Несколько недель назад мошенники начали подготовку к праздникам. Они рассылали фишинговые (от англ. fish — рыбачить) письма. В них, например, могла содержаться информация о якобы премиях и бонусах со ссылкой на «расчет», ведущей к вредоносному ресурсу. Если человек кликал на «расчет», злоумышленник, к примеру, получал удаленный доступ к его компьютеру, рассказывает глава компании Infosecurity a Softline Company Кирилл Солодовников.
С началом новогодних праздников хакеры этими и другими способами начнут взламывать системы безопасности организаций. В первую очередь банков. По словам Солодовникова, их активность в праздники бывает в среднем на 15% выше, чем в обычный период. Как и все остальные, кибермошенники отдыхают со второй половины дня 31 декабря до вечера 1 января. По крайней мере, атак в это время очень мало. А затем активизируются, потому что время реагирования на их действия в праздники увеличивается и они долго могут оставаться незамеченными.
Заявления о грядущем росте атак появляются перед каждым Новым годом. И если в этом году специалист из Infosecurity a Softline Company ждет 15-процентного роста, то два года назад глава Центра информационной безопасности Университета Иннополис Сергей Петренко прогнозировал 30-процентный.
Настороженность экспертов родилась не на пустом месте. Добиться конкретной информации об успешных кибератаках сложно. Безопасники не любят рассказывать о своих проколах, а банки — об украденных деньгах. Тем не менее достоверно известно о двух крупных новогодних киберкражах.
Одна произошла прямо перед новым 2013 годом. Вирус Carbanak, находившийся во вложенном файле в электронных письмах, поразил 100 финансовых организаций. География краж включала Африку, Юго-Восточную Азию и Ближний Восток, Европу, Китай, Россию и Украину. Общая сумма ущерба составила тогда $1 млрд. В половине случаев хакерам удавалось вывести $2,5–10 млн из одного банка.
Вторая история мошеннического успеха — январь 2014 года. Тогда было похищено 850 тыс. биткойнов с биржи Mt.Gox. В долларах по тогдашнему курсу это примерно 263,5 млн. Через ту биржу проходило 47% всех трансакций с криптовалютой. И украденная сумма составила 7% всех биткойнов, которые на тот момент обращались на Mt.Gox. После этого биржа объявила о банкротстве.
Пугают перед новым годом банки и Центробанк. Регулятор даже выпустил официальное заявление по поводу вируса Cobalt, разработанного одноименной отечественной хакерской группой. Глава управления безопасности и защиты информации ЦБ РФ Артем Сычев говорил, что кибермошенники модифицируют вирус для масштабной атаки перед Новым годом. Такой вывод он сделал, потому что атак группы на банки не было уже некоторое время.
Об успехах Cobalt в России опять же известно мало. СМИ лишь сухо и без уточнений писали об ограблении неизвестного банка на неизвестную сумму в сентябре 2018 года.
Зато можно узнать об успехах россиян за рубежом. Хакеры вообще теряют интерес к нашей стране, считают в компании Group-IB, которая специализируется на вопросах кибербезопасности. В ноябре 2019 года ее специалисты заявили, что Cobalt, а также другая успешная российская группа хакеров Silence переключились с российских на зарубежные организации.
Group-IB отследила семь атак Silence на иностранные банки. Из них как минимум две успешные: одна на бангладешский Dutch-Bangla в мае 2019 года, вторая — на неназванный банк в Коста-Рике в апреле 2019 года. Для проникновения в банки использовались фишинговые письма с вредоносным кодом, которые рассылались сотрудникам банка. Деньги похищались через банкоматы, которые предварительно заражались вирусами, а также через систему управления банковскими картами.
Cobalt использовала фишинговую рассылку писем зарубежным банкам от имени известных финансовых организаций и платежных вендоров. И тоже как минимум дважды успешно: в июле 2018 года в Болгарии и в ноябре 2018 года в Грузии. Сумма похищенного неизвестна.
Все эти, пусть бегло и сухо описанные, случаи объединяет одно: метод, который используют мошенники, — фишинговые письма. И несмотря на слова Артема Сычева из ЦБ о том, что инструменты Cobalt и их коллег давно известны специалистам по кибербезопасности, они почему-то продолжают работать.
Глава Центра информационной безопасности Иннополиса называет главной брешью в киберобороне человеческий фактор. По его словам, все перечисленные инциденты связаны с беспечностью служб безопасности в предпраздничный период, общим увеличением денежных операций, в том числе и ежемесячных выплат зарплат и премий, а также с несовершенством известных организационно-технических методов и средств защиты информации в российских банках.
Вообще кибермошенники всё больше сейчас работают со слабостями людей, а не программ. Такой вывод можно сделать по статистике атак, составленной Group-IB. Она показывает, что ущерб от кибератак в России снижается. За 2019 год он упал сразу на 85%, до 510 млн рублей.
И самое большое сокращение — на 89% — показал ущерб от компьютерных вирусов. Он снизился до 62 млн рублей в российском финансовом секторе. Таким видом мошенничества в нашей стране занимаются только две группы хакеров. Пошел вниз также и фишинг (подчеркивается, что речь именно о России) — на 65%, до 87 млн рублей. Им занимаются 11 групп хакеров.
А возрастающий тренд показала социальная инженерия. Это обычное мошенничество, в котором высокие технологии являют собой только контекст: злоумышленники подделывают банковские аккаунты в соцсетях, звонят клиентам банков от имени сотрудников кредитной организации. «Снижение экономической эффективности от этих (фишинга и троянов. — «Известия») типов атак вынуждает мошенников искать новые способы заработка на данных банковских карт. В итоге мошенничество с использованием приемов социальной инженерии вышло на первое место по степени распространения угрозы в России», — отмечают эксперты Group-IB.
По данным Банка России, в 2018 году 97% всех несанкционированных переводов с платежных карт совершалось с помощью социальной инженерии. Для убедительности мошенники используют личные данные клиентов, которые продаются в интернете. Всего за первую половину 2019 года в открытый доступ было выложено около 1,5 тыс. объявлений о продаже баз данных клиентов кредитно-финансовых организаций.
Поэтому обычным пользователям эксперты рекомендуют, во-первых, не паниковать по поводу роста атак в новогодние праздники. Они в основном коснутся организаций и банков. Во-вторых, не сообщать никому данные банковских карт. А если звонят из банка, вешать трубку и перезванивать туда самостоятельно. Ну и в-третьих, критично относиться к информации. Не только в письмах, но и в социальных сетях.
По данным Infosecurity a Softline Company, сейчас растет не только количество фишинговых писем, но и взломов социальных сетей. Злоумышленники получают доступ к странице жертвы в Instagram и размещают объявления о срочном сборе денег на лечение, указывая номер банковской карты. Это логичное продолжение схемы, когда злоумышленники рассылали личные сообщения с просьбой одолжить денег. Та же социальная инженерия.
Организациям же, по словам Сергея Петренко из Иннополиса, «в новогодний период нелишним будет проверить и реализовать следующие возможные меры безопасности: фильтрацию на маршрутизаторе, защиту маршрутизатора, защиту хоста, превентивное сканирование».
По мнению специалистов Group-IB, в ближайшее время количество кибератак будет в принципе расти. Да, большие российские группы, такие как Silence или Cobalt, вероятнее всего, продолжат географическую экспансию, увеличивая количество атак за пределами России. Но скоро вырастет новое поколение хакеров, которые опять начнут с того, что будут проводить атаки на банки «у себя дома». Эксперты уже фиксируют рост числа русскоязычных молодых людей, которые пока занимаются «безобидными атаками».
Игнат Шестаков