ЦБ предупредил о хакерах, взламывающих мобильные приложения банков

ЦБ предупредил о появлении группировки хакеров, изучающей уязвимости мобильных приложений банков. Он привел два примера взлома - с хищением данных и денег. Популярность в пандемию приобрели и вирусы-шпионы в рассылках по компаниям
Банк России зафиксировал смещение внимания хакеров с банковской инфраструктуры на финансовые мобильные приложения клиентов с целью кражи данных или денежных средств со счетов. Регулятор предполагает, что на финансовом рынке появилась высококвалифицированная хакерская группировка, которая специализируется на глубоком анализе мобильных приложений в целях обнаружения и эксплуатации слабостей и уязвимостей. Об этом говорится в обзоре ЦБ "Основные типы компьютерных атак в кредитно-финансовой сфере в 2019-2020 годах".Обзор составлен на основе информационного обмена ЦБ с участниками финансового рынка. К нему в настоящий момент подключены 818 организаций, в том числе 365 банков."Имеющиеся в распоряжении Банка России данные позволяют сделать предположение о появлении как минимум одной группы атакующих, сосредоточившихся на квалифицированном взломе финансовых мобильных приложений", - говорится в обзоре. ЦБ привел два примера, когда киберпреступники обнаружили уязвимости мобильных приложений и использовали их для взлома. В результате в первом случае в Сети был опубликован сервер, содержащий файлы с персональными данными клиентов одного из банков - более 100 тыс. строк: Ф.И.О., пол, номер мобильного телефона, адрес электронной почты, место работы, номер счета и банковской карты, тип счета, валюта. Во втором случае хакерам удалось похитить денежные средства: для этого они заходили в мобильное приложение банка и при проведении перевода подменяли свой номер счета на номер другого клиента банка, который становился жертвой.
"Два приведенных примера не являются единственными случаями атак на мобильные приложения финансовых организаций, произошедшими за последнее время", - уточняется в обзоре. В связи с этим ЦБ рекомендует банкам усилить меры, направленные на обеспечение защищенности мобильных компонентов систем дистанционного банковского обслуживания (ДБО).
В феврале 2021 года ЦБ предупредил банки о схеме мошенничества, с помощью которой злоумышленники похищали средства со счетов юрлиц, вводя в мобильном приложении при отправлении денежных средств вместо номера своего счета номер жертвы. Летом 2020 года ЦБ обнаружил схему похищения денежных средств со счетов физических лиц при использовании мобильного банка и Системы быстрых платежей. Киберпреступникам также удалось вместо своего номера отправителя средств указать номер другого клиента.
Атаки на инфраструктуру банков
На фоне роста активности в мобильных приложениях ЦБ отмечает многолетнее снижение числа наиболее опасных целевых атак со стороны известных хакерских группировок на информационную инфраструктуру банков вплоть до их почти полного прекращения. "Массовые рассылки вредоносных программ типа Cobalt Strike и Silence, привлекавших особое внимание индустрии информационной безопасности в прошлые годы, по спискам адресов сотрудников почти прекратились", - говорится в обзоре. К причинам ЦБ относит улучшение защищенности информационных инфраструктур финансовых организаций; функционирование системы информационного обмена банков с ЦБ, благодаря которой об атаках становится известно всем ее участникам за короткий период времени. "В результате усилия и средства (хакеров. - РБК), затраченные на подготовку атаки и рассылку ВПО (вредоносного программного обеспечения), оказываются потерянными", - объясняется в обзоре. Еще одна причина - постепенное выбывание участников и партнеров преступных групп в результате действий правоохранительных органов разных стран."В современных эпидемических условиях, сложившихся в России, возрастает количество компьютерных атак, а также появляются новые риски в кредитно-финансовой сфере. Прежде всего это объясняется тем, что ввиду пандемии люди были переведены на режим самоизоляции, и это обусловило необходимость более активного использования дистанционного формата приобретения товаров, выполнения работ и оказания услуг", - отметил ЦБ.
В 2020 году на фоне перехода большинства организаций на удаленный режим работы был зафиксирован более чем двукратный рост использования вредоносного шпионского программного обеспечения по сравнению с 2019 годом. Такие программы распространяются путем рассылки зараженных электронных писем и позволяют хакерам получить удаленный доступ для кражи данных к информационным системам компаний, если их сотрудник откроет письмо и заразит компьютер. "Криминальная индустрия нуждается в данных о клиентах финансовых организаций и о самих организациях для успешного использования в схемах атак с применением методов социальной инженерии. Списки клиентов с персональными данными - это самый популярный товар на криминальных ресурсах в течение последних полутора лет", - объяснили в ЦБ рост популярности шпионского ПО. Этот вид вредоносов стал самым популярным в 2020 году - его доля в общем числе рассылаемых вирусов составила 58%. В 2019 году лидерство было у программ-шифровальщиков (50%), которые к концу 2019 года практически полностью ушли из арсенала атак хакеров на банки. В мире же число такого ПО только увеличивается. "Очевидного и простого объяснения наблюдаемому явлению не имеется. Можно предполагать, что операторы программ-шифровальщиков <...> начали исключать финансовые организации из списков своих целей в связи с низкой результативностью", - сообщается в обзоре.
В 2019-2020 годах основной угрозой для клиентов банков - юридических лиц продолжала оставаться группировка RTM (сокращение от самоназвания Remote Transaction Manager), которая благодаря рассылке вирусов для заражения компьютеров получает доступ к системам дистанционного банковского обслуживания. За 2019-2020 годы "ФинЦЕРТ" получил информацию о 225 атаках группы. В среднем фиксировалось две-три атаки еженедельно.
ЦБ назвал "весьма угрожающим" появление в мае 2020 года группировки, которая активно совмещала методы социальной инженерии (обман и введение в заблуждение) и использование рассылки вредоносного ПО при атаке на финансовые организации. Так, злоумышленники рассылали письма от имени одной из платежных систем и журналиста, в котором сообщалось о якобы проводимом исследования банковского сектора. Если жертва вступала в переписку, то последующие письма от мошенников содержали ВПО, которое запускало программу-вымогателя. Также были выявлены рассылки от имени "Норильского никеля", "Финаудитсервиса" и Российского союза промышленников и предпринимателей.
В 2020 году ЦБ инициировал блокировку 7,7 тыс. сайтов, из которых 6,2 тыс. являлись мошенническими сайтами, маскирующимися под продажу авиа- и железнодорожных билетов, сервисы карточных переводов и обменники. Также было заблокировано 1034 сайта лжебанков и 45 сайтов лжестраховых организаций, что в два раза превышает показатель 2019 года, 114 ресурсов - в категории "Профессиональные участники рынка ценных бумаг" (двукратное снижение количества), 83 - в категории МФО, 148 - в категории сайтов с ВПО (их число снизилось в 7,5 раза по сравнению с 2019 годом).
Число атак с использованием методов социальной инженерии в 2020 году выросло на 88% по сравнению с 2019 годом. В 89% случаях в 2019-2020 годах для связи с жертвой злоумышленники использовали телефонные звонки, около 16% произошедших инцидентов связаны с получением гражданами мошеннических СМС или сообщений в различных мессенджерах.
За 2020 год "ФинЦЕРТ" направил на блокировку операторам связи 26 397 телефонных номеров, что превышает показатель предыдущего года на 86%.
Источник: РБК: https://www.rbc.ru/finances/23/03/2021/6058e0ef9a79478f68308d71