Вход в тест-сектор
Логин:
Пароль:

Хакеров не обошли молчанием. Атаку группировки Silence на банки заметил ЦБ

   Российские банки подверглись массовой атаке хакеров - ЦБ сообщил о фишинговых рассылках группировки Silence. Интересна атака не только масштабом (только Сбербанк получил 1,5 тыс. писем с вредоносными вложениями), но и тем, что рассылка шла с серверов в России. Сейчас в Госдуме находится законопроект, который даст возможность ЦБ блокировать фишинговые сайты и сможет эффективнее защитить рынок от подобных атак. Но для этого проект необходимо доработать, в том числе с учетом опыта последних рассылок, отмечают эксперты.
   На прошлой неделе ФинЦЕРТ (подразделение ЦБ по кибербезопасности) разослал по банкам бюллетени о фишинговой рассылке Silence. В частности, в рассылках от 16 января (есть в распоряжении "Ъ") регулятор отмечает массовое распространение вредоносного ПО от имени несуществующих кредитных организаций - банков ICA, "Урал Развитие", "Финансовая перспектива", CCR, ЮКО, "БанкУралпром", а также якобы от организаторов финансового форума iFIN-2019.
   Текущая рассылка выделяется по нескольким параметрам. Первый - охват. В частности, Сбербанк фиксировал получение фишинговых писем в течение нескольких дней до 18 января включительно. "На средствах защиты по состоянию на 18 января зафиксированы и успешно заблокированы 1,5 тыс. вредоносных писем, имеющих отношение к рассылке Silence,- отметили в банке.- Рассылка продолжается, мы осуществляем усиленный контроль развития данной серии атак". О получении и успешной блокировке писем из фишинговой рассылки говорят также в Газпромбанке, Райффайзенбанке и Московском кредитном банке, отмечая, что ни сотрудники, ни клиенты не пострадали.
В ЦБ "Ъ" пояснили, что атака превышала стандартные масштабы, но "чрезвычайно большого объема" писем не было.
   Во-вторых, в атаке использовалась качественная социальная инженерия, что нехарактерно для Silence. "Достаточно серьезно вкладываясь в инструменты, эта группировка обычно очень мало модифицирует и усложняет "социальный" вектор рассылки, используя типовые фишинговые уловки,- отметил операционный директор центра мониторинга и реагирования на кибератаки "Ростелеком-Solar" Антон Юдаков.- Однако на этот раз присутствовал крайне правдоподобный текст письма, идеально повторяющего официальное приглашение на профильную конференцию". По его словам, усовершенствованный социальный вектор существенно повышает результативность рассылки.
   В-третьих, атака проведена с использованием серверов на территории РФ. В информационном бюллетене от 16 января ФинЦЕРТ указано, что для данной рассылки использовались, в частности, и домены из зоны .ru (fpbank.ru, bankurs.ru, ccrbank.ru). В ЦБ подтвердили "Ъ", что в организации атаки были задействованы в числе прочего серверные мощности с IP-адресами в российской зоне интернета.
Законопроект, дающий регулятору право самостоятельно блокировать подобные фишинговые ресурсы, позволит ускорить реагирование на атаки подобного рода, отметили в ЦБ. Речь идет о документе, который даст возможность ЦБ самостоятельно подавать в суд иски по блокировке сайтов, информация на которых может привести в числе прочего к хакерским атакам .
   Однако для эффективной борьбы с фишинговыми рассылками законопроект потребуется доработать. "В текущей версии блокировка опасного ресурса возможна в течение нескольких дней, тогда как при фишинговой рассылке наибольшее количество опасных писем открывается в первые часы,- отметил руководитель аналитического центра Zecurion Analitics Владимир Ульянов.- Для эффективной защиты необходима возможность реагировать в течение нескольких часов".
   Кроме того, проект позволяет блокировать только сайты, содержащие опасную информацию, а для фишинговой рассылки нет необходимости создавать сайт, достаточно зарегистрировать домен и создать почту. "Важно, чтобы была возможность блокировать домены и в таких случаях,- уверен руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.- Кроме того, часто легально работающие сервисы не уделяют внимания безопасной настройке почты, и злоумышленники получают возможность отправлять почту через них, в том числе и с поддельным адресом отправителя".

Источник: Коммерсант https://www.kommersant.ru/doc/3859561


 


Реклама