PaySpace Magazine собрал самые резонансные кибератаки на банки, совершенные в последнее время, а также советы экспертов о том, как от них защититься.

Благодаря развитию технологий многие банки заметно улучшили качество работы и удобство обслуживания клиентов. Все больше финучреждений стараются идти в ногу со временем, применяя в своей работе блокчейн, выпуская собственные криптовалюты, заменяя отделения удобными мобильными приложениями и вкладывая деньги в разработку продвинутых банкоматов — с биометрией, снятием средств без карты с использованием смартфона и т.д. Однако вместе с активным внедрением технологий банки также начали сталкиваться с новым видом преступности — кибератаками.

Современные мошенники могут ограбить банк находясь за тысячу километров от него, уже взламывая не замки, а сервера и пароли. В новом материале PaySpace Magazine собрал самые резонансные кибератаки на банки, совершенные в последнее время, а также советы экспертов о том, как от них защититься.

Главные кибератаки последних лет

Хищение данных более 100 млн банковских карт. Одним из наиболее резонансных инцидентов этого года стал взлом системы безопасности крупнейшего американского банка Capital One. В результате хакерской атаки были украдены данные кредитных карт 100 млн американцев и 6 млн канадцев, а также 140 тыс номеров социального страхования и 80 тыс банковских счетов, оформленных за период с 2016 по 2018 год.

Позже прокуратура США сообщила, что при взломе серверов Capital One также были похищены данные 30 организаций.

Атака главного банка ЕС. В прошлом месяце Европейский центральный банк (ЕЦБ) сообщил о взломе киберпреступниками внешнего сервера сайта Интегрированного справочника банковской отчетности (BIRD). В результате атаки в распоряжении злоумышленников могли оказаться адреса электронной почты, данные об именах и должностях 481 подписчика сервиса BIRD. Центробанк немедленно приостановил работу сайта после обнаружения уязвимости, которую удалось определить во время регулярной проверки. Ведомство оповестило о возможном взломе всех пользователей, чьи персональные данные могли быть украдены. По информации ЕЦБ, от хакерских действий не пострадали ни внутренние системы ведомства, ни важная рыночная информация.

Выведение миллионов средств на подставные счета. В 2018 году хакеры украли сотни миллионов песо из мексиканских банков. Мошенники смогли завладеть деньгами благодаря атакам на местную межбанковскую сеть обмена сообщениями SPEI. Преступники отправляли фейковые заявки на перевод денежных средств со счетов нескольких мексиканских банков, включая ведущее финучреждение страны Banorte. Затем злоумышленники переводили средства на поддельные счета, открытые в сторонних банках. Таким образом преступникам удалось увести с банковских счетов более 300 млн песо ($15,4 млн).

Воровство данных почти половины жителей США. В сентябре 2017 года в результате кибератаки хакеры получили доступ к конфиденциальным данным 143 млн американцев. Если учесть, что население США на тот момент составляло около 320 млн человек, то потенциальными жертвами утечки данных стали 44% жителей страны. Так, в результате взлома американского бюро кредитной истории Equifax злоумышленники получили доступ к таким данным, как полные имена, номера социального страхования, даты рождения, домашние адреса, а в некоторых случаях номера водительских прав пострадавших. В связи с инцидентом на компанию обрушилась огромная волна критики, так как информация об утечке умалчивалась больше месяца. За это время три топ-менеджера Equifax успели продать акции компании на общую сумму $1,8 млн.

Миллионы украденных данных с помощью правильно введенного пароля. В 2014 году американский финансовый холдинг JPMorgan стал жертвой серьезного хищения данных после того, как хакеры использовали пароль сотрудника для кражи информации о 76 млн частных счетов и 7 млн счетов малых предприятий. Как позже заявил в письме к акционерам исполнительный директор JPMorgan Джейми Даймон, кибербезопасность «вполне может стать самой большой угрозой для финансовой системы США».

Взлом во время собеседования. В начале 2019 года стало известно, что хакеры из Северной Кореи получили доступ к сети чилийских банкоматов с помощью Skype. Так, злоумышленники смогли загрузить вредоносное ПО на компьютер одного из работников компании Redbanc в Чили во время фальшивого собеседования. Redbanc — предприятие в Чили, обслуживающее инфраструктуру банкоматов всех банков страны. Хакеры связались с сотрудником учреждения по Skype после того, как он откликнулся на вакансию разработчика на сайте LinkedIn, и попросили его установить программу, которая якобы генерирует форму заявки. Таким образом мошенники загрузили вредоносное ПО, позволяющее хакерам получить доступ к рабочему компьютеру жертвы, оборудованию и операционной системе, а также настройкам прокси-сервера.

Представители Redbanc заявили, что атака никак не повлияла на деятельность межбанковской сети. Охранная фирма Flashpoint считает, что за взломом стоит хакерская группировка Lazarus из Северной Кореи.

Другие атаки хакеров самой закрытой страны мира

В 2018 году северокорейские хакеры проникли в информационные системы Banco de Chile с помощью вредоносного ПО и украли более $10 млн через международную сеть Swift. В результате финучреждению пришлось отключить на время более 9 тыс рабочих терминалов.

Позже в октябре того же года по такой же схеме были атакованы 16 финансовых учреждений по всему миру. Как стало известно, начиная с 2014 года мошенникам из Северной Кореи удалось украсть более $100 млн, используя международную межбанковскую систему Swift.

Также считается, что северокорейцы стоят за глобальной атакой вирусом-вымогателем WannaCry в 2017 году. Это установили эксперты Kaspersky Lab, идентифицировав хакерскую группу BlueNoroff, связанную с Lazarus. Она считается одной из самых опасных угроз для финансовых учреждений. Кроме того, южнокорейский Институт финансовой безопасности сообщил о второй группе, использующей Lazarus. Она называется Andariel и атакует страну с 2013 года. По мнению экспертов, подобные взломы являлись не одиночными хакерскими атаками, а спланированной военной операцией.

Государство как спонсор киберпреступности

Как отметили в Reuters со ссылкой на отчет Фонда Карнеги за Международный Мир, в настоящее время государства все чаще становятся спонсорами кибератак на финансовые учреждения. При этом главная цель не столько кража, сколько убытки компаний.

Считается, что из 94 случаев кибератак, зарегистрированных с 2007 года как финансовые преступления, 23 случая были финансированы правительством, в частности, Ирана, России, Китая и Северной Кореи.

Другие случаи мошенничества

Атака с помощью подбора паролей. В ноябре 2018 года Международный финансовый гигант HSBC стал жертвой кибератаки с использованием украденных учетных данных. В результате инцидента злоумышленникам удалось похитить имена, адреса и даты рождения пользователей, а также номера и балансы счетов, историю транзакций и номера счетов получателей. Сообщается, что данная атака основывалась на автоматизированном подборе к учетным записям соответствующих паролей, полученных в результате прошлых утечек. В качестве компенсации HSBC предложил пострадавшим клиентам бесплатную услугу мониторинга кредитной истории и защиты от кражи личности в течение одного года.

Атака POS-терминалов.

В сентябре 2018 года специалисты подразделения IBM X-Force IRIS зафиксировали вредоносную кампанию, направленную на POS-терминалы в Европе и США. Организатором атак являлась хакерская группировка FIN6, промышляющая кражами данных платежных карт для последующей продажи на подпольных форумах. Ранее в 2016 году эти хакеры атаковали POS-терминалы ритейлеров и компаний в сфере здравоохранения. Тогда им удалось похитить данные более 10 млн платежных карт, которые затем были выставлены на продажу на одном из подпольных рынков.

Хищение данных банковских карт клиентов сетевых универмагов. В 2018 году была обнародована информация о хищении данных владельцев более 5 млн дебетовых и кредитных карт, которые использовались при покупке товаров в американских сетевых универмагах Saks Fifth Avenue, Saks Off 5th и Lord & Taylor. По словам торговой компании Hudson’s Bay Company, владеющей этими сетями, преступниками была взломана система безналичных платежей.

Воровство банковских данных через приложения для вызова такси. Летом 2017 года в Kaspersky Lab заявили, что обнаружили новую версию вируса Faketoken Android Trojan — трояна, который крадет банковские данные пользователей мобильных приложений для вызова такси. Благодаря тому, что подобные приложения хранят финансовые данные пользователей, преступники легко получали доступ к банковским картам. Для взлома вредоносное ПО отслеживало активность приложений и накладывало на них фишинговые окна, похожие на оригинальные окна приложения, с целью кражи данных банковских карт. 

Атака банкоматов. В первой половине 2017 года в Европе наблюдался рост количества случаев одного из видов взломов банкоматов — атак типа blackbox (когда мошенники подключают устройства к банкоматам и заставляют их «выплевывать» деньги). Так, в течение шести месяцев было зафиксировано 114 таких взломов ATM в 11 странах континента, что на 300% больше, чем за аналогичный период прошлого года. Потери, связанные с этими взломами, были оценены экспертами в 1,5 млн евро. Во время атаки «черного ящика» банкомата мошенники вскрывали так называемую сервисную зону ATM и затем подключали через USB-порт устройство (например, ноутбук) и, используя вредоносное программное обеспечение, снимали огромные суммы денег. В ряде случаев «черный ящик» использовался для скимминга — чтения данных карты и перехвата PIN-кода. В этом случае хакеры использовали полученные данные для доступа к счетам своих жертв.

Стоит отметить, что летом 2018 года создание вредоносного программного обеспечения (ВПО) для банкоматов было названо самой дорогой хакерской услугой в теневом интернете.

В целом, согласно данным отчета Positive Technologies, представленного в конце прошлого года, большинство банкоматов некоторых крупнейших мировых производителей уязвимы к хакерским атакам и могут быть взломаны в считанные минуты. Так, во время тестирования машин от NCR, Diebold Nixdorf и GRGBanking было обнаружено, что 69% из них уязвимы для ранее упомянутых blackbox атак. По словам экспертов, чтобы снизить риск атаки и ускорить реакцию на угрозу, в первую очередь нужно улучшить физическую защиту банкоматов, а также внедрить регистрацию инцидентов в области безопасности. Также в качестве превентивных мер стоит проводить регулярный анализ безопасности банкоматов.

Чтобы вывести украденные средства, некоторые мошенники начали использовать универсальные карты. Так, в январе 2019 года Секретная Служба США сообщила, что мошенники начали использовать мультикарту Fuse Card с целью хранения нескольких украденных кредиток на одной карте. Fuse Card способна вместить в себя информацию о 30 платежных картах. Таким образом, пользователь может просматривать данные о зарегистрированных картах, а затем выбрать нужную для проведения оплаты в POS-терминалах. Данная технология позволяет преступникам снимать деньги с украденных карт с помощью одной карты, что отводит от них подозрения.

Также для отмывания денег мошенники стали использовать биткоин-банкоматы. Таким образом преступники смогли украсть через испанские ATM более 9 млн евро.

Последствия атак

В 2016 году 12% британцев закрыли свои кредитные или дебетовые карты из-за кибермошенничества, согласно результатам исследования, проведенного comparethemarket.com. Так, всего за пару месяцев количество потребителей, которые закрыли свои платежные карты, выросло с 4,5 млн до 5,5 млн.

Кибермошенничество является огромной проблемой для банков, так как, согласно данным, почти каждый четвертый клиент, потерявший деньги из-за хакерства, сменил или собирается сменить банк, в котором обслуживается.

Согласно данным The New York Times, крупные финансовые компании вынуждены ежедневно противостоять сотням тысяч кибератак. Например, Mastercard каждый день борется с 460 тыс попыток вторжения, что на 70% больше, чем год назад.

Чаще всего хакерам достаточно одной уязвимости, чтобы успешно взломать систему. Как сообщается в отчетах, поданным в Отдел по борьбе с финансовыми преступлениями Министерства финансов, только за пару месяцев 2019 года было совершено 3494 кибератак против финансовых учреждений. В частности, такие компании, как Equifax и Morgan Stanley, подвергались неоднократным атакам с использованием различных методов взлома за последние несколько лет.

В некоторых случаях хакеры использовали слабые пароли или отправляли поддельные электронные письма с вредоносным ПО, которое помогло им проникнуть в сеть. В других случаях они сканировали программное обеспечение, которое не обновлялось до последних исправлений ошибок по безопасности. При этом некоторые взломы заняли часы, другие — месяцы.

Как отметил главный специалист по кибербезопасности в Carbon Black Том Келлерманн, взломом банковских систем занимаются лучшие хакеры мира и на данный момент это выглядит, как гонка вооружений.

По данным организации Privacy Rights Clearinghouse, с 2005 года более 11 млрд данных были раскрыты во время утечки информации. В частности, были скомпрометированы данные клиентов кредитного бюро Equifax и финансовой компании First American Corporation, учетные записи электронной почты Yahoo и даже федеральные записи о занятости.

В течение многих десятилетий расходы на безопасность в большинстве отраслей воспринимались как лишние. Однако банки всегда были исключением, тратя большие бюджеты и проводя сложные манипуляции по обеспечению безопасности. К примеру, Mastercard имеет бункер без окон в своем дата-центре в Миссури, где работает группа экспертов по безопасности. Citigroup управляет тремя центрами реагирования на кибератаки — в Будапеште, Нью-Йорке и Сингапуре, которые обеспечивают круглосуточное покрытие. JPMorgan Chase тратит почти $600 млн в год на безопасность, а исполнительный директор Bank of America заявил, что команда безопасности финучреждения имеет специальный «бланковый чек» на все расходы.

Согласно исследованию IBM Security и Ponemon Institute, средняя стоимость взлома системы безопасности в США за последние годы возросла до $8,2 млн. Однако даже эта сумма ничто в сравнении с тем, какие убытки терпят учреждения в результате атак, в особенности когда дело доходит до коллективных исков и штрафов со стороны регулирующих органов. Так, кредитное бюро Equifax должно потратить около $650 млн и даже больше на урегулирование большинства претензий, связанных со взломом компании в 2017 году, который затронул данные 147 млн человек.

Банк Capital One заявил, что планирует потратить в этом году как минимум $100 млн на восполнение ущербов от атаки. Однако часть этих средств должна быть компенсирована страховкой банка от кибератак. Кроме того, Capital One столкнется с расходами, связанными с коллективным иском против финучреждения. Как подчеркнули в NYT, хакерская атака сильно ударила по Capital One, который входит в число крупнейших финансовых учреждений, активно применяющих облачные технологии. Ранее компания являлась «доказательством» концепции для регуляторных органов, что перенос данных в облако гарантирует их безопасность. 

Как противодействовать

Реувен Харрисон, сооснователь Tufin — израильской компании, занимающейся политикой информационной безопасности, дал несколько советов о том, как финучреждения могут обезопасить себя от кибератак.

1. Сегментация сети. Подобный подход помогает ограничить доступ хакера к зонам скомпрометированной сети. К примеру, если преступник получил доступ к компьютеру сотрудника, у него не будет доступа к общей системе банка. Однако стоит учесть, что сегментация сети требует постоянных обновлений и конфигураций.

2. Реализация политики безопасности в масштабах всего учреждения. Четко прописанная политика безопасности — оперативный план действий для любой банковской IT-группы для поддержания адаптивной архитектуры защиты. Это то, что помогает специалистам быстро и с минимальными рисками определить наилучший способ защиты сети. Кроме того, политика безопасности должна учитывать все нормативные и корпоративные требования соответствия, а также способы применения своевременных исправлений ошибок.

3. Соблюдение политики безопасности. Одно дело иметь политику безопасности, а другое — применять ее на практике. Организации должны постоянно отслеживать свою сеть на предмет изменений в конфигурациях и гарантировать, что эти изменения утверждены и соответствуют политике. Это совместная работа на предприятии: сетевые операции, операции по безопасности и CIO (директора по информационным технологиям).

Гил Хехт — основатель и гендиректор Continuity Software, компании по обеспечению IT-безопасности, выделил несколько важных принципов противодействия киберпреступности:

1. Определите критически важные данные, необходимые для ведения бизнеса.

2. Четко определите требования по устойчивости для каждого типа данных. Например, что делать в случае потери части транзакций и сколько времени понадобиться на восстановление.

3. Наладьте систему для обеспечения необходимого уровня защиты. Например, частое копирование данных на запоминающие устройства с однократной записью гарантирует, что данные не могут быть удалены или повреждены. Такие устройства с однократной записью должны быть защищены учетными данными, которые никому не доступны в ходе обычной деятельности (хорошим ключом будет аппаратный ключ безопасности в физическом сейфе). Вместе с резервным копированием и восстановлением данных лучше использовать журнал транзакций, который записывается синхронно на одни и те же устройства хранения с однократной записью.

4. Постоянно проверяйте, правильно ли внедрены требования по восстановлению работы системы и выполняются ли они всеми причастными сторонами. После каждого изменения проверяйте обновления, модификации, исправления и т.д., которые происходят в информационной инфраструктуре вашего предприятия (облачной, физической, гибридной, устаревшей, виртуальной и SaaS).

Как сообщил эксперт, данные принципы позволили сократить количество простоев компаний более чем на 83%, а также гарантировать своевременное восстановление в тех редких случаях, когда система или данные были скомпрометированы.

 

Анастасия Клименко, PAYSPACE MAGAZINE