rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Финансовые потери от крупнейших кибератак 2013 года. Российский сценарий

Уходящий 2013 год запомнился множеством событий в информационной сфере, от разоблачений Эдварда Сноудена и обнаружения схемы кибершпионажа Red October до идейного кибертерроризма мусульман против американских банков и стремительного взлёта криптовалют в цене. В большинстве случаев неясно, какой именно ущерб нанесла успешная кибератака, зачастую неизвестно даже, была ли такая атака успешной. Очень сложно, например, понять, кому и какой вред успел причинить «Красный Октябрь». Вполне вероятно, что о многих атаках мы узнаем только много лет спустя, когда уже будет обнаружено их непосредственное влияние, как это было с червём Stuxnet, на годы замедлившим ядерную программу Ирана. Однако хакерские атаки в финансовой сфере обладают одной особенностью по сравнению со всеми остальными: их последствия относительно легко подсчитать, и хотя определение репутационных потерь и упущенной выгоды остаются чистой спекуляцией, конкретные финансовые потери поддаются измерению и прогнозированию. Более того – благодаря тому, что наша страна была в основном не затронута крупнейшими атаками на кредитно-финансовые учреждения, у нас есть уникальный шанс оценить угрозы заранее.

Для примера рассмотрим три вида кибератак на финансовые организации, прогремевшие за последнее время и потенциально угрожающие нашей стране. 

Массированные DDoS-атаки против крупнейших североамериканских банков, начатые группой Кибервоинов Изза ад-Дина аль-Кассама ещё осенью прошлого года, продолжаются до сих пор – сейчас проводится четвёртая фаза операции Ababil. Подводя итоги первых трёх фаз, нужно отметить, что более 46 финансовых организаций подверглись более 200 DDoS-атак различной степени тяжести. Разумеется, за время «четвёртой волны» количество жертв увеличилось, но для предварительной оценки нам хватит и имеющихся данных. Несмотря на заявления о том, что ситуация находится под контролем, или отсутствие комментариев, многие онлайн-сервисы были выведены из строя на часы или даже дни. Атаки застали свои цели врасплох, чем можно объяснить первоначальный успех, впрочем, после каждой паузы между фазами атакующие использовали новые технические мощности и ноу-хау, постоянно улучшая свой ботнет и привлекая в него новые силы. Впрочем, многие атаки были отражены после тщательного изучения каждого из подходов. Однако ущерб был нанесён. Сами атакующие оценивают минуту успешной DDoS-атаки в 30 тысяч долларов ущерба для жертвы, что вылилось, по их подсчётам, в 615 миллионов 600 тысяч долларов (615,600,000$). Истинные мотивы и цели этих атак остаются под вопросом – по заявлениям самой группы кибервоинов, так они заставляют американцев платить за размещение в сети и одобрение фильма «Невинность мусульман», однако никаких чётких доказательств причастности этой группы к Ирану или исламскому миру не обнаружено. Зато аналитик компании Gartner Авива Лайтан (Avivah Litan) в интервью с Information Security Media Group рассказала о новой мошеннической схеме, используемой киберпреступниками в сочетании с DDoS-атаками. Точные потери от таких нападений не разглашаются, но, по словам Авивы Лайтан, за последние 3-6 месяцев они уже составили миллионы долларов. 

Разумеется, обрати преступники внимание на российские банки, убытки были бы несколько меньше просто за счёт меньших объёмов экономики, но если сравнить прибыль крупнейших банков стран за 2012 год, Сбербанка и Bank of America (примерно 36% против 100%), то можно предположить, что при подобном сценарии атаки на наши финансовые организации ущерб от одних только DDoS-атак составил был более 220 миллионов долларов (200,000,000$). Что самое интересное, группировка Anonymous Caucasus («кавказские анонимы») действительно предприняла подобные атаки 1 октября 2013 года, но масштабы пока что крайне малы и несравнимы с проблемами, доставшимися на долю США. Однако все предпосылки для повторения их сценария у нас есть, тем более что даже такая невыразительная на фоне Кибервоинов Изза ад-Дина аль-Кассама атака имела некоторый успех за счёт внезапности. К сожалению, на чужих ошибках мы учиться ещё не привыкли. Сейчас – самое время учесть чужой опыт, пока ещё не возникла необходимость учиться на своих ошибках. 

Более изощрённые атаки имеют своей целью похищение или модификацию данных в глубине инфраструктуры банков и процессинговых центров. Обычно мошенники крадут деньги со счетов или забирают персональные данные держателей банковских карт с целью последующей наживы. Но в феврале этого года международная киберпреступная группа провела изощрённую атаку, всего за несколько часов похитив около 45 миллионов долларов (45,000,000$) из тысяч банкоматов в 21 стране мира. На первом этапе киберпреступники получили несанкционированный доступ к информации о банковских картам через процессинговый центр в США и банк Bank of Muscat в Омане. Далее, хакеры подняли предел выдачи денежных средств на похищенных счетах и разослали информацию своим агентам по всем миру, которые впоследствии закодировали полученные данные на магнитных картах. Используя всего лишь 12 счетов, исполнители во всех странах одновременно начали снимать деньги с банкоматов в их регионе, при этом не затрагивая настоящие деньги на счетах у владельцев карт, данные которые были украдены, что не позволило инцидентам быть достаточно оперативно обнаруженными. В одном лишь Нью-Йорке преступники успели обработать 2904 банкоматов, похитив около 2 миллионов 400 тысяч долларов (2,400,000$). Нью-Йорк также стал единственным городом, где шестерых из семерых исполнителей этой атаки удалось предать правосудию, так как они не позаботились скрыть свои лица от установленных в банкоматах видеокамер. Организаторы атаки остались неизвестны. 

Самые грубые подсчёты с использованием данных о количестве банкоматов на душу населения за 2009 год (174 в США против 76 в России) показывают потери более 1 миллиона долларов (1,000,000$) в случае снятия наличных в банкоматах отечественного города по такой мошеннической схеме и с участием всего семерых исполнителей. На самом деле можно предположить более высокий уровень риска – ведь за прошедшие годы количество банкоматов в нашей стране росло очень высокими темпами, в отличие от соответствующего показателя в США, в отличие от затрат на полицейский аппарат. Эта атака – не первая среди подобных. Имеются все шансы на её повторение в том числе и на территории нашей страны. 

Самый интересный тип атаки, не очень часто звучащий в средствах массовой информации по причине относительной новизны, это атаки исключительно на программное обеспечение банкомата. Появившиеся много лет назад в странах Южной Америки трояны с восточноевропейским корнями вроде «Чупакабры», заражавшие устройства специальным кодом, позволявшим считывать и данные карты, и вводимые пинкоды, чем успешно заменяли физический скиммер, ушли в прошлое. Не получил особого распространения и «штучный подход» вроде использовавшегося год назад в Иркутске, где группа сервисных инженеров установила на подотчётный банкомат собственный купюроприёмник и зачислила себе более 10 миллионов рублей с помощью одной-единственной пятитысячной купюры. Сейчас в мире появилась более серьёзная опасность для программного обеспечения банкоматов. Обнаруженный в Мексике троян Ploutus, после заражения банкомата отключавший установленный на нём антивирус и позволявший злоумышленникам снимать любое количество наличных денег по запросу - http://www.safensoft.ru/archiv/n/821/1677 - уже обзавёлся интерфейсом на английском языке и направляется на международный рынок. 

С точки зрения обналичивания денег с заражённых банкоматов ситуация не слишком отличается от предыдущего случая. Группа из семи человек всё так же смогла бы за несколько часов опустошить банкоматы более чем на 1 миллион долларов (1,000,000$). Однако у нашей страны есть нюанс. Для успешного заражения компьютера банкомата таким трояном необходимо, чтобы на банкомате была установлена либо традиционная антивирусная защита, либо не присутствовала никакая информационная защита вовсе. Инциденты вроде перепрограммирования банкомата или взлома платёжного терминала студентом-первокурсником заставили ведущих игроков рынка задуматься о проактивных способах защиты для их устройств самообслуживания. Но «купольное» решение, обеспечивающее защиту целостности среды устройств самообслуживания, уже установлено более чем на половине всех банкоматов России, так что средний ущерб от такой атаки на данный момент не должен превысить 0,3 - 0,5 миллиона долларов (300,000$ - 500,000$). С дальнейшим активным внедрением подобных решений для защиты программного обеспечения банкоматов поверхность атаки в стране будет уменьшаться до уровня, когда подобная схема станет просто-напросто невыгодной. 

Таким образом, рейтинг первоочередных опасностей в области кибератак для нашей страны сейчас выглядит так: 

Первое место – массированные DDoS-атаки на онлайн-сервисы банков с параллельным проведением более тонких мошеннических операций по образу операции Ababil. Такая атака может затронуть до 50 банков, нанеся более 200 миллионов долларов финансового ущерба.

Второе место – заражение программного обеспечения банкоматов специальным вредоносным кодом вроде Ploutus, не обнаруживаемым антивирусами или активно отключащим эти самые антивирусы. Одна волна заражения банкоматов подобным программным обеспечением с последующей кражей наличных денег способна затронуть до 3000 банкоматов, при этом с учётом российской специфики заражение успешно произойдёт примерно в 50% случаев, что снижает количество заражённых банкоматов до 1500 и потери от одного «обналичивания» до полумиллиона долларов.

Третье место – многоярусная атака на банк, процессинговый центр и банкоматы одновременно, сложная в реализации но крайне выгодная для мошенников. Успешно проведённое нападение затронет до 3 тысяч банкоматов и приведёт к потерям больше миллиона долларов. 

Отдельным пунктом необходимо отметить постоянно существующую угрозу непосредственного взлома ИТ-инфраструктуры организации, взаимодействующей с банками и платёжными системами, с последующей кражей данных с кредитных и дебетовых карт. Последней в череде таких атак стал взлом сети розничной торговли Target, обнаруженный в декабре 2013 года. Этот взлом позволил атакующим завладеть до 40 миллионов записей клиентов, использовавших терминалы самообслуживания в магазинах сети, содержащих все необходимые данные для создания фальшивой банковской карты с настоящими деньгами на счету. Потенциальный финансовый урон от таких атак стремится к бесконечности. С учётом того, что российские торговые сети стремительно развивают безналичные платежи, актуальность таких атак на наши торгово-розничные сети также стремительно растёт. 

В долгосрочной перспективе для нашей страны второе и третье место меняются местами – за счёт инноваций в защите устройств самообслуживания мы становимся более защищёнными перед атаками на сами банкоматы, однако уязвимости в ИТ-инфраструктурах финансовых организациях остаются хотя бы в самых минимальных размерах, чем злоумышленники будут продолжать пользоваться до полноценной консолидации игроков финансового рынка с целью обмена опытом.

Редактор раздела: Алена Журавлева (info@mskit.ru)

Рубрики: Финансы, Безопасность

Ключевые слова: информационная безопасность сетей, информационная безопасность защита, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, безопасность, информационная безопасность, сетевая безопасность, системы безопасности, защита персональных данных, персональные данные

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

18.01.2024 ИТ-2023: скорость движения вперед кратно выросла

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга