DDoS, рассылки СМС и фишинговые сайты из Африки: банки рассказали о кибератаках

Промсвязьбанк  

По словам Дмитрия Миклухо из Промсвязьбанка (ПСБ), ряд важных факторов, повлиявших на уязвимость банков в прошлом году, появились еще несколько лет назад: это и глобальный переход на удаленную работу и, как следствие, увеличение числа способов возможного входа во внутреннюю систему банка; это и нехватка кадров в сфере информационной безопасности и IT, а также уход вендоров с российского рынка, которые предоставляли решения в этой области. 

Под мощные кибератаки Промсвязьбанк попал еще в августе-сентябре 2021 года, так как является банком по обслуживанию гособоронзаказа. После того как ПСБ попал под еще большее количество санкций, атаки увеличились: это были как низкоуровневые DDoS-атаки, так и атаки на уровне приложений, интернет-банкинга и 3D-Secure. Основная цель, по словам Дмитрия Миклухо, сделать так, чтобы банк перестал функционировать, соответственно, нарушив работу гособоронзаказа. 

Газпромбанк 

Александр Бабкин из Газпромбанка (ГПБ) отмечает, что до 2022 года таких крупных кибератак кредитная организация на себе не ощущала. С конца февраля 2022 года начались «простые», низкоуровневые атаки. Затем они были усилены целенаправленными атаками на сервисы как для клиентов-физлиц и юрлиц, так и для удаленной работы сотрудников, число которых выросло из-за пандемии коронавируса в 2020-2021 годах. 

«Мы отбивались от DDoS-атак где-то до середины апреля — начала мая. Потом атаки стал более изощреными — с инфраструктурного уровня вирус-атак на каналы они перешли на DDoS-атаки на прикладном уровне, стали использоваться достаточно хитрые схемы», — отмечает он. 

На майских праздниках в 2022 году банк подвергся беспрецедентной DDoS-атаке — «она шла по всем фронтам»: по всем сервисам, по всем бизнес-процессам. Это повлияло на клиентский сервис, из-за чего многие клиенты банка начали звонить в колл-центр кредитной организации. «Они просто обрушили контактный центр», — восклицает Александр Бабкин. Помимо «естественных» звонков были и искусственные — мошенники начали атаку на IP-телефонию банка. 

Затем последовала атака на систему СМС-информирования. Граждане, которые иногда даже не являлись клиентами Газпромбанка, получали СМС, что якобы им был предодобрен кредит, из-за чего они также начали массово звонить в колл-центр ГПБ, тем самым накрыв его «второй волной» мощной атаки. В сентябре-октябре работа банка перешла в стандартное русло. 

Сбербанк 

В свою очередь Кирилл Вальтц из Сбербанка отмечает, что в первом полугодии 2022 года кибератаки на банк в основном были массовыми, но не целенаправленными. Во второй половине года мошенники перешли «от количества к качеству». «Мошенники проводили разведку инфраструктуры, атаки были хорошо скоординированы», — отмечает он. Злоумышленники пытались найти «дыру» в средствах защиты банка. 

Одной из проблем, с которой столкнулся банк, Кирилл Вальтц назвал уход вендоров и труднодоступность их продуктов. Однако даже после получения обновлений программного обеспечения (ПО) кредитная организация должна была внимательно проверить устанавливаемое ПО, чтобы не допустить утечки информации. 

К тому же «Сбер» столкнулся с ростом фишинговых сайтов, которые использовали символику крупнейшего российского госбанка. До 2022 года таких ресурсов почти не было, а в третьем-четвертом квартале 2022 года резко начали расти. Чаще всего такие сайты регистрировались на доменных зонах стран Африки — Мали, Габон и так далее. 

По словам Кирилла Вальтца, сейчас злоумышленники все чаще атакуют банки через их партнеров или через их экосистему. Такой тренд продолжится и в 2023 году.