Новости

ФинЦЕРТ выпустил отчет об атаках на финансовые организации в 2017 году

20.02.2018
ФинЦЕРТ выпустил отчет об атаках на финансовые организации в 2017 году

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ Банка России) опубликовал отчет за 2017 год об основных типах атак в кредитно-финансовой сфере. В отчете рассматриваются целевые атаки, массовые атаки с использованием программ-вымогателей, описываются наиболее распространенные схемы компьютерных атак на клиентов кредитных организаций и устройства самообслуживания.

Согласно отчету, с 2016 года увеличивается число целевых атак на финансовые организации. При этом в качестве инструментов компьютерных атак злоумышленники часто используют программы, предназначенные для проведения тестирования на проникновение, например, Metasploit Framework, Cobalt Strike. В 2017 году потери российских кредитных организаций от атак с использованием программ Cobalt Strike превысили 1 млрд рублей.

Указанные атаки были направлены как на банкоматы, так и на процессинг платежных карт. Кроме того, зафиксированы случаи атак на средства системы международных переводов SWIFT и на принадлежащие кредитным организациям компьютерные средства участков платежной системы Банка России (АРМ КБР).

Вектором атак в большинстве случаев являются электронные письма с вредоносными вложениями, рассылаемые злоумышленниками на адреса финансовых организаций.

В отчете приводятся следующие меры противодействия подобным атакам:

  1. Повышение осведомленности сотрудников в области информационной безопасности, проведение тренировок сотрудников (например, рассылка тестовых «фишинговых» писем, анализ «успешных» проникновений, с обязательным подведением итогов тренировок).
  2. Своевременное обновление антивирусных баз.
  3. Установка на банкоматы программного обеспечения контроля целостности и предотвращения несанкционированного запуска сторонних программ.
  4. Периодическая проверка на индикаторы компрометации, рассылаемые как ФинЦЕРТ, так и другими участниками рынка.
  5. Регулярное обновление сигнатур для систем IDS / IPS и подписок Threat Intelligence для своевременного детектирования подозрительного трафика.

В отчете отмечается большое количество атак на юридических лиц – клиентов кредитных организаций, использующих бухгалтерские системы. В ходе подобных атак злоумышленники посредством вредоносного программного обеспечения осуществляют подмену реквизитов платежных поручений на этапе их передачи из бухгалтерской системы в систему дистанционного банковского обслуживания (ДБО). Ущерб от таких атак превысил 200 млн рублей.

Чаще всего вектором атак являлись вредоносные коды на специализированных бухгалтерских и финансовых сайтов в сети Интернет, а также спам-рассылки по электронной почте.

В качестве мер противодействия подобным атакам приводится:

  1. Настройка правил системы распознавания мошенничества во время онлайн-платежей и системы ДБО, учитывающих типовые платежи клиента. Предупреждение клиента в случаях, если совершаемые платежи вызывают срабатывание данной системы.
  2. Оповещение всех клиентов о данном способе хищений, с указанием следующих мер противодействия:
    • Использовать антивирусное программное обеспечение, поддерживать его базы в актуальном состоянии, не реже одного раза в неделю проводить полное сканирование системы.
    • Выполнять все рекомендации по работе с вложениями, пришедшими из подозрительных источников, не открывать вложения – исполняемые файлы и не включать макросы в документах Microsoft Office, если нет уверенности в надежности отправителя.
    • Постоянная визуальная проверка в системе ДБО всех реквизитов платежных поручений, подготовленных в бухгалтерской системе. Отказ в подтверждении вызывающих сомнение платежей до выяснения всех обстоятельств.
    • Изменение наименования файлов выгрузки платежных поручений штатными средствами бухгалтерской системы. Большинство известных вредоносных программ рассматриваемого типа проверяют наличие требуемого файла по названию.

Атаки на банкоматы проводились преступными группами посредством физического подключения к внутренним устройствам банкомата и удаленного управления диспенсером.

Владельцам банкоматов рекомендуется придерживаться общих мер по безопасности: создание белых списков приложений, запрет подключения дополнительных устройств к USB-портам, установка средств физической защиты.

В 2017 году на территории России были зафиксированы первые случаи установки в POS-терминалы так называемых «шиммеров» – устройств, предназначенных для получения информации с EMV-карт (карт с чипом).

В качестве примеров массовых атак с использованием программ-вымогателей (шифровальщиков) в отчете приводятся эпидемии WannaCry и NotPetya. Для российских финансовых организаций ущерб от них оказался незначительным. По данным ФинЦЕРТ вирусом WannaCry было заражено семь устройств, принадлежащих кредитно-финансовым организациям, без финансового ущерба. От вируса NotPetya пострадала только одна кредитно-финансовая организация и так же без ущерба.

Основной мерой противодействия была своевременная установка обновлений операционной системы, закрывающих уязвимости.