Шрифт:
Интервал:
Закладка:
Учитывая тот факт, что кредитно-финансовая сфера становится одной из самых привлекательных для киберпреступников (о чем свидетельствует значительный рост числа киберпреступлений и целевых атак на банки), а также важность оптимизации финансовых решений в условиях интернета вещей, необходимо оперативно принять меры для обеспечения повышенного уровня кибербезопасности (особое внимание должно быть обращено на СЭБ). Ведь мир, где все соединено со всем и каждая вещь потенциально участвует в торговле, предоставляет огромные возможности не только банкам, но и киберпреступникам. Например, только за четвертый квартал 2015 г. в России со счетов клиентов кредитно-финансовых организаций были похищены денежные средства на сумму, превышающую 1,5 млрд руб.[67]
Пожалуй, единственный способ защитить все устройства, объединенные интернет-сетью, – это надежная защита единого центра управления интернетом вещей [91, c. 271].
Учитывая, что финансовый и банковский сектора наиболее восприимчивы к внедрению новейших достижений в области ИКТ, рассмотрим три основных направления совершенствования кибербезопасности в условиях применения СЭБ и интернета вещей (рис. 30).
По мнению авторов, это далеко не полный перечень мероприятий, которые следует реализовать в рамках обеспечения кибербезопасности в условиях применения интернета вещей. Ведь на практике каждое направление будет включать в себя гораздо больше задач. В перспективе нужно стремиться не только создать систему надзора в виртуальном пространстве, но и повысить культуру поведения в нем всех участников информационного обмена. Компании должны хорошо понимать, что за рекламой различных IoT-систем стоит их ответственность за качество предоставляемых услуг. Финансовым институтам необходимо использовать защищенные программные продукты для IoT-систем, иметь квалифицированный обслуживающий персонал, способный оперативно и грамотно реагировать на кибератаки, а также готовый всегда прийти на помощь клиентам, оказавшимся в трудной ситуации.
2.6. Типовые атаки на организации кредитно-финансовой сферы
– Как ты думаешь, в этом лесу есть что-нибудь съедобное?
– Да, – горько отозвался волшебник. – Мы.
Терри Пратчетт.Безумная звездаКредитные организации в соответствии с п. 3 ст. 27 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России и согласованными с федеральными органами исполнительной власти. Требования к обеспечению защиты информации при осуществлении переводов денежных средств установлены Положением Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [21] (далее – Положение № 382-П).
Рис. 30. Направления совершенствования кибербезопасности в условиях применения СЭБ и интернета вещей
Необходимо отметить, что именно соблюдение кредитными организациями указанных требований позволит существенно снизить вероятность успешного исхода при проведении злоумышленниками атакующих действий. Векторы атак злоумышленников не всегда одинаковы, однако их можно классифицировать по основным группам и «точкам приложения».
2.6.1. Целевые атаки на кредитные организации
В последние три года эксперты ФинЦЕРТ Банка России отмечают увеличение количества целевых атак на ОКФС. При компрометации информационных систем и сетей используются инструменты, предназначенные для проведения тестов на проникновение.
К таким инструментам можно отнести Metasploit Framework и основанные на Metasploit решения: Cobalt Strike, Armitage, Empire. Например, в 2017 г. ущерб от атак с использованием набора программ Cobalt Strike, разработанного американской компанией Strategic Cyber, LLC, согласно Обзору основных типов атак в кредитно-финансовой сфере, превысил 1 млрд руб. Данные инструменты, разработанные с применением техник, затрудняющих их обнаружение в системе, предоставляют простой механизм удаленного управления зараженными компьютерами, а также включают в себя утилиты, предназначенные для сбора информации о сети организации и хищения данных (паролей, документов и пр.).
Особенностью указанных атак является то, что они не требуют от атакующих особых технических знаний. Большинство компонентов уже соответствующим образом подготовлены производителями программного обеспечения.
Типовая схема целевой атаки на кредитную организацию выглядит следующим образом:
– производится массовая рассылка на адреса ОКФС электронных писем, содержащих вредоносные вложения;
– в случае запуска вредоносного вложения происходит скрытое внедрение программ (чаще всего загрузчика) в компьютер неосторожного получателя;
– после скачивания загрузчика на компьютере устанавливается компонент Beacon (основной инструмент из набора Cobalt Strike) и атакующий получает возможность удаленного доступа к зараженному компьютеру;
– атакующий проводит исследование доступных с зараженного компьютера сегментов сети и пытается открыть доступ к контроллеру домена сети для последующего получения паролей администраторов. Чтобы получить пароль, могут быть использованы возможности специальных инструментов (например, Mimikatz);
– после получения доступа к контроллеру домена и администраторских паролей атакующий ищет в сети интересующие его серверы и компьютеры. Прежде всего проводится поиск компьютера или сервера, с которого есть доступ в подсеть, где находятся банкоматы или иные сегменты сети (например, сегмент процессинга платежных карт);
– на банкоматах устанавливается программное обеспечение, действующее предположительно через программный интерфейс XFS и обеспечивающее выдачу денежных средств по команде, подаваемой удаленно. После получения контроля над банкоматами к процессу привлекаются соучастники, занимающиеся получением денежных средств. Их задача – присутствовать около банкоматов в заранее оговоренное время. После успешной выдачи денежных средств программное обеспечение с банкоматов, как правило, удаляется;
– в случае получения доступа к процессингу платежных карт привлекаются соучастники, занимающиеся оформлением на подставных лиц платежных карт атакованной организации. Карты консолидируются в руках лиц, которые получают денежные средства. Их задача – обеспечить снятие денежных средств в банкоматах непосредственно после того, как балансы и лимиты карт будут повышены в системе процессинга. В ходе получения денег соучастниками оператор может продолжать поднимать лимиты снятия или увеличивать балансы карт;
– в случае получения доступа к компьютерным средствам сегмента платежной системы Банка России (АРМ КБР) или системы переводов SWIFT осуществляются платежи на заранее подготовленные счета. Далее денежные средства переводятся с этих счетов и обналичиваются по стандартным для компьютерной преступности схемам.
Схемы атак, направленных на банкоматы и процессинг, представлены на рис. 31 и 32.
2.6.2. Атаки с применением методов социальной инженерии в отношении сотрудников банка
Начиная с 2017 г. ФинЦЕРТ Банка России сообщает в публикуемых им материалах о так называемой атаке с применением методов социальной инженерии в отношении кассиров кредитных организаций. Суть атаки заключается в том, что на кассиров оказывают психологическое воздействие, вынуждая их совершить перевод денежных средств на платежные карты злоумышленников. В общем виде указанная атака выглядит следующим образом.
Рис. 31. Атака, направленная на банкоматы
Рис. 32. Атака, направленная на процессинг
Сотруднику банка (кассиру) на внутренний телефон звонит злоумышленник, представляясь сотрудником этого же банка. После непродолжительной беседы мошенник сообщает о необходимости протестировать автоматизированную систему банка, при этом для осуществления тестирования ему якобы нужно, чтобы кассир перевел определенную сумму денежных средств с расчетного счета банка на свою собственную платежную карту. Затем злоумышленник сообщает кассиру, что система работает нормально и денежные средства можно возвращать обратно на