ФинЦЕРТ опубликовал новый ежегодный отчет, который на сей раз охватывает II полугодие 2016 и I полугодие 2017 г. В этот период наблюдался рост количества участников информационного сообщества на фоне увеличения общего объема и мощности атак. ФинЦЕРТ также призвал кредитные организации к особой бдительности в связи с участившимися случаями взлома банкоматов.
Согласно новому отчету Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России, количество организаций, участвующих в информационном обмене с ФинЦЕРТ, выросло за год на 65%: с 270 до 418. И почти в два раза увеличилась доля активных участников, то есть тех, кто сообщает о правонарушениях. С одной стороны, это означает, что больше компаний финансового сектора уделяют надлежащее внимание информационной безопасности; с другой стороны, такая сознательность говорит о том, что прессинг киберугроз, скорее всего, усилился.
И действительно, начиная с III квартала 2016 г. стремительно возрастает количество нецелевых атак против кредитных учреждений, в IV квартале увеличивается количество DDoS-атак, а на II квартал 2017 г. приходится скачок целевых нападений.
При этом, хотя число DDoS-атак растет не слишком значительно, их мощность в I квартале 2017 года более чем утраивается.
Кроме того, ФинЦЕРТ сообщил об увеличении объема почтовых рассылок с вредоносными вложениями и призвал банковские организации соблюдать основные правила безопасности: пользоваться фильтрами и вовремя устанавливать все обновления, чтобы защититься от эксплойтов, распространяемых с почтой.
Однако больше всего внимания в отчете уделено атакам на банкоматы и терминалы самообслуживания. По данным ФинЦЕРТ, интерес злоумышленников к банкоматам в отчетный период серьезно возрос. И неудивительно: во время Чемпионата мира по футболу 2018 г. объем проходящих через банкоматы наличных может сильно возрасти; вероятно, злоумышленники тоже готовятся заранее.
Так, получило более широкое распространение мошенническое оборудование, которое нельзя обнаружить при визуальном осмотре: например, устройства, вставляемые в картоприемник. И даже устройства, устанавливаемые снаружи, стали настолько миниатюрными (как внешние части перископного оборудования для скимминга), что заметить их можно, как мягко выразились эксперты, разве что «теоретически».
ФинЦЕРТ также не исключает теоретической возможности кражи данных бесконтактных карт, хотя еще раз подчеркнул, что пока ни одного подобного случая в России зафиксировано не было.
Иногда злоумышленники не целятся на данные пользователей, а идут прямым путем: так, в последний год популярностью пользовались физические атаки на банкоматы, в том числе с рассверливанием корпуса и подключением к шине передачи данных. Использовался также перехват процессинга — атака, при которой банкомат подключается к компьютеру правонарушителей, но думает, что общается с банковской системой, и выдает деньги якобы на законных основаниях.
Зарегистрированы и более экзотические виды взлома: так, в феврале 2017 г. в ФинЦЕРТ сообщили об атаке типа Transaction Reversal Fraud (TPF) в Москве. Злоумышленники не забирали карту и не давали банкомату ее изъять, в результате банкомат генерировал ошибку и не менял баланс карты; при этом подготовленную к выдаче сумму можно забрать, взломав створку шаттера.
Кроме того, в 2016 г. и 2017 г. было раскрыто по меньшей мере два интересных случая мошенничества по чисто «логической» схеме: взлом происходил не через сами банкоматы, а более тонко, через управляющую организацию. Начиналось все с фишинговой рассылки сотрудникам: так злоумышленники внедрялись в локальную сеть банка и находили сервер, откуда банкоматы загружали обновления. Далее нужные файлы подменялись мошенническим кодом, который предоставлял злоумышленникам контроль над определенным банкоматом. Оставалось только сходить к нему и забрать любую сумму.
Чтобы эти случаи не повторились, ФинЦЕРТ рекомендует использовать для работы сотрудников, получающих почту извне организации, и серверы банкоматов разные сегменты сети, применять на критически важных рабочих местах альтернативные текстовые редакторы вместо уязвимого Office, исключить возможность установки неподписанных обновлений на серверах — и, конечно, повышать компьютерную грамотность сотрудников.
Согласно новому отчету Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России, количество организаций, участвующих в информационном обмене с ФинЦЕРТ, выросло за год на 65%: с 270 до 418. И почти в два раза увеличилась доля активных участников, то есть тех, кто сообщает о правонарушениях. С одной стороны, это означает, что больше компаний финансового сектора уделяют надлежащее внимание информационной безопасности; с другой стороны, такая сознательность говорит о том, что прессинг киберугроз, скорее всего, усилился.
И действительно, начиная с III квартала 2016 г. стремительно возрастает количество нецелевых атак против кредитных учреждений, в IV квартале увеличивается количество DDoS-атак, а на II квартал 2017 г. приходится скачок целевых нападений.
При этом, хотя число DDoS-атак растет не слишком значительно, их мощность в I квартале 2017 года более чем утраивается.
Кроме того, ФинЦЕРТ сообщил об увеличении объема почтовых рассылок с вредоносными вложениями и призвал банковские организации соблюдать основные правила безопасности: пользоваться фильтрами и вовремя устанавливать все обновления, чтобы защититься от эксплойтов, распространяемых с почтой.
Однако больше всего внимания в отчете уделено атакам на банкоматы и терминалы самообслуживания. По данным ФинЦЕРТ, интерес злоумышленников к банкоматам в отчетный период серьезно возрос. И неудивительно: во время Чемпионата мира по футболу 2018 г. объем проходящих через банкоматы наличных может сильно возрасти; вероятно, злоумышленники тоже готовятся заранее.
Так, получило более широкое распространение мошенническое оборудование, которое нельзя обнаружить при визуальном осмотре: например, устройства, вставляемые в картоприемник. И даже устройства, устанавливаемые снаружи, стали настолько миниатюрными (как внешние части перископного оборудования для скимминга), что заметить их можно, как мягко выразились эксперты, разве что «теоретически».
ФинЦЕРТ также не исключает теоретической возможности кражи данных бесконтактных карт, хотя еще раз подчеркнул, что пока ни одного подобного случая в России зафиксировано не было.
Иногда злоумышленники не целятся на данные пользователей, а идут прямым путем: так, в последний год популярностью пользовались физические атаки на банкоматы, в том числе с рассверливанием корпуса и подключением к шине передачи данных. Использовался также перехват процессинга — атака, при которой банкомат подключается к компьютеру правонарушителей, но думает, что общается с банковской системой, и выдает деньги якобы на законных основаниях.
Зарегистрированы и более экзотические виды взлома: так, в феврале 2017 г. в ФинЦЕРТ сообщили об атаке типа Transaction Reversal Fraud (TPF) в Москве. Злоумышленники не забирали карту и не давали банкомату ее изъять, в результате банкомат генерировал ошибку и не менял баланс карты; при этом подготовленную к выдаче сумму можно забрать, взломав створку шаттера.
Кроме того, в 2016 г. и 2017 г. было раскрыто по меньшей мере два интересных случая мошенничества по чисто «логической» схеме: взлом происходил не через сами банкоматы, а более тонко, через управляющую организацию. Начиналось все с фишинговой рассылки сотрудникам: так злоумышленники внедрялись в локальную сеть банка и находили сервер, откуда банкоматы загружали обновления. Далее нужные файлы подменялись мошенническим кодом, который предоставлял злоумышленникам контроль над определенным банкоматом. Оставалось только сходить к нему и забрать любую сумму.
Чтобы эти случаи не повторились, ФинЦЕРТ рекомендует использовать для работы сотрудников, получающих почту извне организации, и серверы банкоматов разные сегменты сети, применять на критически важных рабочих местах альтернативные текстовые редакторы вместо уязвимого Office, исключить возможность установки неподписанных обновлений на серверах — и, конечно, повышать компьютерную грамотность сотрудников.
.png)