SOS: спасите наши деньги!

Ежедневно в России хакеры совершают не менее 50 попыток украсть деньги из систем дистанционного банковского обслуживания. За каждую такую попытку злоумышленники стремятся похитить в среднем около 400 тысяч рублей.

Чаще всего преступники применяют целенаправленную атаку. Это могут быть атаки и на целую компанию, и на компьютер обычного пользователя. «Для таргетированных атак характерен высокий уровень подготовки, — рассказал Всеволод Иванов, исполнительный директор компании InfoWatch. — Их отличают нестандартный подход, высокая сложность и степень организации, многоступенчатость, специальные методы обхода защитных систем».

На первом этапе злоумышленники используют открытые источники и вредоносные программы, чтобы получить персонализированную информацию о жертве. Затем в ход идут технологии социальной инженерии. Хакеры делают все, чтобы внедриться в организацию через ее самое слабое место — конечного пользователя. В первую очередь их интересуют сотрудники, у которых есть доступ к нужным учетным записям.

Этих людей преступники начинают засыпать электронными посланиями, которые маскируются, например, под письма из отдела кадров или бухгалтерии. Один неосторожной клик мышью по ссылке с вредоносным кодом или опасному вложению — и рабочий компьютер заражен! А киберпреступники получают свободный доступ к самым ценным сведениям компании.

Иногда злоумышленники при­думывают еще более сложные схемы — в частности, в компанию может быть внедрен «засланный казачок». Когда агенту хакеров удается заполучить доступ к системе компании, троянцы, вирусы и другие вредоносные программы заражают сеть и создают множество «лазеек», которые могут неопределенно долго оставаться на рабочих станциях и серверах.

«В этот период угроза, оставаясь никем не замеченной, перемещается с одного компьютера на другой в поисках заданной цели», — отметил Всеволод Иванов.

Интересно, что получение доступа к счетам и кража с них денег происходят через сложные, трудно отслеживаемые финансовые схемы. Ими занимаются специальные люди — «кибернаемники». Это небольшие хакерские группы, специализирующиеся на проведении молниеносных атак на заказ. Такой хакерский «спецназ» с высокой точностью наносит удары, а затем искусно заметает следы.

Еще в 2010–2011 годах самое большое количество атак проводилось на платежные сервисы, а уже в 2013 году киберпреступники обратили свое внимание на банки и другие кредитно-финансовые организации. Однако противодействовать таргетированным атакам до сих пор по силам лишь крупным компаниям.

Между тем эксперты предупреждают, что хакеры все чаще атакуют кредитно-финансовые организации малого размера, которые не имеют возможности организовать качественную защиту. «Всего лишь одна хакерская группа, действовавшая в России с 2011 по 2013 год, смогла обокрасть свыше 1000 граждан и организаций!» — рассказал Всеволод Иванов. За этот небольшой срок жертвами киберпреступников стали до 50% всех российских банков. Есть все основания полагать, что похищено до $10 млн. Хакеры использовали для таргетированных атак банковский троян Carberp, на который приходится 72% заражений финансово-кредитных учреждений в мире. Существующие антивирусы пока не способны противостоять таргетированным атакам, ведь хакеры планируют свои атаки так, чтобы обходить защиту, признают разработчики антивирусных программ. Еще одно подтверждение — практически во всех банках, где было установлено специальное решение для защиты от целенаправленных атак InfoWatch Targeted Attack Detector, было найдено вредоносное программное обеспечение, которое антивирусные приложения не сумели обнаружить.

Проверку функционала какой-либо программы в изолированной среде (в так называемой «песочнице») тоже можно обойти. Современное злонамеренное ПО вполне в состоянии определить, что его запускают в «песочнице», и оно выдает себя под легитимное. Фильтрация сетевого трафика часто дает огромное количество ложных срабатываний, из-за которых IT-специалист со временем просто перестает обращать пристальное внимание на предупреждения, и использование системы становится неэффективным.

«Наш подход отличается от прочих тем, что InfoWatch Targeted Attack Detector реагирует не на определенные признаки злонамеренного ПО, а на нехарактерные, аномальные изменения в ИТ-системе компании, которые являются следствием действий такого ПО», — подчеркнул Всеволод Иванов. Действия злоумышленников неизбежно приводят к аномальным изменениям в работе хотя бы одной из систем компании. InfoWatch Targeted Attack Detector обнаруживает эти аномалии и тем самым решает главную задачу: позволяет выявить атаку до того, как компании будет нанесен финансовый ущерб.