В Центробанке рассказали, как мошенники приспособились к пандемии

[Finance]

Атаки киберпреступников на банки в 2020 году практически не имели успеха, при этом мошенники переключили свое внимание на клиентов кредитных организаций, главным образом на граждан, а основными каналами атак стали телефон и Интернет. Такие выводы содержатся в обзоре «Основные типы компьютерных атак в кредитно-финансовой сфере в 2019—2020 годах», подготовленном центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) департамента информационной безопасности Банка России.

Так, в 2020 году ЦБ выявил и отправил на блокировку 26,4 тыс. телефонных номеров, с которых мошенники обзванивали клиентов банков. Это на 86% больше, чем годом ранее.

Также в прошлом году ЦБ инициировал блокировку примерно 7,7 тыс. мошеннических сайтов. Регулятор отмечает двукратный рост числа выявленных поддельных сайтов банков: в 2020 году обнаружены и отправлены на блокировку 1 034 таких интернет-ресурса против 561 годом ранее. В начальный период пандемии — с марта по май — Банк России инициировал блокировку 2,2 тыс. мошеннических сайтов, которые касались темы COVID-19.

«Рост телефонного мошенничества и увеличение числа мошеннических сайтов определенных видов связаны прежде всего с пандемией и переходом экономической деятельности в онлайн. Пик активности злоумышленников как по количеству несанкционированных операций, так и по объему средств пришелся на конец марта — начало апреля, то есть на время максимально строгого локдауна», — отмечают в Центробанке.

По словам заместителя председателя Банка России Германа Зубарева, «наиболее острой остается проблема телефонного мошенничества», для решения которой «необходима координация взаимодействия всех заинтересованных организаций, в том числе операторов мобильной связи и государственных структур, а также активная работа со стороны банков по информированию своих клиентов о рисках обмана».

В разделе обзора, посвященном приспособлению мошенников к условиям пандемии, отмечается, что «в условиях распространения коронавирусной инфекции на территории Российской Федерации в марте 2020 года был зафиксирован рост числа кибератак на различные сервисы дистанционного обслуживания. Основная причина такого роста — введение большинством организаций кредитно-финансовой сферы режима удаленной работы. Многие граждане находились дома (на самоизоляции) и активно использовали банковские приложения для оплаты различных услуг… В период борьбы с COVID-19 Банк России зафиксировал (в сравнении с аналогичным периодом прошлого года) значительный рост количества фишинговых рассылок; появление новых видов вредоносного программного обеспечения; активизацию хакерских группировок».

В Центробанке отметили некоторые особенности компьютерных атак на инфраструктуру финансовых организаций и их клиентов в период карантина.

Во-первых, полностью перестали фиксироваться атаки ранее известных групп или атаки с использованием их традиционных для последних лет инструментов Buhtrap, Cobalt Strike, Silence и иных. При этом отмечено появление как минимум одной новой группы, активно совмещающей методы социальной инженерии и использование вредоносного программного обеспечения. По мнению ЦБ, это «весьма угрожающая» тенденция. Как следует из описаний, в рамках этой схемы организациям сначала рассылаются письма от имени известных компаний без вредоносного ПО «для пробуждения интереса», а уже потом, на этапе переписки, внедряются «зловреды».

Во-вторых, у ЦБ есть основания предполагать появление высококвалифицированной группы, специализирующейся на глубоком анализе мобильных приложений для дистанционного банковского обслуживания в целях обнаружения и эксплуатации слабостей, уязвимостей, особенностей клиент-серверного взаимодействия, которые позволяют получить не только персональные данные клиентов, но и в некоторых случаях — возможность хищения денежных средств. В обзоре приводятся подробности двух инцидентов и уточняется, что это не единичные случаи, в связи с чем ФинЦЕРТ «настоятельно рекомендует организациям усилить меры» по защите мобильных составляющих систем ДБО.

Третья тенденция связана с тем, что в общем потоке поступающих в ФинЦЕРТ от участников информационного обмена образцах вредоносного кода почти полностью исчезли программы-шифровальщики и стали преобладать программы класса шпионского вредоносного ПО. «Злоумышленники переориентировали свою деятельность на использование программ-шпионов с целью осуществления удаленного доступа к информационным системам организаций и последующего получения данных компаний для извлечения материальной выгоды. Прежде всего это связано с тем, что большинство организаций перешли на удаленный режим работы. Так, в 2020 году по сравнению с 2019 годом был зафиксирован двукратный рост использования шпионских программ», — рассказали, в частности, в ЦБ.

По мнению регулятора, этот тренд демонстрирует значительно возросший спрос криминальной индустрии на конфиденциальные данные финансовых (и не только) организаций, их сотрудников и клиентов.

Что касается социальной инженерии в период пандемии, то одним из популярных приемов стало использование таких тем, как компенсации, государственные пособия и государственная поддержка. «Злоумышленники выманивали персональные данные и денежные средства у граждан под видом предоставления или помощи в получении мер государственной поддержки. Также активно появлялись сайты организаций без соответствующей лицензии, предлагающие гражданам легкий заработок на финансовом рынке. Наиболее часто встречающимися направлениями фишинговых сайтов в этот период являлись интернет-магазины (48%) и социальные службы (43%)», — рассказали в Банке России.

Источник: Banki.ru