ИТ / Статьи
информбезопасность технологии
13.12.2017

8 главных трендов в сфере киберпреступлений

Что нового готовят в 2018 году цифровые злоумышленники?

Преступники активно делятся способами мошенничества в Сети, выкладывая исходные коды вредоносных программ. Утечки нередко сопровождаются описаниями процесса взлома устройств. Индустрия кибернападения пополняется экспертами с низким техническим IQ. Rspectr нашел [1] основные тенденции в сфере высокотехнологичных преступлений.


Тренд №1

Кибероткрытость

В октябре 2017 года сотрудники МВД задержали в одном из российских регионов неопытного злоумышленника, который пытался взломать банкомат с помощью видеоинструкции. Оказалось, что оборудование для изъятия денег он купил в интернете за 5 тысяч долларов. О технологии запуска зловреда сообщали эксперты «Лаборатории Касперского».  

Незаконной деятельностью в Сети начинают заниматься люди без специальных навыков. Сегодня у каждого есть возможность приобрести в интернете готовый инструментарий и совершать технически сложные преступления. Можно даже не покупать, а арендовать банковский ботнет.  

Киберпреступники все чаще публикуют открытый исходный код вредоносного ПО. Хакеры либо сами разглашают такие данные, либо происходит утечка. Много средств для проведения атак выложила группировка The Shadow Brokers. Mirai обнародовал код IoT-бота.  

Правоохранительные органы говорят о широком распространении концепции «преступление как услуга». Мощный стимул к развитию средств нападения дает и все большая автоматизация способов атак.

[1] Эта информация содержится в отчете одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий Group-IB за 2017 год.  


Служба информационной безопасности Сбербанка ежедневно фиксирует около 2 тыс. обращений клиентов, связанных с мошенничеством в отношении физлиц.


Тренд №2

Прогосударственные хакеры

Раньше кибертеррористы были ориентированы исключительно на похищение денежных средств. В уходящем году было совершено много целевых атак на финансовые институты с политическими целями. Их организаторов теперь интересует конфиденциальная информация – о топ-менеджерах, о VIP-клиентах, движении денежных средств.

Специалисты Group-IB обратили внимание на группу Lazarus, атакующую банки и финансовые учреждения по всему миру, и выложили на своем сайте отчет по ее деятельности. Известно, что эти хакеры связаны с разведкой Северной Кореи. Одно из масштабных преступлений Lazarus – попытка украсть в феврале 2016 года почти 1 млрд долларов из центрального банка Бангладеш.

По мнению основателя Group-IB Ильи Сачкова, стоит познакомиться с этим отчетом, чтобы понять, как будет выглядеть доставка вредоносного кода в 2018 году.
Как правило, большинство компаний имеют системы безопасности. Но не все понимают, от чего нужно защищаться, а также плохо представляют, что такое кибертерроризм сегодня, какими инструментами пользуются мошенники, отмечают в Group-IB.

В основе политики информационной безопасности, в первую очередь, должны лежать знания о враге, напоминают аналитики. Ни одна военная организация в мире не работает без разведки.

При построении модели угроз в российских компаниях не стоит опираться на данные из интернета и маркетинг. Эффективнее посмотреть на специфику доставки вредоносного ПО в 2017 году и сопоставить с собственной архитектурой безопасности, а потом, если нужно, изменить конфигурацию защиты.

В Госдуме находится законодательная инициатива о закреплении обязанности кредитных организаций иметь инструменты по борьбе с кибермошенничеством (антифрод). Первое чтение документа запланировано на январь 2018 года. Таким образом, в России намерены создать единый ландшафт по антифрод-деятельности в финансовой сфере.

По данным МВД России , в первом полугодии 2017 года зафиксирован прирост обращений на мошенничество в соцсетях на 30%. По статье 272 УК РФ зарегистрировано 722 преступления, по статье 273 – 470 преступлений, по статье 159 прим 6 – 1288 инцидентов.


Тренд №3

Диверсия как способ замести следы

Если раньше преступные группы, украв деньги, успокаивались, то теперь после успешной операции мошенничества принято дестабилизировать работу в месте хищения. Например, запускать вирусы-шифровальщики. Это помогает хакерам предотвратить расследование.

После восстановления работы по причине диверсии большинство цифровых доказательств, как правило, уже уничтожено, также потеряно время. В 2018 году таких инцидентов будет больше, считают эксперты, и банки должны к этому готовиться.

Одним из возможных сценариев диверсии могут быть торги на биржах от имени финансовой организации с целью влияния на курсы валют.

В некоторых банках еще верят, что антивирус спасет от доставки вредоносного кода. Однако в Group-IB напоминают, что это давно не так. Преступники при выпуске цифрового оружия тестируют его на всех антивирусных базах и моделируют в работе популярных «песочниц».

Иногда в компаниях с подачи специалистов по маркетингу говорят, что для борьбы с неопознанными вирусами будут использовать машинное обучение (ML). Стоит отметить, что компьютерные преступники уже с 2005 года применяют ML для обхода антивирусных блокировок. У Group-IB есть отчет, как популярный зловред Anunak успешно справляется с установленной защитой.  

Руководитель службы информационной безопасности Сбербанка Сергей Лебедь: «80% всех цифровых атак на клиентов кредитной организации совершаются с помощью методов социальной инженерии».


Тренд №4

Энергетика — полигон для испытаний кибероружия

По всему миру участились атаки на критическую инфраструктуру. В июне 2017 года произошло масштабное нападение с использованием новой модификации шифровальщика Petya. Расследование показало, что за инцидентом стоит группа Black Energy. Жертвами атаки стали 80 компаний по всему миру. В России пострадали Роснефть, Башнефть, Хоум Кредит Банк и другие. Также атаки затронули энергокомпании Великобритании и Ирландии.

В ноябре вирус-шифровальщик Bad Rabbit атаковал инфраструктуру метрополитена, аэропорта и других объектов на Украине. Компания Group-IB провела технический анализ вредоноса и передала данные специальному подразделению международной полиции, которое курирует расследования киберпреступлений – INTERPOL Global Complex for Innovation.

Програмы-шифровальщики были известны давно, но стали массовыми после революции в способах распространения этих троянов, говорят эксперты.
Group-IB и Интерпол договорились о сотрудничестве для борьбы с киберпреступностью, подписав в ноябре 2017 года соответствующее соглашение.  

Руководитель департамента по гарантированию доходов и управлению фродом ОАО «Мегафон» Сергей Хренов: «Во время одной из атак банковского трояна оператор заблокировал более 30 млн SMS за неделю».


Тренд №5

Банковский сегмент — смена тактики

Общий размер хищений в банках сокращается. Вместе с тем сместился акцент целевых атак. Хакеры обратили внимание на карточный процессинг, тогда как ранее мошенников больше интересовал интернет-банкинг. Метод становится самым интересным для профессиональных инженерных групп с высоким IQ, говорят аналитики. В первую очередь потому, что он дешев и прост в применении.

Чтобы оставаться незамеченными, хакеры используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки.

Карточный процессинг менее защищен, нежели SWIFT (Society for Worldwide Interbank Financial Telecommunications — Общество всемирных межбанковских финансовых каналов связи). Хищения при этом можно осуществлять трансгранично, то есть обналичивать денежные средства в другой стране. Эксперты прогнозируют распространение такого мошенничества в регионах России.

На процедуре карточного процессинга сконцентрировалась хакерская группа MoneyTaker, которая неоднократно организовывала целевые кибератаки на российские банки.

Тренд №6

Переход в криптоиндустрию

Хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки, биржи, фонды), где сосредоточено больше денег. В частности, для атак на пользователей криптовалют перепрофилируются трояны TrickBot, Vawtrak, Qadars, Triba, Marcher и др.

Воровать биткоины стало проще, а законодательство никак не защищает жертв операций. К тому же уровень зрелости информационной безопасности в блокчейн-компаниях ниже, чем в кредитных организациях. Средний доход одной преступной группы в месяц может составлять 1,5 млн долларов, сообщил И. Сачков на форуме.

Особенности блокчейн-технологий способствуют анонимности и значительно снижают риск для злоумышленника быть пойманным при обналичивании.

Биткоины находятся в обращении, несмотря на пробелы в законодательстве. По словам эксперта, криптовалюту можно легко поменять на настоящие деньги в тысяче российских обменных пунктов. Можно заказать пластиковую карту для совершения таких операций всего за 12 долларов, которая будет работать в любом банкомате.

Тренд №7

Андроид под прицелом

Банковское сообщество в РФ научилось бороться с троянами. Большинство преступных групп, внедрявших такие программы, было осуждено в последние 5-6 лет. Трояны для персональных компьютеров (ПК) уходят в другие страны. Со временем, конечно, они модифицируются и будут расти, комбинируя атаки с функциями самораспространения.

В 2017 году на 136% вырос ущерб от троянов под Android. Этот вид мошенничества превысил урон от подобных вирусов для ПК на 30 процентов.
МВД России и Group-IB недавно ликвидировали группу CRON, которая заразила вредоносным ПО миллион смартфонов.

Android-трояны популярны из-за распространенности ОС. В России эта операционная система стоит на 80% смартфонов. При проникновении вируса любое устройство может быть монетизировано, даже если в нем нет интернет-банкинга. Часто это происходит после того, как пользователя просят привязать карточку к Google play.

Многие новые банковские Android-трояны создаются русскоговорящими разработчиками. Раньше крупных клиентов чаще атаковали через SMS-банкинг. Теперь опасность подстерегает пользователей при переводе денег с карты на карту. Есть и другие схемы хищений – поддельный мобильный банкинг, покупки с помощью Apple Pay и др.  

Android-трояны часто ориентированы на извлечение конфиденциальных данных пользователей.  

Компаниям нужно усиливать защиту приложений, чтобы сохранить бизнес. После недавней огласки факта кражи из базы данных Uber личной информация 57 млн человек (в ноябре 2017 года) 52% пользователей сервиса удалили приложение из смартфона.

Новое осознание ценности персональных данных наступит после введения норм GDPR [2], считают эксперты.

[2] Регламент Европейского союза по защите данных (General Data Protection Regulation, GDPR) вступит в силу 25 мая 2018 года. Закон ЕС за несоблюдение принципов защиты данных предусматривает большие штрафы — до 4% мирового годового дохода компании или 20 млн евро.


Независимый эксперт в области информационной безопасности, до 2017 года – начальник управления безопасности АО «НСПК» Василий Окулесский: «Имеет место методологическое противоречие. Антифрод построен на том, что защищены интересы банков, а атаки совершаются на клиента. Пока объект атаки не защищен, социальная инженерия будет расцветать пышным цветом».


Тренд № 8

Фишинг – массовая угроза

Ежедневно жертвами финансового фишинга [3] в России становится более 900 клиентов банков. В среднем 10-15% посетителей мошеннических сайтов попадаются на уловку преступников и вводят свои данные.

79% фишинга приходится на финансовые (31%) и почтовые (24%) сервисы, облачные хранилища (24%).

Жертв этого вида мошенничества в три раза больше, чем обманутых в сегменте банковских ПК и Android-троянов. Ущерб от фишинга, по мнению экспертов, однозначно перекроет потери от троянов для ПК.

Хакеры смогли автоматизировать фишинг под банки и платежные системы. Многие вредоносные сайты имеют поддельный SSL-сертификат [4].

Новой точкой роста для хищений с банковских счетов могут стать домашние роутеры, обновлением которых никто в России не занимается, рассказали в Group-IB. Хакеры взламывают эти устройства и меняют маршрутизацию. В итоге пользователь, заходя на легальный сайт, попадает на другой IP-адрес.

В Минкомсвязи проходит согласование законопроект Банка России, касающийся регулирования в отношении сайтов, якобы предоставляющих услуги финансового характера, а по сути являющихся фишинговыми ресурсами. Часто они существуют вне доменных зон, находящихся в юрисдикции РФ. Таким образом, ЦБ старается создать условия, при которых злоумышленникам будет невыгодно комфортно работать на территории нашей страны.

[3] вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

[4] Протокол SSL (Secure Sockets Layer), использующийся для защиты данных в интернете и гарантирующий безопасное соединение между браузером пользователя и сервером.



Изображение: freepik.com, RSpectr

Еще по теме

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы

Как искусственный интеллект меняет банковскую систему РФ

Как проходит цифровая трансформация отечественного госсектора

Процесс замены иностранного софта близится к завершению – и это вызов

Почему отраслевые облачные платформы экономят время и деньги компаний

Настоящее и будущее искусственного интеллекта в управлении

Насколько эффективной будет маркировка синтезированного нейросетью контента

Каковы перспективы трансфера технологий госуправления в другие страны

К чему приведет новый всплеск интереса к метавселенным

Что мешает отечественным разработчикам цифровых решений

Каким должен быть современный продакт-менеджмент в мире облачных технологий

Безопасная разработка софта и как она помогает бизнесу сэкономить деньги

Как ИТ-технологии меняют логистические процессы