования этой атаки рекомендуется не переходить по присылаемым или опубликованным на посторонних сайтах веб-адресам — только прямой набор URL или переход из закладок с проверкой наличия защищенного соединения (использование протокола HTTPS с правильным написанием имени банка в сертификате).
  • Кража личных идентификаторов (личности). В системах онлайн-банкинга обычно выполняется аутентификация по паролю, перехват которого позволяет инициировать некоторые действия. Кроме того, в веб-приложениях есть возможность воровства сookie-файлов (идентификаторов сессий), что создает потенциальную возможность вмешаться в сеанс легитимного пользователя, авторизовавшегося в системе ранее. Конечно, банки сейчас используют сложные системы аутентификации с одноразовыми паролями, однако при определенных обстоятельствах такие коды можно перехватить. Обычно для этого используются вредоносные программы, которые работают на устройстве пользователя. Для защиты от такого способа нападения рекомендуется устанавливать антивирусные программы и использовать квалифицированные сертификаты с генерацией подписи на внешнем устройстве.
  • Взлом веб-сайта банка. Поскольку онлайн-банк — это веб-приложение, то в нем могут быть ошибки, которые позволяют с помощью специально подготовленных ссылок или внедренных JavaScript-сценариев манипулировать интерфейсом приложения. Цель такого манипулирования состоит в том, чтобы перенаправить деньги на другой счет, навязать какие-нибудь посторонние транзакции или даже блокировать интерфейс и требовать выкуп за возврат контроля над ним. Если не переходить по ссылкам из непроверенных источников и не открывать онлайн-банк после посторонних сайтов, то можно избежать подобной атаки. Со стороны банка рекомендуется провести аудит кода веб-приложений на предмет ошибок.
  • Социальная инженерия. Злоумышленники могут обманом заставить жертву совершить ненужную транзакцию. Например, зафиксированы случаи, когда киберпреступники представлялись сотрудниками ИТ-департамента банка и просили сгенерировать «тестовые» транзакции — якобы для отладки приложения. При этом даже не обязательно нарушать работу банковской программы: неготовый к такой атаке сотрудник может сделать всё самостоятельно. Для защиты от подобных атак лучше всего не доверять контроль над корпоративным счётом одному человеку: делегировать полномочия по подготовке транзакций, проверке их корректности и исполнению различным сотрудникам, хотя бы один из которых должен хорошо разбираться в информационной безопасности.
  • DDoS-атака. Злоумышленники могут вывести из строя онлайн-банк, в том числе — для скрытия другой атаки, чтобы клиент не смог заметить воровства денег и не попытался заблокировать несанкционированную транзакцию. Поэтому если веб-интерфейс оказался недоступен, то стоит попытаться проверить состояние своего счета другим способом — возможно, ваше клиентское приложение заблокировано специальным вредоносным агентом.

Жертвы взлома онлайн-банка

Основным объектом воздействия в данном случае является веб-приложение банка. Впрочем, кредитные организации и их сотрудники уже весьма квалифицированны (как в информационных технологиях, так и в ИБ), поэтому хакеры обычно атакуют слабое звено — клиентов или их компьютеры. В большинстве случаев эти операции оказываются более эффективными, чем воздействие на информационную систему банка. Впрочем, вполне возможна атака на банк через клиента — например, с помощью вставки вредоносного кода во вполне легальную и предсказуемую переписку с ним.

Пользователю клиентской программы онлайн-банкинга важно понимать, что происходит с приложением, когда совершается транзакция: любые подозрительные действия стоит расценивать как попытку мошенничества. Рекомендуется не вводить идентификационную информацию в подозрительные формы, проверять надежность HTTPS-соединения и контролировать активность других приложений. Также стоит иметь второй фактор аутентификации, независимый от веб-приложения — например, получение одноразовых паролей по SMS. Кроме того, стоит открывать приложение из закладок, а не по ссылкам из присылаемых сообщений.

Источники атак на онлайн-банки

Злоумышленники охотятся за идентификационными данными банковских веб-приложений, чтобы попытаться получить доступ к деньгам клиентов. Проблема усугубляется тем, что изначально протокол HTTP не был рассчитан на создание защищённых приложений — в основном он служил для показа отдельных страниц. Механизмы, обеспечивающие целостность транзакций и сессий, появились в нем недавно и являются необязательными расширениями. Таковы, в частности, сookie-файлы, которые как раз и предназначены для сохранения информации о сеансах связи. В то же время воровство этих идентификаторов позволяет злоумышленникам вмешиваться в работу приложения и совершать несанкционированные действия. Разработчикам систем онлайн-банкинга необходимо иметь это в виду.

При этом средства защиты на стороне банка могут потребовать весьма больших ресурсов. Даже простой переход всего сайта на защищённый вариант протокола HTTPS является сложной задачей, не говоря уже о нагрузке, которую создаёт шифрование при его массовом использовании. Традиционно защиту распространяют только на наиболее значимые места веб-приложений, а остальная (порой большая) часть остаётся незащищённой. Современные браузеры имеют визуальные метки для оценки защищённости соединения, и пользователи должны за ними следить.

Кроме того, всплывающие окна и другие элементы веб-интерфейса не всегда имеют визуальную атрибутику самого сайта — пользователь не может достоверно определить, к какому сайту какое окно относится, что позволяет злоумышленникам открывать поверх страниц банков собственные запросы идентификационной информации, которые сложно визуально отличить от легитимных. Обман пользователя с помощью манипуляций с веб-интерфейсом создаёт угрозу для веб-приложений, требующих защиты от утечки важной информации. Именно в этой плоскости идёт соревнование между разработчиками приложений, которые пытаются предложить пользователям новые инструменты защиты, и хакерами, придумывающими новые методы обхода этих инструментов. Наиболее эффективным методом сейчас является выход за пределы веб-интерфейса с помощью SMS-уведомлений и контрольных звонков, но хакеры уже начинают адаптировать и эти механизмы для своих целей.

Анализ риска

Защищать онлайн-банк нужно с двух сторон — самого банка и клиента. Основная цель защиты со стороны банка — выявить и блокировать попытки манипулирования веб-приложением и передаваемым трафиком. Лучше всего использовать для этого защищённый протокол HTTPS, для чего стоит установить обратный прокси-сервер, который будет заниматься расшифровкой трафика пользователей. Иногда такие прокси-серверы также выполняют функции надёжной аутентификации пользователей и идентификации устройств, выполняют функции Web Application Firewall (WAF). Они же могут решать задачи по балансировке нагрузки, оптимизации загрузки приложений и другие, не связанные прямо с безопасностью, но полезные для оптимизации веб-приложений. Хорошей практикой является предложение клиентам технологии двухфакторной аутентификации с помощью специальных аппаратных токенов, распознавания лиц и голоса, одноразовых паролей, присылаемых по SMS, и других методов. Хорошо, если клиент может самостоятельно выбрать наиболее удобный и приемлемый по стоимости метод дополнительной аутентификации.

Читать еще:  Франшиза производителя кондитерских изделий Sal De Riso

Отдельно стоит упомянуть о механизмах проверки на манипулирование средой исполнения браузера. Для этого можно использовать, например, технологию SSL-антивируса — специального скрипта, сканирующего окружение пользователя на предмет обнаружения вредоносной активности. Кроме того, можно фиксировать отпечаток оборудования, с которого пользователь загружает веб-приложение. Если он заходит с устройства, которое раньше не применял, то стоит попросить его пройти дополнительную проверку и указать это устройство как собственное. Некоторые производители средств защиты предлагают подобные инструменты контроля пользовательской среды исполнения веб-приложения.

Для клиентов важно обеспечить защиту от вредоносной активности: проверять своё устройство антивирусом, работать с сайтом банка в защищённом режиме, предпочтительно — из браузера с минимальным набором дополнений. Также нелишним будет использование двухфакторной аутентификации, при которой злоумышленник не сможет войти в онлайн-банк даже при краже пароля. Полезно каждый раз не лениться и проверять правильность написания имени банка в сертификате HTTPS, а также конструкцию URL, чтобы она не была слишком сложной и обременённой дополнительными параметрами; это позволяет сделать любой браузер. Некоторые антивирусы могут выполнять эту работу за клиента и предлагают подключаться к сайтам банков с проверкой их подлинности. Например, у «Лаборатории Касперского» такой режим называется «Безопасные платежи». Следует отметить, что клиент сам отвечает за свои деньги, поэтому стоит выбирать банки, которые заботятся о безопасности своих веб-приложений: имеют дополнительные функции по строгой двухфакторной аутентификации, предлагают механизмы контроля среды исполнения, работают полностью в защищённом режиме, то есть используют в своей работе инструменты, которые описаны выше в этом разделе.

Пароль от зарплаты. Как хакеры обчищают счета мобильных банков россиян

Ксения Чемоданова

В последнее время хакеры пристрастились к кражам денег у россиян с приложений онлайн-банков, которые те массово начали загружать в свои смартфоны. По данным Центробанка, в 2018 году доля пользователей интернет-банкинга и мобильных банковских приложений в стране превысила 45%. По сравнению с прошлым годом этот показатель вырос на 14%.

Однако нынешняя структура мобильных кошельков имеет ряд уязвимостей, которыми активно начали пользоваться хакеры, отметили участники конференции OFFZONE 2018, посвященной проблемам кибербезопасности. Как рассказал в ходе форума ведущий специалист компании Bi.Zone Аркадий Литвиненко, злоумышленники используют несколько способов взлома, которые позволяют украсть средства из мобильных приложений.

Дуэт дрели и ноутбука. Как российские банкоматы «раздают» деньги хакерам

Так, к хищению может привести даже используемая рассылка одноразовых паролей по SMS для подтверждения входа в личный кабинет. С помощью специальных перехватчиков сообщений хакеры получают доступ к мобильному банку жертвы, делают поддельную карту и скан паспорта, а потом по этим документам получают копию сим-карты и получают доступ к деньгам, которые хранятся в мобильных приложениях банков.

Раньше подобный способ обеспечивал защиту от взлома, но теперь, когда пользователи заходят в свой личный кабинет со смартфона, его надежность снизилась, подтвердил руководитель аналитического центра Zecurion Владимир Ульянов.

В этом случае защита теряет смысл, поскольку пароль приходит на тот же девайс, с которого пользователь заходит в личный кабинет банка. Этим активно пользуются мошенники и перехватывают данные

Особенно небезопасными считаются смартфоны, работающие на операционной системе Android, говорят эксперты. Так, в 2017 году главным трендом стали хищения денежных средств с помощью вирусов. По данным Group-IB, за прошлый год хакеры украли у владельцев Android-смартфонов более миллиарда рублей, что в полтора раза больше, чем в 2016 году. «Зачастую такие утечки происходят, когда телефон заражен вирусом. Тогда хакеры могут перехватить пароли и любую переписку с банком», — отметил в разговоре с «360» эксперт по информационной безопасности ЗАО «Монитор Безопасности» Тарас Татаринов.

Перевод хакеру по Wi-Fi

Кроме того, киберпреступники научились взламывать аккаунты при помощи подбора транзакции под пароль. Дело в том, что в большинстве банков для подтверждения транзакций используются одноразовые пароли в SMS из четырех цифр, при трижды неверно введенном пароле транзакция блокируется. Но если подбирать денежный перевод под пароль, то есть создать множество операций по списанию средств со счета клиента, то вероятность отгадать пароль равна почти 100%. В этом случае идет речь о так называемой подложной транзакции, объясняет Владимир Ульянов.

Россияне получат карточки с чипами вместо паспортов. Хакеры будут рады

«К примеру, вы хотите перевести тысячу рублей своему коллеге, но злоумышленник меняет номер счета и средства уходят другому лицу. В результате пользователь сам отправляет деньги хакеру, поэтому оспорить подобную транзакцию и вернуть деньги бывает проблематично», — говорит собеседник «360».

Чтобы злоумышленники не смогли подменить номера переводом, необходимо устанавливать более длинный пароль и отказаться от подтверждения транзакции путем SMS от банков, советует Тарас Татаринов.

Также нередки случаи, когда злоумышленники получают ключи к личному кабинету клиента банка, если последний подключается к общественным Wi-Fi сетям. Причем хакеры зачастую даже не сами взламывают мобильные приложения, а сливают данные в даркент, где за пару десятков долларов любой желающий может купить пароль от мобильного банка.

Wi-Fi сети в ТЦ или метро не имеют достаточной степени защиты, поэтому опрошенные «360» эксперты по кибербезопасности советуют подключаться к ним при крайней необходимости. «В теории обмен данных в приложениях онлайн-банкинга должен проходить несколько этапов шифрования, но на практике любое приложение на смартфоне, даже самое защищенное, может быть взломано хакерами. Поэтому не стоит пользоваться общественной сетью для денежных переводов, поскольку хакеры без труда смогут перехватить ваши данные и затем перевести деньги себе на счет», — подчеркнул Татаринов.

Защита от взлома

По данным Positive Technologies, уязвимости в 52% мобильных банков позволяли расшифровать, перехватить и подобрать учетные данные для доступа в мобильное приложение или обойти процесс аутентификации.

Однако в настоящее время намного чаще хакеры пользуются методами социальной инженерии или попросту получают данные из-за доверчивости людей. К примеру, распространен способ, когда преступники путем массовой рассылки SMS-сообщений уведомляют пользователей о блокировке их мобильного банка и просят позвонить по указанному номеру. Мошенник на том конце провода выпытывает у доверчивых пользователей данные карты, которые необходимы ему для «разблокировки» приложения, и за пару минут выводит все средства из мобильного банка.

Чтобы не попасть в лапы преступников, опрошенные «360» аналитики советуют никогда не вступать в переписку с незнакомым контактом. Также стоит установить минимальные лимиты по списанию и переводу средств через онлайн-приложение. И, конечно, нельзя ни при каких обстоятельствах сообщать кому-либо данные карты.

Кроме того, не стоит устанавливать на телефон подозрительные приложения и разрешать им доступ к файлам смартфона. «Иногда приложение, которое выдает себя за калькулятор, просит доступ к вашей переписке или геолокации, хотя объективно эта информация ему не нужна. В этом случае стоит задуматься — не скачали ли вы вредоносное ПО», — предупреждает Татаринов.

Счет и меч: у клиентов крупнейших банков пытались похитить 24 млрд

Активизация мошенников и ужесточение требований ЦБ заставляет банки усиливать антифрод-защиту. Только в первом полугодии это позволило сохранить более 24 млрд рублей средств клиентов крупнейших кредитных организаций, в число которых входят Сбербанк, ВТБ и Альфа-Банк. При этом, по уточненным данным регулятора, в 2018-м из-за действий злоумышленников с карт граждан было несанкционированно списано около 1,4 млрд рублей — на 44% больше, чем годом ранее. Информации об ущербе в 2019-м пока нет: ЦБ раскрывает ее раз в году, а банки и вовсе не делятся такими данными. Как утверждают в кредитных организациях, похитить деньги мошенникам удается только в 3–4% случаев. Но эксперты по информбезопасности считают, что несанкционированные списания происходят намного чаще, а самое слабое место в защите банков — человеческий фактор, который приводит к утечкам данных клиентов.

Счет на миллиарды

С прошлого года, когда был принят так называемый закон об антифроде, Центробанк существенно ужесточил требования к банкам в отношении защиты данных клиентов и средств на их счетах. Однако мошенников это не останавливает. По уточненным данным ЦБ, в прошлом году различными обманными способами только со счетов физлиц мошенникам удалось получить деньги около 417 тыс. раз на общую сумму 1,38 млрд рублей.

Читать еще:  Стоит ли брать кредит для друзей?

Даже специалисты пока не могут оценить, какой ущерб клиентам банков нанесли злоумышленники в первом полугодии 2019-го. Кредитные организации такие данные практически не раскрывают, а Центробанк публикует информацию в целом по системе один раз в год. Но о размахе деятельности мошенников можно судить по данным о суммах, хищение которых со счетов клиентов удалось предотвратить. Впрочем, и этой информацией банки делятся неохотно — в силу чувствительности темы. Для «Известий» сделали исключение пять организаций (Сбербанк, ВТБ, Альфа-Банк, Почта Банк и МКБ), входящих в десятку крупнейших розничных (совокупно более 60% средств клиентов, более 70% рынка карт).

За первое полугодие в Сбербанке предотвратили хищения со счетов клиентов на сумму 18 млрд рублей, в ВТБ — 5,4 млрд рублей, в Альфа-Банке — не менее 700 млн рублей, в Почта Банке — 135 млн рублей и в МКБ — 10 млн рублей. Таким образом, только у клиентов этих банков мошенники пытались похитить более 24 млрд рублей. В Центробанке эти данные комментировать не стали.

— Статистика нашего аналитического центра показывает, что количество попыток краж денег со счетов граждан растет. Исходя из этого также увеличиваются и объемы предотвращенных списаний, — пояснил «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов.

Не на все сто

В среднем предотвращается 96–97 попыток злоумышленников из 100, сообщал на Международном финансовом конгрессе в Санкт-Петербурге зампред правления Сбербанка Станислав Кузнецов. То есть в 3–4% случаев мошенникам всё же удается пробить защиту банков, а это, по самым приблизительным расчетам, потеря сотен миллионов рублей средств клиентов.

Впрочем, эксперты по информбезопасности сомневаются, что доля успешных для преступников попыток столь мала. По словам старшего аналитика Digital Security Александра Круглова, существующие проблемы безопасности позволяют предположить, что до стопроцентной защиты счетов еще очень и очень далеко — не так давно компания проанализировала системы защиты банков, входящих в топ-200.

— Основные уязвимости и проблемы безопасности, к сожалению, до сих пор встречаются на публично доступных веб-ресурсах. Существующие бреши потенциально позволяют злоумышленникам рассчитывать на реализацию атак в отношении большинства рассмотренных финансовых организаций. Если учесть, что проверка проводилась лишь для публично доступных ресурсов, а вглубь систем исследователи не проникали, ситуация представляется и вовсе тревожной, — пояснил представитель Digital Security.

Владимир Ульянов из Zecurion полагает, что одна из ключевых проблем кредитных организаций в обеспечении информбезопасности, особенно когда речь идет о счетах физических лиц, — даже не технологическая защищенность, а утечки информации. То есть тот самый пресловутый человеческий фактор, который и позволяет мошенникам получать данные клиентов банков.

— Без информации о своих жертвах, даже при использовании методов социальной инженерии, результативность попыток мошенников будет почти нулевой, — говорит Владимир Ульянов. — Чем больше информации, тем легче обмануть и выведать необходимые сведения, например одноразовый пароль для подтверждения операции.

Эксперт напомнил, что в 2019 году было зафиксировано большое число сообщений от клиентов Сбербанка.

— Их массово атаковали мошенники, при этом обращались по имени и знали, сколько денег на их счетах, — рассказал представитель Zecurion. — Это свидетельствует о возможных утечках информации о клиентах. Сегодня утечки информации и инсайдеры являются более серьезной угрозой, чем хакеры — и для коммерческих компаний, и для госорганизаций. Сотрудники знают, где хранится информация, какую ценность она представляет, как ее можно использовать и даже то, как она защищается. Поэтому в отсутствие специализированных систем предотвращения утечек возможность вынести данные на флешке или перекинуть через интернет, а в некоторых случаях даже сфотографировать на телефон не представляется сложной.

Кроме того, сотрудники банка могут поспособствовать мошенникам, сами того не желая. Так, как отмечалось в обзоре основных типов компьютерных атак в кредитно-финансовой сфере ФинЦЕРТ, «в финансовых организациях система защиты, как правило, хорошо организована, поэтому главным вектором проникновения в инфраструктуру остается социальная инженерия, применяемая в 49% атак». Действительно, сотрудники банков всё чаще подвергаются атакам со стороны злоумышленников — например, открывая письма из сомнительных email-рассылок. И в этом случае ключом к счетам клиентов становится уже легкомыслие служащих кредитных организаций.

Самозащита от нападения

Эксперты по информбезопасности полагают, что требований Центробанка по антифроду сейчас достаточно и дополнительно ничего вводить не нужно, важно неукоснительно следовать существующим стандартам и регламентам. От этого зависит в том числе и доля предотвращенных мошеннических операций. Но не только кредитные организации должны беспокоиться о безопасности средств. Эксперты в очередной раз подчеркнули и необходимость повышения киберграмотности граждан.

— Наша безопасность в наших руках, и чем более осведомленными будут рядовые пользователи о потенциальных рисках, тем лучше станет и защита самих банков, — уверен Александр Круглов.

По мнению Владимира Ульянова, кредитные организации также могут способствовать усилению защиты за счет введения бесплатных SMS-уведомлений обо всех операциях.

— Сейчас многие люди отключают уведомления, потому что даже небольшая сумма в 60–100 рублей в месяц на горизонте нескольких лет становится ощутимой, — подчеркнул он.

Особенно это важно для людей старшего поколения, которые и так наиболее уязвимы к методам, которые активно используют мошенники, уточнил эксперт.

Новая схема кражи денег с банковских счетов: Как не стать жертвой мошенников?

В «Лаборатории Касперского» рассказали о новой схеме, применяемой мошенниками для кражи денег с банковских счетов. От атак хакеров не застрахованы ни банки, ни отдельные граждане. Как работает новая схема, в чём её особенность и как обезопасить себя от потенциального хищения средств?

В «Лаборатории Касперского» рассказали о новой схеме, применяемой мошенниками для кражи денег с банковских счетов. От атак хакеров не застрахованы ни банки, ни отдельные граждане. Как работает новая схема, в чём её особенность и как обезопасить себя от потенциального хищения средств?

Чем активнее сегодня развиваются интернет-технологии, тем изощрённее становятся те, кто хочет воспользоваться ими для корыстных целей. В последнее время не только в России фиксируются масштабные утечки персональных данных, совершаемые, как правило, в мошеннических целях. На поверку оказывается, что против некоторых видов интернет-мошенничества бессильны все фаерволы и антивирусы вместе взятые. Жертвами теперь становятся крупные банки с очень продвинутыми системами защиты.

«Лаборатория Касперского» сегодня снова бьёт тревогу. Обнаружены новые угрозы, которые по своим масштабам вполне сопоставимы с печально известными вирусами-вымогателями типа WannaCry. Этот «червь», пожалуй, наиболее известен, ещё несколько лет назад он держал в страхе пользователей по всему миру.

Фото: City News Moskva / Globallookpress

Вирус работал очень просто — блокировал работу компьютера и выводил на экран сообщение с реквизитами мошенников, на которые необходимо было перевести деньги, чтобы восстановить доступ к операционной системе. Окно было невозможно закрыть, нередко помогала лишь полная переустановка операционной системы с форматированием жёсткого диска, то есть, так или иначе, с потерей ценной информации. Но «червь» со временем был побеждён антивирусами, эпидемия вскоре сошла на нет.

Однако если WannaCry был вирусом в прямом смысле слова, то есть он мог быть нейтрализован с помощью программных средств, то сегодня настало время принципиально новых угроз. В некотором смысле их можно назвать нативными, так как мошенникам теперь и вовсе нет нужды устанавливать на компьютер жертвы какое-либо вредоносное ПО. И в этом (мы вынуждены это признать) они сегодня оказываются хитрее производителей антивирусов.

Вас ограбили. А вы не заметили?

Именно согласно этому утверждению и работает новая схема. При этом пользователь действительно может и не догадываться о том, что уже передал мошенникам всё необходимое для того, чтобы те начали действовать. Причём масштабы тут как сугубо частные — применительно к отдельному пользователю, так и корпоративные.

Отметим важный момент. О новом способе мошенничества газете «Известия» рассказали в «Лаборатории Касперского». Однако на самом деле эти методы не новы, гораздо правильнее было бы сказать, что просто такой способ цифрового мошенничества становится сегодня всё более распространённым. Так о чём речь?

Читать еще:  Путевой лист грузового автомобиля (форма №4-С и 4-П)

О так называемом фишинге (от англ. phishing и fishing — рыбалка, выуживание). Под фишингом понимают процесс выманивания у пользователя каких-либо персональных данных обманным путём. Как правило, при помощи фальшивых страниц авторизации на популярных сервисах. Эпидемиям фишинга в разное время были повергнуты разные страны, а сейчас, по словам специалистов, хищение данных, а затем и средств всё чаще происходит и в нашей стране. При этом на удочку попадаются сотрудники крупных банков, которые, сами того не ведая, передают мошенникам персональные данные клиентов или доступ к клиентским базам.

Способ работает следующим образом. По наблюдениям «Лаборатории Касперского», сотруднику банка приходит на корпоративную почту письмо от имени какой-либо организации. В письме содержится, например, приглашение на аттестацию, при прохождении которой этот сотрудник сможет рассчитывать на повышенные бонусы от своего руководства. В форме приглашения есть окна ввода логина и пароля от корпоративного аккаунта — сотрудник «залогинивается», передавая тем самым эти данные мошенникам. Отмечается, что корпоративные фильтры почты далеко не всегда могут заблокировать такое письмо и автоматически поместить его в папку со спамом. Почему? Потому что банк обязан работать с множеством организаций и чересчур жёсткие правила блокировки входящих писем могут навредить взаимодействию с клиентами.

Фото: Rawpixel / Shutterstock.com

Возникает вопрос: как же так получается, что сотрудник банка или другой крупной организации оказывается не в состоянии обнаружить подвох? Специалисты дают такой ответ: сотрудники банков, во-первых, очень часто общаются даже друг с другом при помощи корпоративной почты. Через неё они реагируют на любые запросы клиентов или связанных с банком организаций. В общем большом и разношёрстном потоке писем выделить одно и отметить его как подозрительное почти невозможно. Во-вторых, банковские служащие нередко сталкиваются с различными корпоративными мероприятиями или предложениями о повышении квалификации, о необходимости аттестации или по другим похожим поводам.

В «Лаборатории Касперского» также отметили, что, в силу регулярности подобных мероприятий в крупных банках, фишинг в них может достигать огромных масштабов. Они не исключили, что таким способом уже взломано несколько тысяч почтовых аккаунтов в финансовых организациях.

Почему это опасно?

Казалось бы, если речь о взломе аккаунтов сотрудников в банках, то при чём тут рядовые граждане? На самом деле всё взаимосвязано. По данным энциклопедии «Лаборатории Касперского», наиболее частые жертвы фишинга — банки, кредитные организации, аукционы и электронные платёжные системы. Словом, это те места, где аккумулируются данные о дебетовых, кредитных картах и банковских счетах граждан.

Логика тут проста и понятна: зачем «ломать» аккаунт гражданина в какой-либо соцсети, когда можно взломать аккаунт банковского сотрудника, работающего сразу с десятками клиентов? В его почте могут быть конфиденциальные данные по счетам и транзакциям, а также реквизиты, включая данные по доступу к счёту. Фактически это означает, что гражданину, возможно, придётся отвечать за невнимательность сотрудника банка.

«Известия» также пишут со ссылкой на имеющийся в их распоряжении отчёт подразделения ЦБ России по кибербезопасности ФинЦЕРТ, что фишинг стоит на первом месте в числе способов, при помощи которых злоумышленники взламывают банки и получают доступ к данным жителей России. В целом же фишинг — одна из самых серьёзных цифровых угроз 2019 года, говорят специалисты.

Поясняется, что всё дело в человеческом факторе, ведь люди сами передают персональные данные. Опасность состоит также в том, что при помощи фишинга хакеры могут получить доступ к другим аккаунтам, то есть расширить сферу воздействия и объём собираемой информации. И это уже не говоря о том, что к злоумышленникам могут попасть критические данные, которые носят ответственный корпоративный или даже государственный характер.

Мировые примеры также являются достаточно громкими. Американские регуляторы уже не первый год бьют тревогу и даже видят пресловутый «русский след» в фишинговых атаках на энергосистему США. Заявляется также о том, что такими атаками могли заниматься китайские хакеры.

Так, летом 2019 года в США заявили о фишинговых атаках со стороны хакерской группировки Cloud Hopper, которая, предположительно, связана с правительством Китая. Злоумышленники рассылали поддельные письма сотрудникам крупных компаний. Собрав «урожай» паролей, они выходили на облачные сервисы, где гиганты типа Hewlett Packard Enterprise и IBM хранили свои ценные данные. По утверждениям американцев, Китай таким образом занимался промышленным шпионажем.

Годом ранее в фишинговой деятельности США обвиняли и Россию. Тогда якобы «русские хакеры» из Fancy Bear, которых считают связанными с Кремлём, рассылали сотрудникам мелких энергетических компаний письма с фальшивыми формами авторизации на популярном сервисе Dropbox. Так хакеры получали пароли и данные, помогавшие им выйти на более крупные компании, которые обсуживались этим мелким подрядчиком.

Как распознать фишинг и не стать жертвой?

Очевидно, что антивирусное программное обеспечение, как и почтовые фильтры, далеко не всегда эффективны против фишинга. Уже говорилось, что речь идёт о человеческом факторе. Как это ни парадоксально, но бороться с фишингом можно его же условным оружием — проявляя внимательность.

Как правило, фишинг осуществляется двумя разными способами. Первый предполагает, что пользователь перейдёт по ссылке, которая содержится в полученном письме. Ссылка обычно ведёт на страницу, которая как две капли воды похожа, например, на главную страницу Facebook или «ВКонтакте». Однако внимательный пользователь увидит разницу — в адресной строке браузера будет указан некорректный адрес (даже если ссылка в письме выглядела корректно). Например, вместо знаков «/», разделяющих части адреса, будут стоят точки или тире. Также нередко можно встретить неправильно написание — «facebok» или «facebouk» вместо «facebook» и т. п.

Второй способ фишинга — добиться от пользователя введения логина/пароля прямо в форме, содержащейся в письме. Это как раз то, что активно используется при атаке банков. В то же время и рядовому гражданину на почту может прийти письмо якобы от его банка. Фишинговые письма отличает очень высокое качество подделки — оригинальный логотип банка, оригинальные выходные данные, правовая информация и телефоны. Однако при этом там же будет содержаться форма ввода данных карты или просьба «для обеспечения повышенной безопасности» подтвердить свой пароль к личному кабинету или указать секретное слово.

Совершенно не важно, как злоумышленники получат персональные данные. Как отмечают специалисты, чаще всего они не будут возиться с ними сами, а просто зашифруют и продадут различным интересантам, покупающим готовые базы данных в теневом сегменте интернета. Это уже те люди, у которых отработаны схемы снятия денег со счетов.

Именно поэтому лучшая защита от фишинга — внимательность. Проблема, как уже говорилось, является общемировой, а жертвами становятся всё более крупные компании, включая банки, у которых, как правило, есть максимум информации о гражданах. Если на почту пришло подозрительное письмо или даже письмо от известной фирмы — не стоит сразу кликать на ссылку и уж тем более вводить свои данные в открывшемся окне браузера.

Фото: wk1003mike / Shutterstock.com

Коме этого, «нарваться» на фишинговую страницу можно и во время сёрфинга в интернете, а не через почту. Нередко после клика на какую-либо ссылку открываются дополнительные окна. Также могут открыться страницы сайтов популярных телеканалов или СМИ, где может быть сказано, что для продолжения просмотра необходимо авторизоваться через аккаунт Facebook или «ВКонтакте» в соответствующей форме. Верный признак обмана — форма ввода пары логин/пароль будет занимать центральное место, блокируя обзор сайта. В принципе, потенциально опасными в интернете являются вообще любые навязчивые и мешающие обзору всплывающие окна.

В целом же очевидно, что, даже несмотря на то, что в среднем фишинговая страница «живёт» не более пяти дней, в интернете и дальше будет идти борьба между антивирусами и мошенниками. Фишеры будут создавать новые страницы и придумывать более изощрённые способы обмана, а разработчики защитных приложений — распознавать их и блокировать. Отдельно стоит сказать об ответственности сотрудников банков, из-за невнимательности которых могут пострадать клиенты. Ведь сегодня «Лаборатория Касперского» знает об уже нескольких тысячах взломанных банковских аккаунтов, и пока совершенно непонятно, кто будет нести за это ответственность.

Ссылка на основную публикацию
Adblock
detector