Ежегодные потери банковской индустрии от киберпреступлений достигают $18,3 млн в расчете на один банк, согласно подсчетам Fortunly. В 71% случаев утечка информации из банка происходит из-за хакерских действий. Существуют довольно распространенные схемы, по которым мошенники пытаются атаковать не клиентов банка, а его сотрудников.
Хакеры вместо разбойников с дороги. За последние десять лет произошло огромное количество утечек информации. Киберпреступники действуют таким образом: они взламывают базы данных различных компаний и используют персональную информацию пользователей для того, чтобы получить доступ к их финансовым аккаунтам. Так, два года назад Adobe сообщил о том, что хакеры завладели аккаунтами 38 миллионов активных пользователей. Но самая масштабная утечка информации произошла в компании Verizon, где было зафиксировано 53 тысяч кибератак и 2 216 случаев взлома. В результате мошенники получили доступ к 43 тысячам аккаунтов пользователей.
Обеспечение кибербезопасности стало настоящим вызовом для банков. С распространением онлайн-банкинга риски хакерских атак возросли. Тот факт, что потребители совершают большинство покупок онлайн и полностью зависят от цифровых финансов, делает уязвимыми банковские счета перед киберпреступниками. Отсутствие знаний в области кибербезопасности и недостаточная техническая база являются главной проблемой банков, развивающих банковские услуги онлайн.
Цифровой банкинг сильно востребован в России. По информации Statista, в 2018 году суммарные платежи онлайн составили 1,1 трлн рублей, а в 2019 — уже 1,3 трлн рублей. Для сравнения: в 2013 году их объем составлял 350 млрд рублей.
Кто виноват. По всему миру каждый месяц совершается 30 тысяч фишинговых атак, из них 80% происходят в каналах онлайн-банкинга. Большинство хакерских атак приходится на Citibank, Wells Fargo, Halifax Bank, eBay и Yahoo (данные Secure Science Corporation).
Интересно, что ответственными за киберпреступления зачастую являются сами банковские сотрудники, которые не знакомы с основами онлайн-безопасности.
Смоделируем ситуацию, которая может произойти в любой компании. Один из сотрудников выкладывает в социальных сетях информацию о том, что работает над новым проектом по разработке приложения для проведения платежей. В комментариях ему пишут коллеги, которые в курсе проекта, и они подробно обсуждают детали. Проект не является коммерческой тайной, поскольку сегодня-завтра выходит на рынок, а значит, лишняя реклама ему не помешает. С точки зрения сотрудника, он не совершает ничего предосудительного.
В это время хакер, который уже давно держит в фокусе внимания новости финансового и IT-отделов компании, читает пост и составляет персонализированное письмо. Оно содержит информацию о проекте, поздравления с окончанием работы и прикрепленный файл с расширением exe. Мнимый коллега предлагает ознакомиться со спонсорским предложением в файле.
Учтем, что перед сдачей проекта потенциальная жертва может находиться в состоянии стресса и потерять бдительность. Не проверив лично, от кого на самом деле пришло письмо, сотрудник открывает файл. Дальше — взлом системы, потеря данных, необходимость восстанавливать огромную работу.
Такое киберпреступление относится к категории «фишинг». Статистика показывает, что с каждым годом количество случаев фишинга в банковской среде увеличивается минимум на 20%.
Infosec сообщает, что в 2016 году Лаборатория Касперского зафиксировала 1,09 млн атак на банковские счета при помощи Троянского вируса. В 2017 году количество атак выросло на 30,6%. В 47-48% случаев фишинга жертва получает письмо, содержащее вредоносную ссылку и переадресацию на фейковый банковский профиль, созданный для кражи персональных данных и денег.
Рассмотрим другой пример. В 2014 году группа под кодовым названием Carbanak с помощью фишинговых атак взломала российские банковские сети и украла больше миллиарда долларов. Банковские сотрудники, открывшие письмо злоумышленников, перешли по ссылке, и вирус запрограммировал банкоматы таким образом, чтобы пользовательские деньги попадали не к клиентам, а к преступникам, которые снимали деньги во взломанных устройствах ATM.
Ещё одна подобная Троянская программа называется Dyreza: открыв ссылку в фишинговом письме, банковские сотрудники невольно передавали мошенникам безопасное соединение с банком. По всему миру 100 тысяч банкоматов были запрограммированы на передачу денег преступникам таким образом.
Либо другой пример. В социальной сети LinkedIn сотруднику крупной компании пишет мнимый представитель холдинга. Он сообщает, что составляет договор в рамках совместного проекта двух организаций и просит уточнить некоторые детали для контракта. В частности, ФИО руководителя, дату его рождения и личный (не рабочий) email. Со стороны сотруднику кажется, что в просьбе ничего удивительного нет и он сообщает персональные данные, которые помогают преступникам получать доступ к аккаунтам человека. Хакер взламывает банковский аккаунт компании и снимает деньги со счёта.
В результате описанной схемы бельгийский банк Crelan потерял $75,8 млн. Хакер написал в социальной сети одному из сотрудников финансового отдела и убедил его открыть ссылку, «чтобы принять средства, поступившие из-за рубежа».
Могут ли сотрудники банка предотвратить киберпреступления? Да — если они знают, как работают методы социальной инженерии, когда мошенники пытаются похитить клиентские деньги, манипулируя поведением пользователя.
Что делать. Эдди Шварц, председатель компании ISACA, рассказывал, что 5-7 лет назад его организация регулярно страдала от хакерских атак и проводила тренинги по кибербезопасности для сотрудников раз в год. Проанализировав причины, руководство пришло к выводу, что первопричиной киберпреступлений являются действия сотрудников, которые приводят к печальным последствиям. А это значит, что каждый сотрудник должен посещать тренинги по информационной безопасности минимум два-три раза в месяц. Интересно, что после того, тренинги заметно участились, количество киберпреступлений в ISACA значительно снизилось.
Есть ещё одна мера безопасности, которую нужно соблюдать каждому, кто ответственен за свои и клиентские деньги. Подключаясь к общественному Wi-Fi, вы автоматически оказываетесь в зоне риска и хакерам очень просто снять средства с вашего счета.
Поэтому, по возможности, не проводите транзакции из открытой сети, а если это условие выполнить невозможно, включите VPN и смените ip-адрес — так вас будет сложно обнаружить.
Вот несколько советов для банковских сотрудников — как защитить счета от киберперступников:
- Обращайте внимание на имя домена и мониторьте социальные сети. Чтобы заставить банковских сотрудников открыть вредоносную ссылку с вирусом, преступники стараются составить такие фишинговые сообщения, которые выглядят как официальные корпоративные запросы. Они используют имя домена и ссылки на социальные сети, названия которых (за исключением одной-двух букв иди цифр) дублируют наименования известных организаций. Поэтому сотрудники должны внимательно проверять, реальное ли это имя домена и как много записей на странице в социальных сетях. Так, страница кибермошенников на Facebook будет создана за пару дней до атаки и, скорее всего, содержать 2-3 поста и абстрактные иллюстрации.
- Узнавайте, какие фишинговые кампании происходят в данный момент в мире. Как правило, любая масштабная кибератака вовлекает несколько стран и действует по одному сценарию. Поэтому, узнав, что в соседней стране в онлайн-банкинге произошло кибепреступление, постарайтесь предугадать возможное развитие событий и выработать анти-фишинговый план и даже стратегию восстановления. Так, компания Easysol установила, что мониторинг событий в digital-мире позволяет предотвратить на 50% больше кибератак, чем без отслеживания преступлений, происходящих в конкретное время. Кроме того, эта практика даёт возможность устранить последствия хакерской атаки за треть того времени, которое было необходимо ранее.
- Следуйте электронному стандарту DMARC. Банки по всему миру могут остановить фишинг, внедрив стандарт DMARC. Эта аббревиатура включает в себя следующие понятия: аутентификация сообщения, основанная на имени домена; отчётность; соответствие. Этот протокол уже используют такие email-провайдеры, как Google, Yahoo, Hotmail и Office365.
- Создайте антифишинговую команду. Недостаточно определить, что фишинговая атака произошла. Каждая минута бездействия может стоить денежных средств, снятых с банковских счетов. Поэтому в финансовых институтах нужно создать специальную команду, которая противодействует фишингу. Отдел должен включать команду по мгновенному отслеживанию инцидентов в сфере компьютерной безопасности, кризисную команду PR-менеджеров, а также корпоративного консультанта-координатора работы отдела.
Автор — специалист по in-bound маркетингу в компании Techwarn Анастасия Шкуро
Во времена финансовых кризисов банкирам важно оставаться в курсе текущих новостей. Подпишись на наш телеграм – канал Frank RG (https://t.me/frank_media) чтобы оперативно получать данные о ситуации в банках и экономике. Не пропусти, когда начнется!
