Финансовые учреждения — очевидная и самая популярная мишень для киберпреступности. В 2018 году на пять крупнейших целевых сервисов — финансовые, почтовые, облачные, платёжные и SaaS — приходилось 83,9% от общего объёма фишинга, причём в лидеры вышло хищение учётных данных от финансовых сервисов. По данным отчёта «2019 Phishing trends and intelligence report» доля таких атак увеличилась с 21,1% в 2017 году до 28,9% в 2018.
Рисунок 1. Объём фишинга на пять крупнейших целевых сервисов за 2018 г.
В этой статье мы рассмотрим виды угроз, к которым должны быть готовы финансовые учреждения, планируя меры безопасности для защиты своих активов, клиентских данных и репутации компании, а также проанализируем тенденции развития фишинговых атак на организации финансовой сферы РФ в 2016-2019 годах и выделим психологические уязвимости, которые эксплуатируют мошенники.
ГЛАВНЫЕ УГРОЗЫ
Выделяют пять видов наиболее опасных угроз для компаний кредитно-финансовой сферы:
1. Кража личности
Злоумышленники крадут личную информацию, данные банковских карт, биометрические характеристики, а затем совершают покупки от имени жертвы или просто переводят её деньги на свои счета.
Схема преступления: Похищение => Профит.
Средства реализации: технический инструментарий в виде эксплуатации уязвимости сайта, фишинга, вируса; социальная инженерия.
Жертвы: клиенты компаний кредитно-финансовой сферы, реже — сотрудники банков.
Потери: как правило, жертва узнаёт о краже личных данных уже после столкновения с последствиями киберпреступления. Потери могут варьироваться от незначительных сумм до миллионов долларов.
Способ борьбы: подтверждение личности с помощью ЭЦП и/или биометрической идентификации с распознаванием живого человека (liveness detection), обнаружение аномалий, обучение персонала.
2. Эксплуатация чужого аккаунта
Атака, производная от предыдущей, с добавлением изюминки под названием «многоходовочка». При этом скомпрометированные данные используются не для непосредственной кражи денег, а для дальнейших незаконных действий.
Схема преступления: Похищение чужого аккаунта => Эксплуатация =>Профит.
Средства реализации: как технический, так и психологический инструментарий, причём значимость психологического становится выше, поскольку используется эффект «доверенного источника». Например, атаки с компрометацией деловой переписки (Business Email Compromise, BEC) вообще не требуют применения технических средств.
Жертвы: клиенты и сотрудники компаний кредитно-финансовой сферы.
Потери: защитные системы не реагируют на такие атаки, поскольку они выполняются с помощью обычных писем от легитимных отправителей и не содержат вредоносных ссылок или вложений. Жертвы доверяют своему адресату, а потому обнаруживают, что пострадали от атаки, лишь столкнувшись с потерями или узнав о компрометации учётной записи от его истинного обладателя.
Способы борьбы: идентификация отправителя с помощью ЭЦП или биометрических технологий, обнаружение аномалий, обучение персонала.
3. Фальшивые личности (синтетическое мошенничество)
Это киберпреступление реализуется посредством кражи и создания фиктивной личности из фрагментов реальной и сфабрикованной информации (например, паспортных данных, номера социального страхования, телефона и т. п.). Чаще встречается в западных странах.
Схема преступления: Кража персональных данных => Создание фальшивой личности => Обман финансового учреждения => Профит.
Средства реализации:
Жертва: банк или кредитор, настоящий владелец использованных данных. Это может быть взрослый или даже ребёнок, который в будущем обнаружит, что за ним числятся непогашенные долги, а кредитная история безнадёжно испорчена.
Потери: такие атаки и их последствия можно обнаружить спустя годы, причём денежный ущерб будет лишь частью проблемы. Финансовым учреждениям придётся потратить время и ресурсы, чтобы отследить действия, совершённые с использованием поддельных личностей.
Способ борьбы: идентификация с помощью ЭЦП и/или биометрии с проверкой на живого человека, обнаружение аномалий, симулированные атаки, обучение персонала.
4. Вымогатели
Эта атака выполняется с помощью вредоносного программного обеспечения, которое блокирует доступ к компьютерной системе до тех пор, пока не будет выплачен выкуп. Компании, предоставляющие финансовые услуги, по-прежнему являются второй по популярности отраслью, подвергающейся вымогательству.
Схема преступления: Доставка => Заражение => Профит.
Средство реализации: единственная атака из представленного списка, использующая исключительно технический инструментарий. Однако моменту начала заражения всегда предшествует доставка вредоноса на компьютер, которая, как правило, производится через нажатие ссылки в фишинговом письме. Чтобы убедить пользователя сделать это, используется психологический инструментарий — социальная инженерия.
Жертва: учреждения финансовой сферы, в меньшей степени их клиенты.
Потери: обнаружение атаки моментальное. Чем дольше компании пытаются бороться с вымогательством, тем больше риск перепродажи и раскрытия конфиденциальной информации клиентов компании. Это ведёт как к финансовым потерям, так и репутационным.
Способ борьбы: симулированные атаки, резервное копирование, обучение персонала.
5. Социальная инженерия.
Может использоваться в составе других атак либо как самостоятельный метод обмана людей для получения какой-либо выгоды: доступа к системам, хищения информации, перевода денег. По данным KnowBe всего 3% кибератак используют исключительно технические уязвимости, остальные 97% реализуются с помощью социальной инженерии.
Схема преступления: Любая форма атаки => Профит.
Средство реализации: любая форма взаимодействия с другим человеком, предпочтительно дистанционная — телефон, электронная почта, социальные сети и т. п.
Жертва: любой человек.
Потери: все указанные в предыдущих типах угроз.
Способ борьбы: подтверждение личности, биометрия и проверка жизнеспособности, симулированные атаки, обучение персонала.
ЧТО ОБЪЕДИНЯЕТ ГЛАВНЫЕ УГРОЗЫ?
Скрепляющей нитью рассмотренных киберугроз служит использование социальной инженерии. Технические средства защиты не помогут, если человек обманут и добровольно отдаёт мошенникам деньги или конфиденциальную информацию.
Именно поэтому главный инструмент современных киберпреступников — разнообразные варианты фишинговых атак. По данным отчёта «2019 Phishing trends and intelligence report» в 2018 году объём фишинга вырос на 40,9%. При этом 98% использованных в атаках писем не содержали вредоносных программ. Для хищения учётных данных и других преступных целей использовались фишинговые ссылки (88%) и сайты. В 2018 году было выявлено 1263 фальшивых сайтов финансовых брендов.
Далее мы рассмотрим фишинг и его разновидности более детально и объясним, как преступники используют социальную инженерию для реализации рассмотренных атак.
ФИШИНГ
Фишинг — кибератака, в которой злоумышленники, выдавая себя за известного человека, делового партнёра или поставщика услуг, входят в доверие к пользователям и заставляют их выполнять какие-либо небезопасные действия.
Наиболее распространены следующие типы фишинга:
1. Вишинг
Вишинг — это атаки, совершаемые с помощью телефонных звонков.
Примеры вишинга:
2. Смишинг
Смишинг — это СМС-рассылки с предложением перейти по ссылке и ввести свои данные в фишинговую форму или совершить ответный звонок по указанному номеру, скорее всего, платному. Обычно используется по отношению к клиентам банков.
3. Фишинговые сайты
Это атака, использующая поддельные сайты узнаваемых компаний, которым жертвы доверяют и без сомнений передают свою конфиденциальную информацию. Чаще всего пострадавшими становятся клиенты банков, пытающиеся зайти в фальшивый личный кабинет.
4. Целевой фишинг
Целевые атаки создаются специально для конкретного пользователя с учётом его слабостей и уязвимостей. Одна из разновидностей целевого фишинга — атаки с компрометацией деловой переписки — Business Email Compromise, BEC.
5. Китобойный промысел
Это фишинговая атака, аналогичная целевой, но жертвой выбирается один из топ-менеджеров организации — «кит».
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ В ФИШИНГЕ
Основными элементами социальной инженерии, которые используют мошенники в фишинге и других атаках, являются:
ОСОБЕННОСТИ ФИШИНГА В РОССИИ
Анализируя сообщения ФинЦерт с января 2016 по сентябрь 2019 гг. о киберугрозах (640 штук) и примеры фишинговых рассылок (469 штук), нам удалось выявить основные особенности фишинга в финансовой сфере и тенденции его развития.
Основные темы фишинговых писем:
1. Уведомления:
2. Рабочий документооборот:
3. Денежные переводы (ошибочный перевод, отменён перевод денег, возврат средств, несанкционированный перевод).
4. Заказ услуг/товаров (заявка на открытие счёта, заявка на участие в тендере, заберите оплаченный заказ);
5. Долг (погасите, проблемы с оплатой штрафа, числится недоплата по предыдущей поставке, просим обратить внимание на просроченные платежи);
6. Проверка информации по клиентам и транзакциям (чёрный список клиентов, запрос о мошеннических транзакциях на счета в вашем банке);
7. Другое (подарочный купон, предложение по выводу денег с карты, вакансия/резюме).
На рисунке 2 показано изменение частоты использования разных тем атак в 2016-2019 годы. Большую часть составляют атаки с рабочей документацией: в 2016 года их доля составляла 59,1%, а в 2019 году выросла до 70,7%. Остальные темы используются с разной частотой. Самые популярные — уведомления, долги, заказ услуг/товаров и денежные переводы.
.jpg)
Рисунок 2. Темы фишинговых атак 2016-2019 гг.
Наиболее популярные виды документов, на которые ссылаются организаторы фишинговых атак — счета и первичная документация. Они стабильно встречаются в каждой второй кампании. Следующие по популярности темы — «сверка» и «договора» (рисунок 3).
.jpg)
Рисунок 3. Виды документов в фишинговых атаках 2016-2019 гг.
В части эмоционального манипулирования наблюдается тенденция к сокращению атак, нацеленных на запугивание и жадность, в то время как количество попыток использовать любопытство и желание помочь растёт (рисунок 4).
Рисунок 4. Эмоциональное манипулирование в фишинговых атаках 2016-2019 гг.
В области усилителей наблюдается выраженная динамика к сокращению использования авторитетов и брендов, зато срочность стабильно сохраняет свои позиции (рисунок 5).
Рисунок 5. Использование усилителей в фишинговых атаках 2016-2019 гг.
В целом изменение других характеристик атак за 2016-2019 гг. не столь значительно. Среди всех атак стабильно используются универсальные темы, где только 9,8% – письма, предназначенные исключительно для финансовых организаций. Более 90% писем – содержат в себе вложения, заметно меньше атак со ссылками.
При этом важно понимать, что это характеристики зафиксированных массовых рассылок из-за чего наблюдается определённая «стандартность» данных фишинговых писем и их характеристик. Например, во всех письмах используются анонимные обращения.
ЗАКЛЮЧЕНИЕ
Финансовые учреждения — лакомые цели для кибермошенников. Размер компании-жертвы и уровень технической защищённости не имеют значения, поскольку всегда можно «взломать» её сотрудников с помощью социальной инженерии. Главное средство реализации такого взлома — фишинг во всех его проявлениях.
С учётом сохраняющейся в течение последних четырёх лет тенденции к росту количества фишинговые атаки на российские компании кредитно-финансовой сферы, при планировании защиты организаций от кибератак крайне важно учесть риски, связанные с человеческим фактором, и предусмотреть в бюджете расходы не только на программно-аппаратные комплексы, но и на обучение сотрудников правильным навыкам.
