Банк России: целевые атаки на финансовые институты почти прекратились

Банк России: целевые атаки на финансовые институты почти прекратились

Банк России: целевые атаки на финансовые институты почти прекратились

По оценке Банка России, в прошлом году количество атак, нацеленных на кражу ПДн клиентов кредитно-финансовых организаций с помощью социальной инженерии, существенно увеличилось. Возрос также спрос на такую информацию и услуги по оценке состояния банковских счетов. Число целевых атак на банки с использованием вредоносных программ продолжает снижаться; взломы сетей таких учреждений стали редким явлением, и ущерб от них минимален.

Таковы выводы, приведенные Центробанком в обзоре (PDF) «Основные типы компьютерных атак в кредитно-финансовой сфере в 2019–2020 годах». Учащение атак на клиентуру банков регулятор связал с переводом деловых операций в дистанционный формат из-за COVID-19.

В подтверждение тенденции к снижению хакерской активности в сфере финансов ЦБ приводит такие цифры: в прошлом году от банков было получено 968 сообщений об атаках с использованием вредоносных программ и выявлено 1300 образцов зловредов (в основном шпионов); годом ранее эти показатели составили 1723 и 1581 соответственно. Доставка вредоносов через рассылки на email-адреса сотрудников теряет популярность; шифровальщиков стало заметно меньше, атаки на банкоматы почти прекратились, — зато появились хакеры, специализирующиеся на взломе банковских мобильных приложений.

По мнению экспертов ЦБ, сокращения числа целевых атак на банки удалось добиться благодаря развитию систем управления информационной безопасностью банков и повышению профессионального уровня их сотрудников. Пресечь вредоносную активность на ранней стадии также помогает информационный обмен через автоматизированную систему обработки инцидентов, работающую на базе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (АСОИ ФинЦЕРТ). Российские правоохранительные органы тоже вносят свою лепту, воюя с организованной преступностью в тесном контакте с зарубежными коллегами.

В условиях всеобщего перехода на удаленку злоумышленники переключили свое внимание на клиентов финансовых институтов — по данным ЦБ, количество таких инцидентов за год выросло на 88%. Пытаясь заполучить ключи к банковскому счету, авторы атаки, как правило, используют элементы социальной инженерии и предпочитают вступать в контакт с намеченной жертвой, используя телефонную связь.

В 2020 году Банк России выявил и инициировал блокировку 26,4 тыс. телефонных номеров, используемых мошенниками, — почти в два раза больше (на 86%), чем в предыдущем году. Производя обзвон, злоумышленник чаще всего представляется сотрудником службы безопасности банка или просто говорит, что звонит из кредитной организации, в которой у адресата открыт счет. В конце прошлого года ФинЦЕРТ также зафиксировал рост числа атак, в ходе которых мошенники пытались прикрыться именем того или иного органа правоохраны.

«В 2020 году наибольшее влияние на сферу информационной безопасности финансового рынка оказала пандемия коронавируса, — комментирует заместитель председателя Банка России Герман Зубарев. — И если банки в целом успешно действовали в сложившихся условиях, то их клиенты – физические лица оказались менее подготовлены к такому росту активности злоумышленников. Наиболее острой остается проблема телефонного мошенничества. Для ее решения необходима координация взаимодействия всех заинтересованных организаций, в том числе операторов мобильной связи и государственных структур, а также активная работа со стороны банков по информированию своих клиентов о рисках обмана».

За год Центробанк также инициировал блокировку около 7,7 тыс. мошеннических сайтов. Более 1 тыс. из них имитировали банковские ресурсы — против 561 в 2019 году. В начальный период пандемии, с марта по май, с подачи ЦБ было заблокировано 2,2 тыс. поддельных сайтов, связанных с темой COVID-19.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Для NFC-атак на Android созданы сотни фейков Банка России и Госуслуг

За полтора года эксперты Zimperium обнаружили более 770 поддельных Android-программ, использующих NFC и HCE (Host Card Emulation, возможность эмуляции карт на телефоне) для кражи платежных данных и проведения мошеннических транзакций.

Особенно много таких находок, обычно выдаваемых за приложения банков России, Белоруссии, Бразилии, Польши, Чехии, Словакии, объявилось минувшим летом.

Для маскировки злоумышленники суммарно используют имена двух десятков организаций и сервисов, в основном российских. Список включает Банк России, Т-Банк, ВТБ, Госуслуги, Росфинмониторинг и Google Pay.

 

Исследователи также выявили более 180 командных серверов и источников распространения вредоносных фальшивок. Для координации NFC-атак и эксфильтрации краденых данных инициаторы используют десятки приватных каналов и ботов Telegram.

Применяемые ими зловреды действуют по-разному. Одни (SuperCard X, PhantomCard) работают как сканеры, считывая данные с банковской карты, а принимает их другое Android-устройство, под контролем злоумышленников и с приложением, эмулирующим карту жертвы, что позволяет расплачиваться в магазинах ее деньгами или снимать их со счета.

Создатели новейшей вредоносной модификации NFCGate пошли дальше: их детище умеет эмулировать карты дропов, помогающих авторам атак выводить деньги с чужих счетов. В итоге жертва, думая, что вносит деньги через банкомат на свой счет, отправляет их в карман мошенников. 

Менее сложные вредоносы собирают данные карт и выводят их в заданный телеграм-канал. Оператор при этом автоматически, в реальном времени получает сообщения и постит содержимое в закрытом чате.

Подобные инструменты атаки требуют минимального взаимодействия с пользователем. Ему обычно в полноэкранном режиме отображается простейшая фейковая страница банка (иногда через WebView) с предложением назначить приложение дефолтным средством NFC-платежей. Вся обработка соответствующих событий при этом выполняется в фоне.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru