Мошенничество в сетях операторов связи, хищения нефтепродуктов и кражи денежных средств со счетов предприятий и организаций — эти виды противоправной деятельности наносят наибольший ущерб российским компаниям. Все они очень часто происходят с использованием ИТ‑инструментария, так что их успешность напрямую связана с обеспечением информационной безопасности.
Мы решили обратить внимание на угрозы, связанные с хищением денежных средств и использованием систем дистанционного банковского обслуживания (ДБО). Как уже было сказано выше, они получили в последнее время чрезвычайное распространение и часто становятся предметом обсуждения на всевозможных форумах — например, на III форуме «IT-безопасность для финансового сектора», который проводился компанией AHConferences в марте 2011 г.
Под ударом мошенников оказываются отнюдь не только банки, но именно они вынуждены возмещать пострадавшим украденное. Но даже если суд признает банк непричастным, имеют место имиджевые потери, которые, в свою очередь, ведут к оттоку клиентов и целому ряду других издержек.
И ущерб от такого рода посягательств огромен. В 2008 г. на слушаниях в Госдуме, со ссылкой на правоохранительные органы, называлась цифра в 30 млрд руб. По тогдашнему курсу это было немногим менее 1 млрд евро. За прошедшие три года рост составил, по большинству оценок, 8—10 раз. Стоит иметь в виду, что далеко не все подобные случаи попадают в статистику полиции и спецслужб, так что реальные цифры выше еще где‑то на порядок.
Как это делается
Хищение денежных средств происходит по двум сценариям. В первом случае злоумышленники снимают денежные средства со счета пострадавшей компании, используя поддельные платежные документы. В целом все происходит точно так же, как в начале 1990‑х гг., когда были чрезвычайно распространены аферы с фальшивыми авизо. Только тогда под ударом мошенников оказались банки, а сейчас — предприятия и организации. Такой сценарий реализуют обычно представители традиционной организованной преступности. При этом процесс изготовления фальшивых документов доведен практически до совершенства, и их крайне сложно отличить от оригинала.
В последнее время все более активно злоумышленники используют для краж денег системы ДБО. Этим занимаются организованные преступные группы нового типа, в состав которых входят квалифицированные специалисты в области ИТ и банковского дела. Каждый этап операции, от выбора жертвы до заметания следов, тщательно планируется. Так что одиночки этим уже практически не занимаются, хотя еще года два назад такие случаи были довольно массовыми, причем среди злоумышленников встречалось немало подростков и пенсионеров. Надо отметить, что мотивы не всегда были корыстными, преобладало желание отомстить обидчику.
Для кражи используются аутентификационные данные пользователей систем ДБО, украденные, как правило, с использованием высокотехнологичных средств (например, с помощью вредоносного ПО, фишинга, когда данные собираются на специально созданной Web‑страничке, очень похожей на легитимную). Не редкость также использование простых, но очень эффективных методов социальной инженерии. Как отвлекающий маневр довольно часто производится DDoS-атака как на компанию-жертву, так и на банк. Для легализации похищенных средств применяются всевозможные схемы, иногда довольно сложные. Так, в настоящее время денежные средства крайне редко обналичиваются в том регионе, где были украдены. Довольно часто используются «зарплатные» схемы для фиктивных компаний, что позволяет распылять средства по множеству счетов. Это существенно усложняет расследование такого рода преступлений.
К тому же ОПГ, которые специализируются на таких преступлениях, используют хорошо известные приемы конспирации, когда рядовым членам известно лишь крайне ограниченное число участников группировки. В результате арест одной ячейки не ведет к ликвидации всей ОПГ, по крайней мере в короткие сроки. Да и в целом данные преступления сложнее выявить, особенно если злоумышленники сохраняют хладнокровие и осторожность: не похищают слишком большие суммы, не обкрадывают одну и ту же организацию слишком часто. Кроме того, кражи обычно происходят в пятницу или предпраздничные дни, причем ближе к концу рабочего дня, в результате чего пропажа средств часто бывает замечена слишком поздно, когда все концы уже найти очень трудно. При этом полностью исключается человеческий фактор — главное слабое звено в предыдущем сценарии, а также в том случае, если действует преступник-одиночка. Ведь именно то, что преступник, снимавший деньги в банковском офисе, вел себя подозрительно или излишне нервничал, часто приводило к аресту злоумышленников.
Кто виноват?
Как правило, действия преступников становятся успешными потому, что жертва проявляла беспечность, часто просто поразительную. Во многом это объясняется неосведомленностью клиентов обо всех угрозах, связанных с использованием для проведения финансовых операций такой небезопасной среды, как публичный Интернет. Ведь далеко не всегда имеются адекватные средства защиты от вредоносного ПО и атак. Конечно, полное отсутствие такого рода средств встречается уже не так часто, но вот за своевременным обновлением баз и сигнатур следят далеко не всегда. Хотя, как отмечают многие эксперты, антивирусная защита далеко не всегда создает непреодолимый заслон для троянцев‑«банкеров», так что наличие систем защиты не является полной гарантией от заражения.
Неосведомленность пользователей также позволяет им попадать на удочку злоумышленников. В итоге в половине случаев злоумышленникам удается практически без труда убедить их открыть вложение в электронное письмо или ссылку на фишинговой страничке. По данным аудиторской компании Digital Security, это удавалось сделать в 50% случаев тогда, когда в компании или вообще не проводились тренинги в области информационной безопасности или это делалось редко.
Плюс ко всему, проблема неосведомленности усугубляется широким распространением нелицензионного ПО, особенно в малом бизнесе и среди индивидуальных предпринимателей. Не нужно напоминать о том, что сами «пиратские» дистрибутивы операционных систем нередко (приблизительно в 25% случаев) заражены троянскими программами, что существенно упрощает жизнь злоумышленникам. Да и даже если нелицензионная копия не заражена, то на ней отключена функция автоматического обновления, что также способствует возможности заражения.
Кроме того, сами системы ДБО — довольно молодой класс ПО. А значит, опыта по его защите также накоплено не слишком много, особенно в области клиентской части таких систем. Не исключено и наличие «букета» всякого рода «детских болезней», в том числе влияющих на безопасность. Шутка медиков о том, что абсолютно здоровых людей нет, а есть недообследованные, к ПО относится в полной мере. При этом значительная часть ошибок разработчиков создает всевозможные бреши в защите. И это еще более усугубляется тем, что отсутствует индустрия поиска ошибок. Хотя, к чести разработчиков, выявленные пользователями ошибки устраняются довольно быстро. Бывает и так, что данные передаются в открытом виде или с использованием слабых алгоритмов шифрования, которые легко могут быть прочитаны злоумышленниками.
Также злоумышленники вполне могут воспользоваться теми брешами, которые были оставлены при построении системы защиты периметра сети. А это, как отмечают все без исключения аудиторы, с которыми общался автор, имеет место почти в 80% случаев. Это выражается, например, в том, что не изменен заводской пароль на каком‑либо из сетевых устройств. Особенно остро проблема защиты периметра стоит в территориально распределенных компаниях.
Доступ к системам ДБО можно получить и в том случае, если воспользоваться уязвимостями в другом бизнес-ПО. А их тоже довольно много, причем процесс латания этих дыр часто сложен и трудоемок. Подробнее об уязвимостях в таком ПО можно прочитать в статье «Атака на ERP» (IE, № 19—20/2009).
Как не допустить кражи
Лучший способ защиты от практически любых угроз в области информационной безопасности — внедрение норм стандарта ISO 27001. Конечно, это дело не дешевое, долгое и довольно хлопотное, но и результаты впечатляют. О стопроцентной гарантии речи быть не может, но риски снижаются если не на порядки, то многократно. Есть и примеры того, как использование норм данного стандарта позволяло пресечь деятельность злоумышленников («Два года с ISO/IEC 27001»//IE, № 5/2010).
Но и там, где нет возможности внедрить данный стандарт, необходимо доводить до пользователей правила и нормы «компьютерной гигиены», причем делать это регулярно. Только это позволит многократно снизить риски. Там, где регулярно проводятся тренинги по безопасности, удается заманить пользователя на зараженный сайт или убедить его открыть вложение в электронное письмо лишь в 2% случаев. Напомним: там, где этого нет, каждый второй пользователь делает то, что от него хочет злоумышленник.
Необходимо построение адекватной системы защиты. Нельзя упускать ни одного элемента, будь то антивирус, средства защиты периметра сети от атак и вторжений, а также наличие работающей системы обновления системного и прикладного ПО. Для оценки эффективности работы систем защиты имеет смысл привлекать аудиторов.
Крайне желательно использование многоуровневой аутентификации пользователей, например с использованием токенов. Неплохо зарекомендовали себя устройства для доверенного ввода. Они относительно недороги, и их установка и использование не требуют специальных навыков, что делает их вполне адекватным средством для защиты небольших предприятий, а также индивидуальных пользователей систем ДБО.
Если кража все же случилась
Успешное расследование данного инцидента возможно, если сохранены улики. В противном случае найти злоумышленников будет практически невозможно. Как только стало известно о том, что со счета пропали денежные средства, специалисты по расследованию инцидентов из компании Group-IB рекомендуют предпринять следующие меры:
- обесточить ПК, на котором производились операции с ДБО, до прибытия компетентного специалиста;
- запретить выполнение любых манипуляций с компьютером, на котором проводились операции с ДБО (антивирусное сканирование, восстановление работоспособности и др.), поскольку это уничтожит следы деятельности вредоносного ПО;
- проинформировать службу безопасности банка об инциденте, заблокировать ключи ЭЦП;
- подать заявление в правоохранительные органы.
Для расследования инцидента, связанного с кражей денежных средств, специалисты компании Group-IB рекомендуют сохранить в неизменном виде следующую информацию:
- образ жесткого диска потенциально скомпрометированного компьютера;
- журналы сетевой активности межсетевого экрана и прокси‑сервера компании;
- журналы сетевой активности провайдера компании;
- журналы работы с системой ДБО;
- экземпляры вредоносного ПО, обнаруженного на жестком диске и в сети компании;
- носители электронных ключей от ДБО;
- организационные процедуры хранения и использования носителей информации с электронными ключами от ДБО;
- данные, собранные на активном сетевом оборудовании в ходе проведения DDoS-атаки, если таковая была;
- путь «вывода» денежных средств.
Успех атак — в низкой осведомленности пользователей
Сергей Корольков,
технический директор ЗАО «ДиалогНаука»Действительно, атак на системы ДБО фиксируется все больше, и эта тенденция явно прослеживается. Ранее атаки совершались в основном либо на ключевую информацию, либо на саму «платежку», путем проведения атаки «men in the middle». Сейчас можно заметить появление нового поколения — атак типа «men in the system». Ключевое отличие в том, что атакующий получает контроль над клиентом ДБО. В этом случае жертва сама подтвердит транзакцию, которая будет выглядеть корректной для нее. Например, атрибуты платежа могут подменяться в момент его подтверждения. Для банка такая транзакция также ничем не отличается от легитимной. Надо отметить, что в этом случае жертве не поможет применение токенов, традиционных антивирусных средств.
Меняются и мотивы злоумышленников, и методы атак… Но причины, по которым такие атаки вообще возможны, остаются неизменными: низкая осведомленность пользователей, невнимание руководства, банальное неприменение элементарной защиты. Защититься на 100% нет возможности. Сейчас производители разрабатывают средства защиты, которые позволят минимизировать эти риски.