Среди тех, кто работает с информационной безопасностью, есть свои ситхи и джедаи: одни взламывают клиентов банков и похищают деньги, вторые – делают все, чтобы этого не случилось. Сегодня уровень защиты информации в финансовой сфере достаточно высок. Требования регулятора, новые уязвимости и угрозы, атаки хакеров – банки в этих условиях должны быть в постоянном тонусе, чтобы не допустить утечек конфиденциальной информации клиентов и защитить их средства.
По статистике Банка России за 2018 год, девять из десяти зафиксированных атак совершались с использованием социальной инженерии. Это отражает современную тенденцию: финансовые организации располагают лучшими технологиями для защиты данных, и поэтому потенциальный злоумышленник скорее всего не пробьется сквозь этот щит. Поэтому они сфокусировали свое внимание на людях.
Клиент – пожалуй, самая уязвимая точка в системе информационной безопасности банка. Не стоит думать, что злоумышленники не знают, на кого они наткнулись и какую систему пытаются взломать. Часто они подготовлены не хуже, чем специалисты в технической поддержке банков, и, соединяя человеческий фактор с техническими знаниями, готовят сценарии атаки, которые в том числе продают другим злоумышленникам.
Новые мошеннические схемы и кибератаки, основанные на применении методов социальной инженерии или использующие уязвимости нулевого дня в программах, появляются постоянно. Срок их жизни в интернете после появления информации о начале атаки обычно недолгий – от нескольких дней до нескольких часов.
За это время банки, регуляторы, правоохранительные органы и эксперты профильных компаний вместе успевают разработать план защиты от угрозы, но, к сожалению, даже за столь небольшое время кибермошенники могут успеть похитить чужие деньги, нарушить стабильность работы критичного сервиса или завладеть чувствительной информацией.
Для того, чтобы предотвратить или минимизировать возможный ущерб от кибератак еще на этапе подготовки, крупные банки стали задумываться о превентивных мерах и использовать новые подходы к защите информации. Так появилась киберразведка.
Творческая операция под прикрытием
В некоторых контекстах киберразведка может восприниматься как синоним к слову «кибершпионаж», которое означает скорее несанкционированный доступ к информации для получения военного, экономического и политического превосходства. В случае с банками киберразведка – это совсем другое. Это комплексный процесс, цель которого – сбор данных из различных доступных источников и их превентивный анализ.
Нужно понять, может ли злоумышленник совершить целевую кибератаку, какими инструментами и средствами для этого он будет пользоваться, какие существующие уязвимости ему в этом могут помочь? Ответы на эти вопросы дают понимание того, какими способами банк может этого избежать или минимизировать возможный ущерб.
В Газпромбанке мы занимаемся киберразведкой самостоятельно и покупаем эту услугу у профильной коммерческой организации. У них есть лаборатории, штат специалистов, которые в круглосуточном режиме занимаются творческим поиском интересующей нас информации.
Киберразведка может выглядеть как настоящая операция под прикрытием, но не каждый человек может этим заниматься – здесь нужна сноровка, коммуникационные навыки и техническая подкованность. Мониторинг хакерских форумов в даркнете, закрытых чатов, телеграм-каналов являются частью этой работы. Но это, конечно, не все: зачастую злоумышленники пытаются действовать, не оставляя следов, и поэтому создают конференции, например, в Jabber (по протоколу XMPP).
Поскольку в Jabber нет логов, злоумышленники могут не опасаться, что процесс расследования после совершенного мошенничества будет легким (а это в принципе трудоемкая процедура). Как ни странно, это помогает не только злоумышленникам, но и специалистам по киберразведке, которые могут выдавать себя за злоумышленников – подключаться к этим конференциям и чатам, чтобы иметь доступ к данным хакеров и использовать их во имя «светлой стороны силы».
Киберразведчик должен действовать быстро: не всегда удается получить доступ к информации злоумышленников в режиме реального времени, зачастую это анализ уже совершенной атаки. Понимание того, что та или иная информация уже достаточно «засвечена» и может быть использована в следующей атаке – это как горячий пирожок, который нужно съесть до момента, пока он не остыл.
Поэтому скомпрометированную информацию нужно как можно быстрее передать той службе, которая примет решение до начала следующей атаки.
Как стать киберразведчиком
К сожалению, сейчас количество вузов, готовящих специалистов по информационной безопасности, сильно сократилось, однако кафедра информбезопасности для киберразведчика – мастхэв.
Нужны также познания в математике, программировании, аналитический ум и своего рода «актерское мастерство» - умение выдавать себя за злоумышленника. Для этого нужно обладать инструментарием социальной инженерии, умением манипулировать в диалоге, располагать к общению, чтобы получать нужные данные.
Киберразведчик должен иметь опыт противодействия атакам, понимать, как они строятся, знать, на что обращать внимание. Объём информации, проходящий через даркнет и другие темные уголки интернета, колоссальный. Хотя и технологии могут помогать в работе, тонкий анализ и окончательное принятие решений всегда остается за человеком.
Конечно, есть методы и средства, позволяющие делать полностью автоматическое журналирование, но их существенно меньше, и они не настолько универсальны, как аналитический ум человека, который со всем этим работает.
Человек должен обладать знанием иностранных языков, поскольку большинство атак планируются, обсуждаются и проводятся из-за пределов России, и, соответственно, их участники находятся в нерусифицированных сегментах интернета. Поэтому злоумышленники могут говорить на китайском, на английском, и даже на каких-то сленговых языках, которые представляют из себя языковую смесь.Специалисту нужно иметь компетенции для общения в этой среде. Он должен стать своим.
Иногда в киберразведчики «вербуются» и бывшие хакеры. В моем опыте встречались случаи, когда человек, будучи хакером, осознал свои ошибки и стал специалистом по информационной безопасности, либо организовывал свою компанию, которая разрабатывает продукты по защите от внешних атак. Но были и примеры, когда человек, занимавшийся информационной безопасностью, переходил на «темную сторону» и становился хакером в свободное от работы время.
Ни одна компания или банк не хотела бы такого допустить, поэтому обычно специалисты по ИБ получают высокие зарплаты и широкие возможности для профессионального развития, чтобы не было поводов смотреть по сторонам. В остальном – все как на войне.
Правила защиты своих денег
Обычно службы информационной безопасности получают мало обратной связи от клиента. Пока у клиента все хорошо, он не обращается ни в банк, ни в колл-центр, ни к своему менеджеру. Примечательно, что даже в случае, когда клиент теряет деньги из-за мошенничества, он не всегда считает нужным оперативно проинформировать банк.
Тем не менее, если клиенты своевременно нам звонят, часто удается предотвратить ущерб. Каким образом? Мы идем по следам денег. Клиент сообщает, что он совершил перевод в тот или иной банк по тем или иным реквизитам. Увидев эти реквизиты своевременно, мы можем оперативно связаться со сторонней службой безопасности и попытаться заблокировать денежные средства от их дальнейшего обналичивания либо перевода в сторонние банки.
В случае, если деньги удалось заморозить на счетах сторонних банков, клиенты пишут заявление в правоохранительные органы, и после получения решение суда либо исполнительный лист о возврате деньги возвращаются на их счет в нашем банке.
Если время, в том числе за счет невнимательности клиента, упущено, и деньги успели обналичить, или мы не смогли их «догнать», и они были переведены во вторые-третьи банки по цепочке, очень сложно в этом случае выявлять реквизиты и писать заявление, поскольку заявление пишется на каждый банк в цепочке, а ключевое решение о возврате принимается последним банком, в который переведены деньги. В этом случае возвращать деньги придется через сложную процедуру с участием третьих сторон и представителей правоохранительных органов и регулятора. Обычно это занимает много времени.
Нужно соблюдать правила информационной безопасности, особенно когда вам кто-то звонит и предлагает мгновенную выгоду. Если вам по телефону делают «уникальное предложение», которое поможет вам разбогатеть в одно мгновение, помните, что бесплатный сыр бывает только в мышеловке.
Если вам звонят и просят назвать номер карты, данные о реквизитах, изображенных на фронтальной либо обратной стороне карты, либо назвать ваш пин-код или какие-то дополнительные данные, например, для входа в интернет-банк, с 99% вероятностью это звонок мошенников. Сообщать никаких данных этим людям нельзя. Это повлечет для клиента угрозу, и время здесь всегда работает против вас, поскольку атаки сейчас происходят практически мгновенно. Хакеры получают от вас данные по карте, тут же они вбиваются в соответствующую форму на сайтах, и совершаются переводы.
Номер телефона, с которого звонят, при этом может быть любым: сегодня в интернете есть сервисы стоимостью от десятков до сотен долларов в месяц, которые позволяют маскировать или изменять реальный номер на любой по желанию. В том числе на короткий номер банка. К сожалению, все розничные банки уже неоднократно с этим сталкивались.
Только в третьем квартале этого года мы смогли выявить более 800 попыток совершения кибератак на клиентов с использованием методов социальной инженерии. При этом, только 40% атак, о которых клиенты сообщили с запозданием, смогли нанести им финансовый ущерб. В среднем, по нашим данным, потери клиентов от одной успешной кибератаки с использованием социальной инженерии в третьем квартале 2019 года составили порядка 40 тысяч рублей, однако размеры спасенных нами средств клиентов Газпромбанка, ставших целями злоумышленников, оцениваются в миллионы рублей.
По статистике, мошенники за этот период пытались похитить деньги в основном совершая операции в интернете по реквизитам скомпрометированных пластиковых карт – доля таких случаев более 50% среди всех зафиксированных. Значительна и доля кибератак с использованием социальной инженерии – 25%.
Всегда нужно помнить, что вы тоже можете стать потенциальной жертвой мошенников. Все процессы и технологии уязвимы, и сегодня нигде не существует абсолютно защищенных систем. Социальной инженерией сейчас занимаются чуть ли не подростки, которые тренируются сначала на своих знакомых, а после этого выходят уже на более серьезных людей, обладающих деньгами. На их месте можете оказаться и вы, и я. Поэтому нужно понимать, что провокация, которая заставляет вас делать те или иные действия, может быть атакой, нацеленной на ваш кошелек.
Источник: vc.ru