Финансовые организации в 2020 году стали одними из главных объектов кибератак наравне с учреждениями здравоохранения. Мошенники используют все более сложные методы социальной инженерии, чтобы получать доступ к счетам отдельных клиентов или инфраструктуре самой организации. Часто один неосторожный клик по ссылке может повлечь крупные финансовые потери и нанести непоправимый ущерб репутации.

Скрытые угрозы. Пик пандемии совпал с пиком цифрового мошенничества в банковской среде. По данным Банка России, с марта по май злоумышленники провели 160 тыс. операций на общую сумму около 1,5 млрд рублей. При этом количество мошеннических звонков в период самоизоляции выросло на 300% в сравнении с 2019 годом. В то же время выросло число сайтов-имитаций и фальшивых страниц банков в соцсетях.

Рост мошеннической активности зафиксировали не только в России, причем проблема затронула как клиентов, так и сотрудников банков. По оценкам Carbon Black, с февраля по апрель число атак на финансовый сектор в мире выросло на 238%. Количество одних только кейсов с использованием вирусов-вымогателей выросло в девять раз. В целом почти треть атак в 2020-м пришлась либо на сферу здравоохранения, либо на сферу финансов.

К августу число атак на клиентов пошло на спад, но риск столкнуться с мошенниками по-прежнему остается высоким. Под угрозой остаются и внутренние системы банков, поскольку многие сотрудники организаций продолжают работать удаленно.

Фишинг как стартовая точка. Анализ популярных методов атак в 2020-м показывает, что тактики мошенников существенно не изменились. Самыми распространенными методами остаются методы социальной инженерии, в первую очередь различные виды фишинга, как через электронную почту и поддельные сайты, так и через звонки и сообщения в мессенджерах.

При атаках на системы и работников банков наибольшей популярностью у киберпреступников пользуются вирусы-вымогатели, которые позволяют зашифровать данные и потребовать выкуп, удаленно заблокировав работу ключевых систем компании.

Такого результата злоумышленники чаще всего добиваются с помощью социальной инженерии — например, присылают сотруднику фальшивое письмо, предлагая открыть вложенный файл. Доступа в Интернет с рабочего места сотрудника даже не требуется — после открытия файла запускается вредоносная программа, которая шифрует данные компании и блокирует доступ к системе и окружающей инфраструктуре, до которой может добраться. Восстановить данные можно только из резервных копий или заплатив выкуп. Таким же способом распространяют более продвинутые с технологической точки зрения банковские трояны.

Жертвами фишинговых атак становятся не только сами банки, но и подрядчики и производители банковского оборудования. Только в этом году атакам вирусов-вымогателей подверглись производитель банкоматов Diebold Nixdorf, финтех-компания Finastra и IT-компания Cognizant. Предполагается, что мошенникам удалось проникнуть в системы из-за неосмотрительности сотрудников, которые инициировали запуск вредоносных программ.

В 2019 году компания PwC провела эксперимент: она разослала имитации фишинговых писем средним и крупным финансовым компаниям. В результате 70% писем дошли до адресатов, а в 7% случаев получатели перешли по ссылке, причем в банковской отрасли процент открытий был выше.

Эти схемы существуют не первый год, но мошенники постоянно совершенствуют методы и подстраиваются под актуальную повестку. Например, используют жадность — желание человека получить выгоду, предлагая выплаты от государства или бонусы от авиакомпании. Или провоцируют страх, рекомендуя срочно погасить штраф или задолженность по кредиту.

Уровень осведомленности понемногу растет, и клиенты уже распознают классические схемы. Однако приемы становятся все более изощренными. Так, мошенники научились отправлять СМС с официального номера крупного банка прямо в момент разговора с жертвой, чтобы подтвердить подлинность звонка. Они усыпляют бдительность и подводят жертву к целевому действию — например, предлагают «перевести деньги на резервный счет».

Другой пример — на почту клиенту высылают напоминание об обновлении ключей безопасности. Якобы если этого срочно не сделать, то счет заблокируют. Жертва переходит по ссылке и попадает на поддельный сайт банка, который требует ввести персональные данные, включая номер карты и код безопасности. В этом случае мошенники используют комбинацию методов, а именно фишинг и спуфинг (подмена одного сайта другим). Спуфинг также часто применяют для создания фальшивых веб-страниц интернет-магазинов: жертва думает, что оплачивает покупку, а на самом деле предоставляет данные мошенникам.

Самое слабое звено. Если проанализировать все атаки на финансовый сектор за 2020 год, то в большинстве случаев компрометация данных пользователя или организации происходит, как и прежде, по вине человека. Однако в последние месяцы доля людей, которые работают удаленно и пользуются онлайн-услугами, резко выросла, и мошенникам стало проще добраться до своих жертв.

По данным Positive Technologies, 75% российских банков уязвимы для фишинговых атак с использованием электронной почты. При этом больше 90% бюджетов и усилий финансовых организаций направлены на чисто технические угрозы, меры и средства защиты от них.

Использование самых лучших мер и технических средств защиты, безусловно, важно, но ни один производитель ни одного антивируса или межсетевого экрана не гарантирует, что вредоносный файл или ссылка не дойдет до пользователя или что сотрудник не выдаст данные клиентов в ответ на мошеннический запрос.

Команда исследователей в области кибербезопасности, в которую вошли сотрудники Google, PayPal и Samsung, приводит такую статистику:

• стандартная фишинговая атака длится 21 час от первой до последней жертвы;
• детектирование подобных кампаний антифишинговыми средствами происходит в среднем спустя девять часов после визита первой жертвы;
• уже после детектирования должно пройти еще приблизительно семь часов до того момента, как браузер пользователя будет предупреждать его об угрозе при посещении фишинговой страницы.

Поскольку банковские стандарты безопасности требуют обновлений того же антивируса раз в сутки, времени на хорошую целевую атаку у мошенников более чем достаточно.

При этом банки несут колоссальные риски, ведь в случае успешной атаки возможны и прямые финансовые потери, и утечка данных клиентов, и ущерб репутации — в этом случае разбираться с последствиями придется не один месяц.

Большинство мошеннических схем нельзя предотвратить, полагаясь только на технические меры безопасности. Обязательный и самый важный этап — это непрерывное обучение сотрудников и тренировка практических навыков по безопасности.

Обучать сотрудников раз в год, как этого требуют банковские стандарты, хорошо, но недостаточно. Знание самых распространенных схем и умение распознавать киберугрозы важно преобразовать в практические навыки с помощью моделирования опасных ситуаций в защищенной среде. Делать это можно и нужно непрерывно, через имитированные атаки по электронной почте, со ссылками, вложениями, через съемные устройства и другие ситуации, с которыми сотрудник может столкнуться в реальной жизни. Каждая такая атака должна быть направлена на определенные тщательно выбранные психологические векторы атак — страх, жадность, любопытство и другие эмоции, которые могут вызвать мошенники. Только в этом случае можно оценить и повысить реальную готовность сотрудников противостоять современным угрозам.

Регулятор уже обязывает банки «повышать киберграмотность населения», «доводить до клиентов информацию о необходимости неукоснительного соблюдения рекомендаций» и «повышать качество работы операторов в области осведомления своих клиентов в вопросах киберграмотности». К сожалению, часто банки ограничиваются публикацией формальных памяток по безопасности, которые содержат важные знания, но не помогают увидеть примеры реальных атак и сформировать навыки безопасности у клиентов.

Интересное решение нашел Альфа-Банк, который запустил в соцсетях рекламную акцию: подписчикам предлагали перейти по ссылке, чтобы получить выплату в размере 2 020 рублей. После этого пользователь попадал на фальшивый сайт alfaprank.ru. «Привет, этих денег вы не получите. Хуже того, вы могли потерять все, что у вас есть. Так работают мошенники», — сообщалось на странице. Банк также составил гид для клиентов, который рассказывает о популярных видах кибермошенничества — он тоже доступен на «мошенническом» сайте. Хотя эта инициатива и похожа на разовую PR-акцию, она является отличным примером того, как можно перейти от знаний правил к важным навыкам по безопасности, которые формируются у клиента.

Как защититься от фишинговой атаки:

• Если получили необычный запрос по электронной почте, не стесняйтесь перезвонить и уточнить у коллеги или партнера, действительно ли он отправлял его. Не используйте контакты из письма — вместо этого позвоните на личный номер или напишите в корпоративный мессенджер.

• Вас торопят, требуют разобраться с проблемой или срочно что-то решить? Очень вероятно, что это мошенники.

• Вас перевели на удаленную работу? Обязательно уточните прямые контакты руководителя, коллег из технической поддержки и службы безопасности. Не стесняйтесь обращаться к ним в случае любых подозрительных ситуаций: входящих запросов в письмах, странных сайтов, необычных телефонных звонков.

• Если вам звонят и представляются службой безопасности банка, говорят о некой трансакции или взломе, то повесьте трубку, зайдите в мобильный банк или сами перезвоните по номеру, который указан на карте. Только так вы можете быть уверены, что на самом деле разговариваете со своим банком.

Мнение автора может не совпадать с мнением редакции

Сергей Волдохин