Банки не готовы противостоять нарушителям во внутренней сети

Банки не готовы противостоять нарушителям во внутренней сети

Банки не готовы противостоять нарушителям во внутренней сети

Как говорится в исследовании, опубликованном сегодня компанией Positive Technologies, банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер.

При наличии доступа к внутренней сети банка специалистам Positive Technologies удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогли бы вывести деньги последователи группировки Cobalt, использующие аналогичные методы взлома. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены группировки Lazarus и MoneyTaker, было бы возможно в 17% банков.

В 17% банков недостаточно защищены системы карточного процессинга, что позволяет злоумышленникам манипулировать балансом на своих карточных счетах, как мы это видели в начале 2017 года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства более чем у половины банков, протестированных экспертами. В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам.

В отчете отмечается, что уровень защиты сетевого периметра в банках значительно выше, чем в других компаниях: за три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Однако и такой уровень весьма далек от идеала, учитывая высокую финансовую мотивацию атакующих и отсутствие во многих банках практики анализа защищенности кода онлайн-сервисов на этапах проектирования и разработки. При проведении тестов на проникновение во всех случаях получению доступа способствовали уязвимости в веб-приложениях (методы социальной инженерии не применялись). Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.

Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных — протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).

Но самое слабое звено — сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода — фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО — взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.

После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах — для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках — слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.

Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система. Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).

Внутри сети атакующие свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.

«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты, — говорит аналитик Positive Technologies Екатерина Килюшева. — Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники начали атаковать абитуриентов, поступающих на платные отделения

Мошенники начали активно использовать сезон поступления в вузы, предлагая абитуриентам, претендующим на платные места, заранее внести оплату за обучение. Под предлогом «гарантированного поступления» злоумышленники выманивают деньги у поступающих, вводя их в заблуждение и обещая помощь в зачислении.

О появлении такой схемы сообщили эксперты, опрошенные «Известиями». Главный эксперт Московского антикоррупционного комитета, доцент кафедры политического анализа и социально-психологических процессов РЭУ им. Г. В. Плеханова Александр Перенджиев связал эту активность с сокращением числа платных мест во многих вузах и ростом конкуренции среди абитуриентов.

Существование подобной схемы подтвердили изданию основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян и эксперт проекта «За права заемщиков» и платформы «Мошеловка» Александра Пожарская. Она отметила, что мошенники давно используют схожие схемы, включая продажу дипломов, сертификатов и «услуг» по гарантированному поступлению. Также применяются различные методы социальной инженерии, в том числе фишинг и телефонные звонки с целью сбора личных данных.

По словам Пожарской, злоумышленники могут даже показывать поддельные приказы о зачислении или предлагать внести плату за якобы дополнительный набор. Такая практика используется и при «продаже» бюджетных мест.

В свою очередь, Александр Перенджиев напомнил, что оплата обучения осуществляется исключительно после подписания официального договора и только по реквизитам, указанным на сайте университета. Это — необходимое условие для возврата средств в случае расторжения договора.

«Все решения в вузах принимаются открыто, а любые попытки «ускорить процесс» за деньги — это обман», — подчеркнула Александра Пожарская.

Как отметил Ашот Оганесян, чаще всего жертвами мошенников становятся абитуриенты тех вузов, где списки поступающих публикуются с открытыми ФИО. Там, где используются обезличенные идентификаторы, злоумышленникам сложнее получить доступ к данным, и активность снижается.

Тем не менее, как предупредил руководитель направления по детской онлайн-безопасности в «Лаборатории Касперского» Андрей Сиденко, в зоне риска остаются и уже зачисленные студенты. Под видом сотрудников деканата или бухгалтерии злоумышленники могут требовать оплату «дополнительных сборов» или приглашать в фейковые группы в мессенджерах.

Чтобы избежать обмана, эксперты рекомендуют всегда сверять информацию на официальных сайтах вузов — особенно когда речь идёт о платежных реквизитах и сроках оплаты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru