В современном цифровом мире в основе безопасности лежат знания. Технологии абсолютно ничего не значат, если мы не знаем, кто враг, как он действует и какие инструменты использует. О том, кто такие киберпреступники, чего они добиваются и как с ними бороться, мы и поговорим. В фокусе – опасности для финансовых институтов, инвестиционных и юридических компаний, индустрии управления благосостоянием.

Это было похоже на глобальную эпидемию: в мае этого года всего за сутки вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошёлся по сетям университетов и школ в Китае, заводов Renault во Франции, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД РФ не могли выдавать водительские права. За разблокировку компьютеров преступники требовали сравнительно небольшой выкуп – от 300 до 600 долл. – и за день, по оценкам экспертов, заработали всего 6 тыс. долларов. Сумма для киберпреступности смехотворная, но история WannaCry наглядно показала, насколько уязвим современный цифровой мир.

WannaCry, по счастью, обошёл стороной Кипр – один из крупнейших международных финансовых хабов, – но это совсем не значит, что киберпреступники не проявляют интереса к местным финансовым институтам и компаниям. В конце прошлого года, оказавшись жертвой другого, не менее коварного вируса-шифровальщика CryptoLocker, местный интернет-ритейлер был вынужден выплатить выкуп в 10 тыс. долл., а судоходная компания не пожалела за возврат своих данных 60 тыс. евро.

Разумеется, это не все опасности. По информации нашего подразделения киберразведки (Threat Intelligence Group-IB), преступникам удалось скомпрометировать (похитить) данные пары сотен банковских карт двух крупных кипрских банков – Bank of Cyprus и Hellenic, а также учётные записи для входа в личные кабинеты ряда финансовых и инвестиционных компаний, телекоммуникационного оператора, интернет-магазинов и государственных сервисов, например, платёжной системы социального страхования.

За 14 лет расследований компьютерных преступлений Group-IB накопила огромную базу данных. С самого начала мы собирали не трояны и сигнатуры, а информацию о хакерах: в базе Group-IB имеются сведения о более чем 100 000 преступных групп и персоналий. Мы мониторим закрытые хакерские форумы, наблюдаем за активностью преступников, отслеживаем появление новых вредоносных программ.

КТО ТАКИЕ ХАКЕРЫ И ЧЕГО ОНИ ХОТЯТ?

На заре своей кинокарьеры Анджелина Джоли (в фильме Hackers – прим. ред.) сыграла девушку-хакера Acid Burn, которая вместе с друзьями – компьютерными гениями разоблачает главу компьютерной безопасности крупной нефтедобывающей корпорации. Долгие годы хакеры представлялись в романтическом образе этакого благородного взломщика-гика. В реальной жизни большинство хакеров – преступники и воры, мастерски овладевшие современными цифровыми инструментами для совершения как самых «обычных» преступлений – краж, мошенничества и вымогательства, так и более сложных – промышленного шпионажа и кибердиверсий.

Время хакеров-одиночек, взламывающих сети телефонных станций, прошло. Преступность в области информационных технологий стала организованной, транснациональной. Киберпреступность может позволить себе инвестировать в технологии больше, чем некоторые технологические гиганты. Очень крупные компании тратят миллионы, сотни миллионов на компьютерную безопасность, но и они не застрахованы от проблем. Взломщики используют глобальную сеть и информационные технологии для того, чтобы воровать деньги – удалённо и максимально безопасно.

Сейчас мы много слышим о всесильных «русских хакерах», которые якобы взломали серверы Демократической партии США, базу WADA, сеть Бундестага и – совсем недавно – штаба кандидата в президенты Франции Эммануэля Макрона.

С одной стороны, 85% всех расследований касаются русскоговорящих групп (под «русскими хакерами» понимают выходцев из стран постсоветского пространства), замечает Тролс Ортинг, глава Центра по борьбе с киберпреступлениями Европола. СССР и правда славился сильной школой подготовки технических специалистов. Некоторые из них, к большому сожалению, перешли на «тёмную сторону».

С другой стороны, под «русских хакеров» сейчас пытаются маскироваться многие группы, которые занимаются кибершпионажем в интересах различных иностранных государств. Например, северокорейские хакеры из группы Lazarus или их «коллеги», близкие к американским спецслужбам – АНБ и ЦРУ, которые, судя по последним утечкам, имели технические возможности маскировать свои атаки под действия «русских хакеров».

Давайте начистоту: кибершпионаж, попытки атак на критические объекты инфраструктуры (аэропорты, вокзалы, ГЭС) – это важная проблема, но с точки зрения статистики она редко встречается. Почти 99% всех киберпреступлений в мире, как показывает наш мониторинг киберугроз, сегодня связаны с воровством денег. Пусть вас не удивляет столь высокий показатель: компьютерная преступность стремится к максимальной монетизации и минимальному риску. Компьютерный преступник не может заработать, атаковав энергообъект. У него просто нет мотивации это делать – там нельзя заработать, а опасность уголовного преследования максимальная. Есть тысячи других методов заработать больше, не привлекая к себе внимания.

В докомпьютерную эпоху преступников в большинстве случаев интересовали деньги и материальные ценности. Времена изменились, но мотив преступлений остался прежним: жажда наживы. Только деньги из банковских хранилищ взломщики выносят через другие двери – электронные. За время своей работы мы провели сотни расследований. Мы хорошо знаем, как действуют хакеры, и понимаем, какое количество компьютеров они заразили и сколько денег украли. Это колоссальные цифры. Криминалисты Group-IB однажды следили за хакером, который на кражах в интернет-банкинге зарабатывал до 20 млн долл. в месяц. Ещё одна преступная группировка заразила полтора миллиона бухгалтерских машин!

А значит, в основном нужно думать о том, как защитить те или иные электронные активы. Большинство серьёзных преступных групп в первую очередь интересуются следующим:
атаки на системы банкинга для юридических и физических лиц;
атаки на платёжные системы;
атаки на банкоматные сети;
атаки на сами банки – воровство с корреспондентских счетов;
атаки на смартфоны – позволяют воровать и вымогать деньги;
криптолокеры – вирусы-шифровальщики, которые шифруют данные и требуют выкуп.

Кипр известен своими финансовыми институтами, инвестиционными и юридическими компаниями, развитой индустрией управления благосостоянием, поэтому мы подробнее остановимся на угрозах, характерных для этих сфер.

УГРОЗЫ ДЛЯ WEALTH MANAGEMENT

Для индустрии управления благосостоянием каждая кибератака обходится в среднем в 3,8 млн долл., и ущерб растёт год от года. Но бывают случаи, когда информация стоит дороже денег. Вспомните «Панамский скандал» – утечку документов панамской юридической фирмы Mossack Fonseca, – затронувший сотни самых влиятельных людей планеты. Поэтому Group-IB рекомендует хайнетам (High Net Worth Individual или HNWI – в индустрии финансовых услуг – лицо с большим личным капиталом – прим. ред.) и их консультантам в первую очередь защитить от киберпреступников три стратегических цели: деньги, информацию и... своё личное пространство.

Если кибератака уже произошла, почти треть хайнетов, согласно результатам наших опросов, не обращаются в свою службу безопасности или к своим управляющим. Да, эти люди часто входят в «ближний круг», порой им открывают многие личные и деловые секреты, но их не рассматривают в качестве советников по кибербезопасности.

Первое, что необходимо сделать – создать в компании собственный отдел информационной безопасности. Вам нужен «киберконсильери» (от «консильери» - итал. consigliere – советник мафиозной семьи в Италии, человек, которому глава клана - дон - может доверять и к советам которого прислушивается) – эксперт, которому вы доверяете информационную безопасность своего бизнеса и личного пространства. Это может быть эксперт-консультант или авторитетная security-компания. Он может работать в штате или на аутсорсинге. Главное – «киберконсильери» должен знать, что угрожает именно вам и как от этих угроз защититься. А если инцидент уже произошёл – как «потушить пожар», минимизировать убытки и сохранить цифровые доказательства для расследования.

Во-вторых, нужно провести тщательную инвентаризацию всей своей IT-инфраструктуры. Особое внимание стоит обратить на защищённость веб-ресурсов (86% веб-ресурсов содержат как минимум одну критическую уязвимость) и сетевую инфраструктуру компании – публичный Wi-Fi с доступом в корпоративные сегменты; облако, в котором хранится доступная для сотрудников информация; незащищённые резервные копии.

В-третьих, следует позаботиться о «цифровой гигиене» сотрудников. Сотрудник, который использует Wi-Fi в публичных сетях, – потенциальная жертва. Если хакеры взломают его почтовый ящик, они получат доступ не только к переписке, контактам или банковским выпискам, которые приходят на почту, но и пароли от разных сервисов, привязанных к данному ящику. Для того чтобы избежать подобных неприятностей, пригласите специалистов по информационной безопасности провести в компании мастер-классы. Пусть они расскажут, как происходит заражение компьютера через почтовую рассылку или почему так важно использовать двухфакторную аутентификацию. Это азы цифровой гигиены, но без их понимания невозможно противостоять преступникам.

Если компания хорошо защищена, преступники попробуют зайти через компании-контрагенты, аудиторов, юристов. Мошенники часто взламывают почту партнёров и присылают поддельный договор и счёт на оплату с реквизитами.

Недавно в Литве задержали мошенника, которому удалось таким образом похитить у двух американских IT-компаний 100 млн долларов. Он создал фиктивную фирму-клон азиатского производителя компьютерного оборудования. От имени представителя этой компании он, подделав электронные письма и бланки, связался с её американскими клиентами и убедил их заключить с ним контракты и перевести на счета его фирмы 100 млн долларов.

Воруют не только деньги, но и информацию. Например, взламывают почту юриста, чтобы получить доступ к конфиденциальной информации, или адвоката, чтобы быть в курсе ситуации по судебному разбирательству. Кибератаки в последнее время стали стандартным способом ведения конкурентной борьбы.

БАНКИ ПОД ПРИЦЕЛОМ

В июле 2016 года к банкомату First Bank на окраине Тайбэя подошёл мужчина в маске. Он позвонил кому-то по телефону, и банкомат за несколько минут выдал ему все наличные деньги. То же самое происходило у четырёх десятков других банкоматов First Bank. Преступники выпотрошили их почти на 2,2 млн долл. и скрылись. Полиция терялась в догадках: на корпусах банкоматов не было ни следов взлома, ни накладных устройств – скиммеров (миниатюрное считывающее переносное устройство, которое может крепиться к банкомату и помогать мошенникам воровать данные банковских карт – прим. ред.). Злоумышленники даже не использовали банковские карты.

То, с чем столкнулся First Bank, называется логической атакой. Её суть в том, что киберпреступники получают доступ к локальной сети банка и удалённо дают банкоматам команду на выдачу денег. Сообщники взломщиков – «мулы» – забирают деньги и передают их организаторам атаки. Таким образом Cobalt – самая активная и опасная преступная группа – меньше чем за год атаковала банки в двух десятках стран.

Есть и много других разновидностей целенаправленных атак. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платёжным шлюзам и карточному процессингу. Целевые атаки сейчас представляют для банков наибольшую опасность – ущерб по ним в прошлом году вырос почти на 300%. Одна из атак стоила российскому банку 140 млн руб., а общая сумма хищений выросла, по нашим оценкам, до 2,5 млрд руб. Большинство целевых атак появились в России – все свои новые вирусы, программы, шаблоны атак хакеры сначала обкатали на российских банках и, натренировавшись, переключились на международные финансовые учреждения.

В феврале 2015 года впервые в мире троянская программа Corkow (Metel) получила контроль над терминалом для торгов на различных биржевых рынках и выставила заявок на сумму в несколько сотен миллионов долларов. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 руб., а продавать по 62 руб. Инцидент принёс российскому банку огромный ущерб, хотя заработали на нём не хакеры, а случайные трейдеры. Почему же целевые атаки настолько успешны, и что банки могут им противопоставить?

Количество целевых атак на банки будет только расти. Получив успешный опыт в атаках на банки России и Украины, хакеры уходят в другие регионы мира. Мы видим, что преступники настойчиво ищут инсайдеров в банках для сбора информации и организации первичного заражения. Поэтому важно, чтобы банки тщательнее отбирали своих сотрудников и регулярно проводили обучение персонала. Это касается не только тренингов по вопросам целевых атак, фишинга* и социальной инженерии, но и «боевых учений» – банкам нужно самим периодически имитировать целевые атаки, фишинговые рассылки.

Вторая причина успеха целевых атак – излишняя вера компаний в то, что стандартные средства защиты, такие как лицензионный и обновлённый антивирус, последняя версия операционной системы, использование межсетевых экранов (Firewall) или средств предотвращения утечек (DLP) остановят злоумышленников на одном из этапов развития атаки. Это не так.

Расследования инцидентов показывают, что на заражённом компьютере практически всегда была установлена антивирусная защита популярных производителей, а инфраструктура организации достаточно хорошо защищена системами обнаружения вторжений и другими техническими и программными средствами.

Конечно, стопроцентной гарантии от целевых атак на банки не существует, но снизить риски и повысить эффективность защиты банков вполне возможно. Лучше всего это позволяет сделать Threat Intelligence (киберразведка) – система сбора, мониторинга и анализа информации об актуальных угрозах, преступных группах, их тактике, инструментах. Услуги Intelligence-компаний востребованы зарубежными, а в последнее время – и российскими банками. Например, у крупного английского банка восемь (!) поставщиков данных Threat Intelligence. Одни Intelligence-компании специализируются на уязвимостях «нулевого дня» (От англ. zero day – термин, обозначающий неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы – прим. ред.). Другие – на кибертерроризме. Третьи – на китайских хакерах. Если информацию об угрозах подтверждают два источника – к ней больше доверия, три – ещё лучше. Чтобы объединять и анализировать данные разных источников, используются Threat Intelligence платформы – TIP.

Подписчики нашего сервиса Threat Intelli-gence узнали о тактике и механике атак Cobalt ещё летом 2016. Наши консультации помогли нескольким банкам вовремя остановить атаку, полностью очистить сеть и закрыть атакующим доступ к банкоматам. Быть на шаг впереди хакеров значит сохранить свои деньги.

КАК НЕ СТАТЬ ЖЕРТВОЙ АТАКИ

В заключение хотелось бы дать несколько советов, которые, я уверен, помогут сделать вашу жизнь безопаснее.

Шаг 1: изменить отношение к собственной цифровой безопасности

Позиция «Меня это не касается» или «Мы надёжно защищены» уже не работает. Киберпреступники идут в ногу с техническим прогрессом, а в ряде случаев и опережают его. Не так давно исследователи «умного дома» подключили к интернету тостер – за полдня его пытались взломать 300 раз! А первая попытка произошла спустя всего 41 минуту после подключения.

Большинство атак происходит автоматически, и вы при этом можете не видеть их и оставаться под впечатлением, что вы в безопасности. При этом хакеры найдут применение взломанному устройству, даже если это – на первый взгляд, никому не нужный тостер. После заражения оно станет частью многотысячного ботнета** и само превратится в «зомби» для взлома новых устройств или проведения DDoS-атак***. В ноябре 2016 года состоялась такая атака на пять крупнейших российских банков. В ботнет из нескольких десятков тысяч устройств входили камеры видеонаблюдения и подключённые к интернету телевизоры.

Наше присутствие в интернете – это дом, где мы живём: здесь лежат наши деньги и хранятся наши секреты. Мало того, что дом открыт и зайти в него может любой желающий, – мы сами приглашаем в него мошенников и аферистов, кликая по ссылкам в письмах от незнакомцев или устанавливая фитнес-трекер в телефон, совершенно не задумываясь, действительно ли этому приложению нужен доступ к контактам, камере и чтению сообщений. Если вы – публичная фигура, обладаете крупным капиталом, который можно похитить, или информацией, за которую можно просить выкуп, – вы в зоне особого риска.

Шаг 2: Знать и уметь

После того, как поменяется отношение к вопросам кибербезопасности, можно переходить к следующему шагу – повышению осведомлённости. Нужно учиться самим, обучать членов своей семьи и своих топ-менеджеров и сотрудников. Детям следует объяснить, какие риски стоят за размещением в Instagram фотографии с папиной яхты и почему не стоит писать в Facebook о том, как скучно дома одной, когда родители ушли на благотворительный бал. Топ-менеджерам и сотрудникам нужно знать, что никогда нельзя открывать ссылки и вложенные файлы в письмах от неизвестных и малоизвестных отправителей.

Человек по-прежнему остаётся слабым звеном, и чем больше сотрудников в компании, тем выше риск. Без осознания того, что эта проблема реальна, не помогут никакие тесты на проникновение и аудиты информационной безопасности.

Шаг 3: Быть во всеоружии

В мировой практике основные меры, предпринимаемые семейными офисами для киберзащиты, сводятся в первую очередь к безопасному хранению информации, выработке общей стратегии безопасности, обучению персонала, активному мониторингу и анализу существующих угроз, а также привлечению профессиональных консультантов. В арсенале крупного собственника, кроме налогового юриста, специалиста по инвестициям и частного банкира, неизбежно появится «киберконсильери» – защитник от киберугроз.

У айтишников есть старая шутка о том, что системные администраторы делятся на две категории: те, кто ещё не делает бэкапы, и те, кто их уже делает. Учитывая то, как мир изменился за последние пару десятилетий, привлечение эксперта по кибербезопасности практически неизбежно. Для кого-то этот момент наступит только после близкого знакомства с хакерами («русскими»).

Руслан Юсуфов
директор по работе с частными клиентами Group-IB
Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

* От англ. phishing – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей – прим. ред.

** От англ. botnet (robot+network) – компьютерная сеть, состоящая из нескольких устройств, на которые установлено программное обеспечение для удалённого управления.

*** От англ. Distributed Denial of Service – хакерская атака на вычислительную систему с целью довести её до отказа, выполняемая одновременно с большого числа устройств.

Регистрация:
Письмо в произвольной форме на адрес Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. или телефонный звонок 97745594, 25 590530 (Ирина Патсалиду). Вам вышлют регистрационную форму и объяснят, как оплатить участие в семинаре.