Эксперты предупредили об угрозе атак на банкоматы перед Новым годом

Эксперты предупредили об угрозе атак на банкоматы перед Новым годом

Эксперты предупредили об угрозе атак на банкоматы перед Новым годом

Перед новогодними праздниками банки и банкоматы уязвимы для атак мошенников, выяснил РБК. ЦБ предупредил банки о возможности атак на банкоматы без физического воздействия — с помощью писем от банков и органов власти.

Крупные российские банки могут подвергнуться масштабной кибератаке перед Новым годом, рассказали РБК специалисты компании Group-IB и «Лаборатории Касперского». Перед праздниками банкоматы заполнены деньгами, а сотрудники банков уделяют меньше внимания безопасности, отмечают специалисты. Среди возможных организаторов атак на банкоматы в Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений, называют международную группировку Cobalt с российскими корнями.

Российские банки извещены регулятором о новом виде мошенничества, сообщил РБК представитель Банка России.

Преступная группа Cobalt начала атаки в июне 2016 года, говорится в расследовании Group-IB (имеется у РБК). Преступники грабят банкоматы без физического воздействия, проникая в локальную сеть банка и получая полный контроль над устройствами, говорится в расследовании Group-IB. По удаленной команде машины начинают выдавать наличность, а заранее подготовленные люди просто собирают деньги в сумки, следует из документа Group-IB, пишет rbc.ru.

В этом году ими уже были атакованы банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.

Чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки по электронной почте письма с вредоносными вложениями. «Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков», — уточняет Group-IB. Но на самом деле письма приходят с двух серверов с программой, изменившей адрес отправителя, при этом ЕЦБ, производитель банкоматов и региональные банки никакого отношения к этой рассылке не имеют.

Оба сервера, с которых рассылались письма, по данным Group-IB, находятся в России. В частности, для распространения вредоносных программ по банкам в русскоговорящем сегменте преступники использовали вложения с названиями «Договор_хранения2016.zip» и «Список документов.doc», говорится в расследовании.

После того как сотрудник банка запускает файл из фальшивого письма, вредоносное вложение загружается в оперативную память компьютера. «Это означает, что после перезагрузки операционной системы атакующие теряли контроль над этим компьютером», — пишет Group-IB. Чтобы «выжить», приложение автоматически прописывалось в автозагрузку. Дальше с помощью разнообразных способов преступники получали доступ к паролям администраторов системы банка. Это могло занимать у них от десяти минут до недели, говорится в расследовании. После атакующие обеспечивали себе удаленный доступ к локальной сети банка и привилегии, позволяющие им делать все, что необходимо для будущей кражи денег из банкоматов. Им требовалось только «закрепиться» и наладить резервные каналы доступа, если подозрительная активность будет замечена службами безопасности банка.

После того как преступники получали контроль над локальной сетью банка, они начинали искать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на устройства программы, позволяющие управлять выдачей наличных, говорится в расследовании.

Один банкомат в несколько минут

Получив доступ к управлению банкоматами, преступники подходили к устройствам по выдаче наличных в разных концах города лишь с мобильным телефоном. «Он что-то сообщал по нему своим партнерам и готовил сумку. Через несколько минут банкомат начинал порциями выдавать деньги. После того как деньги в банкомате заканчивались, человек повторно связывался с партнерами и уходил», — пишет Group-IB. После опустошенный банкомат перезагружался. По данным Group-IB, съемом денег занимались небольшие группы, которые переходили к заранее определенным банкоматам и снимали деньги в течение нескольких часов.

В компании ожидают, что Cobalt может снова активизироваться в России в самое ближайшее время. Группировка начала многочисленные рассылки фишинговых писем с вредоносным вложением в российские банки месяц назад, рассказывает менеджер по развитию международного бизнеса Group-IB Виктор Ивановский. «Думаю, что они готовятся к ограблениям банкоматов к Новому году — это идеальное время для кражи, поскольку банкоматы к праздникам заполнены деньгами по максимуму. Поэтому мы считаем, что российским банкам необходимо повысить уровень бдительности и подготовиться к возможным атакам», — говорит Ивановский.

Атака на сети

Эксперт считает, что под угрозой атаки в первую очередь находятся крупные банки с разветвленной сетью банкоматов — от ста до тысячи. В первую очередь злоумышленники будут подбирать банки со слабыми местами в технической защите, говорит Ивановский.

Поскольку метод Cobalt позволяет опустошить все кассеты банкомата за считанные минуты, то потери банков при атаке группировкой могут быть очень высокими, считает Ивановский. В Европе, по его словам, только с одного банкомата при рабочем уровне загрузки группировка могла получить минимум €100 тыс. «Но атакой одного банкомата операция, как правило, не ограничивается», — предупреждает он.

Ивановский прогнозирует, что в будущем многие грабители сосредоточатся именно на формате краж, как у Cobalt, стараясь свести к минимуму воздействие на банкоматы и проникая в локальную банковскую сеть. «Будущее — это ограбление 30–100 банкоматов одновременно, а не одного», — говорит он.

Поэтому работники банков при малейшем подозрении на вредоносное письмо должные обращаться в службу безопасности банка, даже несмотря на, казалось бы, знакомый домен отправителя, продолжает Ивановский. «Вложения из таких писем открывать ни в коем случае нельзя. Опасность может представлять даже текстовый файл в формате rtf», — говорит он. По словам Ивановского, серьезно снизить возможность заражения поможет всего лишь своевременное обновление операционной системы и браузера.

Первые случаи атак на банки с помощью набора программ Cobalt Strike были зафиксированы еще в 2014 году, рассказывает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. С тех пор активность их использования только растет: программы появились в открытом доступе в интернете и стоят $3,5 тыс., продолжает он. По словам Голованова, ущерб от таких атак применительно к российским банкам может доходить до сотен миллионов рублей и ограничивается только числом тех, кто забирает деньги из банкоматов. Он соглашается с тем, что атака на российские банкоматы может быть предпринята перед Новым годом. «В целом можно сказать, что предновогодние дни период, когда активизируются злоумышленники, так как сотрудники банка, как и все в России, готовятся к длинным выходным и меньше уделяют внимания безопасности», — отмечает Голованов.

При этом угрозу для российских банков конкретно от деятельности Cobalt эксперт расценивает как «среднюю». По его мнению, российские банки по сравнению с многими другими достаточно хорошо защищены от атак. Однако Голованов уточняет, что в каждом случае все зависит от готовности каждого конкретного банка: системы его информационной безопасности, бюджета на IT, подготовки сотрудников.

Банковский и финансовый сектор был главной целью киберпреступников в течение последних нескольких лет. Согласно отчету специализирующегося в сфере информационной безопасности издания Infosecurity финансовые организации подвергаются кибератакам в три раза чаще по сравнению с компаниями в других отраслях. Чтобы противостоять росту киберпреступности, ведущие зарубежные банки увеличивают расходы на обеспечение безопасности в этой сфере. Ожидается, что по итогам 2016 года общая сумма расходов на кибербезопасность в международном банковском секторе составит $8,3 млрд.

Суммы при этом растут из года в год. Так, например, в 2014 году крупнейший американский банк JP Morgan Chase потратил на кибербезопасность $250 млн. Годом позже аналогичная статья для этой финансовой организации составила уже $500 млн (согласно оценке The Wall Street Journal).

Что касается российских банков, по словам руководителя службы кибербезопасности Сбербанка Сергея Лебедя, в 2016 году организация потратила около 1,5 млрд руб. Сумма сравнима с расходами на кибербезопасность в 2015-м, но в два раза превышает потраченные в этой сфере деньги за 2014 год.

ЦБ известил российские банки

Предновогодней активности злоумышленников ждут и в Банке России. «Есть вероятность усиления различных видов атак (включая информационные рассылки, публикации негативного и провокационного характера в социальных сетях, DDOS-атаки, рассылки вредоносного программного обеспечения и так далее) в течение декабря 2016 года», — сообщил РБК представитель ЦБ. По его словам, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) регулярно оповещает всех участников информационного обмена о вредоносных рассылках, в том числе якобы от имени банков или органов исполнительной власти. ФинЦЕРТ является структурным подразделением главного управления безопасности и защиты информации Банка России.

В банках заявляют, что готовы к возможным предновогодним атакам на банкоматы, в том числе по методу Cobalt. «Понимая наличие подобных уязвимостей, ВТБ24 уже предпринял необходимые меры по защите своих устройств», — сказал РБК представитель банка. При этом, по его словам, атаки на банкоматы ВТБ и ВТБ24 без физического воздействия пока не фиксировались.

В пресс-службе «ФК Открытие» РБК заявили, что банку известно о деятельности Cobalt, но практически все письма с зараженными вложениями, которые приходят сотрудникам, отсекаются на уровне почтовых фильтров.

В практике Промсвязьбанка были попытки атак по методу Cobalt, рассказал директор по карточным технологиям банка Александр Петров. «Но в результате работы средств защиты на различных уровнях инфраструктуры банка они все были предотвращены», — добавил он.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В рунете оживились мошенники, продающие водительские права и военбилеты

Эксперты F.A.C.C.T. фиксируют активизацию мошенников, предлагающих услуги по оформлению документов. Судя по публикациям в Telegram, число объявлений о продаже водительских удостоверений за квартал возросло в 2 раза, военных билетов — более чем в 6 раз.

За водительские права просят от 22 тыс. до 90 тыс. руб. (в зависимости от категории), за военный билет с отметкой «не годен к военной службе» — в среднем 110 тыс. рублей. В обоих случаях покупатель теряет деньги и персональные данные, ничего не получая взамен.

Схема развода в целом одна и та же. Продавец уверяет, что фальсификацией он не занимается, документ настоящий и будет официально зарегистрирован (права внесут в базу данных ГИБДД, военбилет — в единый реестр воинского учёта). У покупателя просят предоплату в размере 40-50% и указывают реквизиты для перевода.

Получив деньги, аферист просит предоставить информацию для оформления документа: паспортные данные, фото подписи на белом фоне, сканы страниц паспорта, ИНН, медсправку, которую, впрочем, водитель может здесь же приобрести за дополнительные 5 тыс. рублей.

Полученные данные пересылаются сообщнику-отрисовщику (специалисту по обработке цифровых изображений). Тот создает картинку документа, которая затем высылается жертве в качестве доказательства выполнения заказа.

Далее ей предлагают выбрать способ доставки и требуют полной оплаты, пообещав добавить данные документа в базу. Получив и этот перевод, мошенники перестают выходить на связь.

В IV квартале также получила распространение схема отъема денег с блокировкой телефона жертвы через iCloud. Сценариев при этом множество. Мошенник, например, может обратиться к намеченной жертве через сайт знакомств и от имени привлекательной девушки посетовать, что iPhone вышел из строя.

Теперь придется как-то восстанавливать черновик курсовой, важные документы и т. п.; если собеседник предложит помощь, ему пришлют учетные данные iCloud. После входа телефон жертвы блокируется через настройки, и с нее потребуют деньги за разблокировку (уже другой персонаж).

 

Чтобы заманить владельца iPhone в ловушку, злоумышленники могут использовать другой предлог — оказание помощи в установке приложений, удаленных из AppStore.

По данным F.A.C.C.T., подобного рода мошенничеством, а также продажей поддельных документов, которые так и не доходят до заказчиков, в России занимаются как минимум три криминальных группировки. Одна из них работает с середины сентября и уже успела обмануть более 170 пользователей, суммарно украв у них почти 5,5 млн рублей.

«За любым предложением о покупке документов скрывается множество опасностей, — предупреждает Мария Синицына, старший аналитик в F.A.C.C.T. Digital Risk Protection. — Самая очевидная — угроза уголовной ответственности за приобретение поддельных документов. Вторая — потеря денег. С ней напрямую связана третья опасность: жертва, которую обманули один раз, остаётся на крючке преступников, ведь они получают важные персональные данные человека: его ФИО, номер телефона, сканы паспорта и других документов, которые могут быть использованы для других мошеннических схем».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru