28 июня среда
ДОЛЛАР 59.39 0.78
ЕВРО 67.33 0.00
ЮАНЬ 8.72 0.00
ФУНТ 76.09 -0.01
НЕФТЬ 51.99 0.62
золото 1168.81 -0.02
МТС
8.25 -0.12
VimpelCom Ltd
4.05 0.00
Yandex
26.88 -1.07
Mail.Ru Group
28.13 0.00
Ростелеком
71.5 +2.07
QIWI
24.16 -0.04
МегаФон
538.5 +0.26
РБК
7.3 +1.25
Самые простые способы хакерских атак на банки
Статьи 16 декабря 2016 •  therunet

Самые простые способы хакерских атак на банки

Как мошенники получают доступ к системе и какие типы атак встречаются чаще всего

16 декабря 2016
Екатерина Бельц
РЕДАКТОР THERUNET

Количество атак, проведенных в 2015 году (по сравнению с аналогичным периодом 2014 г.) выросло на 2/3. Банки уделяют все больше внимания к защищенности своих систем. Однако, это касается в основном крупных организаций. Небольшие федеральные и региональные банки по прежнему находится под угрозой.

К самым распространенным видам нападения в банковской сфере можно отнести недоступность системы для пользователей в результате DDOS-атаки и кражу средств со счета клиента в результате мошеннической операции.

В последнее время злоумышленники придумывают всё более изощренные схемы мошенничества. Так, например, выявлена схема хищения через денег через вирусное программное обеспечение, заражающее мобильное устройство на платформе Android. При попытке клиента открыть со смартфона сайт банка, вирус перенаправляет клиента на специальный сайт-ловушку, имитирующий маркетинговый опрос Сбербанка России.

image

На данном сайте клиента под предлогом исследования удобности услуг Сбербанка просят ввести логин личного кабинета. В дальнейшем вирус самостоятельно от имени клиента получает и пересылает злоумышленникам SMS-пароли для входа и подтверждения мошеннических операций в Сбербанк Онлайн.

Кража не всегда является конечной целью

На самом деле кража денег – не всегда главная цель. Так, например, хакеры очень часто устраивают атаки на отказ в обслуживании системы дистанционного обслуживания (ДБО) для того, чтобы сокрыть проведение мошеннических операций.

Есть банк и у него есть ряд ресурсов, доступных из сети. Обычно это, как минимум, корпоративный сайт, ДБО-система и какие-то дополнительные сетевые сервисы (VPN, например).

Если злоумышленник сможет получить доступ во внутреннюю сеть, то спектр возможностей его и целей значительно расширится. Захватив удаленный контроль даже над одним компьютером в сети банка, злоумышленник может проводить атаки на внутренние системы.

С учетом развитости хакерского инструментария сейчас нет особых затруднений в проведении атак через подконтрольный промежуточный хостинг на другие системы. То есть захваченный компьютер в сети банка будет передавать в системы банка те запросы, которые необходимы злоумышленнику, и пересылать ответы на них через интернет обратно злоумышленнику.

Генеральный директор хостинговой компании King Servers Владимир Фоменко считает, что чтобы избежать или минимизировать риски взлома стоит уделить внимание дата-центрам (ДЦ), в которых расположены сервера. 

 

«Не каждый подойдет для банка. ДЦ должен быть сертифицирован и соответствовать стандарту надежности не ниже уровня Тьер 3. Хостинг-провайдер, предоставляющий услуги по аренде инфраструктуры на базе ДЦ, должен быть сертифицирован стандарту PCI DSS», — Фоменко

Атаки с разных направлений

Здесь важно понять, что проводить атаки через один промежуточный хостинг – это технически очень просто. Таким образом, злоумышленнику нужно захватить контроль хотя бы над одним хостом. Реально всё зависит от конкретной ситуации, но есть и ряд типовых сценариев.

Инсайдерская атака — самая простая. Можно подговорить кого-то, даже уборщицу, просто вставить специальную флешку с трояном на пару минут в компьютер любого из сотрудников, даже секретарши. И всё, доступ получен, а виновника – не найдёшь.

o-woman-confused-computer-facebook

Вариант второй: социальная инженерия. Крупные банки систематически заказывают работы по проведению атак с использованием социальной инженерии, когда массово рассылаются письма работникам компании с просьбой зайти какой-то сайт или открыть какой-то PDF или даже EXE-файл. Данные файлы содержат эксплойты с кодом, позволяющим захватить контроль над компьютером. Итог: на сайты переходит больше 50% пользователей, а фактически удаленный контроль захватывается 20-30% случаев.

Стоит отметить, что используются эксплойты не «нулевого дня». Это связано с тем, что старые уязвимости дешевле использовать. Обычно их через год-два включают в некие наборы эксплойтов и продают. Там уже можно автоматизированно "долбить" пока не подберется нужный эксплойт.

А между тем, здесь стоит учитывать, что такие важные с точки зрения безопасности пользователи банка, как операторы ДБО, очень часто обязаны открывать всё, что приходит от клиентов банка.

Третий вариант, касается атак на внешние сервисы банка, доступные из  интернета. В некоторых случаях через них можно получить прямой доступ к корпоративной сети.

Пример атаки

Один из показательных случаев произошел минувшим летом. Существует фреймворк – Struts2. Он очень распространён и используется во многих веб-приложениях, в том числе, в банках. Этим летом на сайте разработчиков Struts2 было опубликовано уведомление о закрытии критичной уязвимости, которая позволяла любому (анонимному) пользователю выполнять команды в ОС в любом веб-приложении на Struts2 (т.е. захватывать полный контроль над сервером).

Разработчики приложили необходимое обновление, закрывающее уязвимость, и просили всех срочно обновиться. Примерно через день в сети интернет появился эксплойт, позволяющий эксплуатировать данную уязвимость. Через несколько дней прокатилась массовая волна атак, а ещё через неделю в сети уже хозяйничал вирус, который автоматически выискивал сервера и захватывал контроль над ними, используя эту уязвимость. Но самое неприятное было в том, что даже почти через месяц многие организации не обновили версию Struts2 и поэтому были беззащитны перед этой угрозой.

struts2-application-login-page

По горячим следам было проведено небольшое исследование и обнаружен целый ряд финансовых организаций, и в частности банков, у которых не было обновлений. Соответственно, захватить контроль над их серверами мог любой желающий. Дело в том, что у многих банков плохо поставлен процесс обновления ПО, происходит это редко, иногда перерывы составляют полгода и более. А злоумышленники обычно гораздо более оперативны.

Глава King Servers считает, что на безопасности экономить нельзя. Фоменко посоветовал работать с известными производителями и поставщиками серверного оборудования, а также поддерживать актуальные версии ПО и постоянно следить за «достижениями» в сфере кибер-угроз.

«Из нашего опыта могу сказать, что к сожалению внутренние службы банков не всегда обладают достаточной компетенцией для защиты от кибер-угроз. Сотрудники компаний просто не успевают оперативно отслеживать постоянно возникающие новые опасности. Рынок кибер-атак меняется очень быстро. Спрос на эти услуги растет, необходимо быть в курсе всех новинок. Для таких случаев надежнее обратиться к внешним подрядчикам, у которых опыт намного больше и скорость реакции выше», отметил Фоменко.

О том, как защититься от хакерских атак мы расскажем во второй части нашего цикла статей об атаках на банки.

Комментарии 1
Nick / 17 декабря 2016

Это какая-то ненавязчивая джинса хостинг-провайдера King Servers? Нет, вообще любопытно было почитать мнение «авторитетного хостера», того самого, который хостит в том числе порно, спамеров и нуллеров и который размещает рекламу о своих «абузоустойчивых» серверах на всех соответсвующих ресурсах, включая нуллех, мастер-икс и проч.
Рыдал же, правда)))) Петросяны))))

Зарегистрируйтесь или , чтобы оставлять комментарии.
Войти с помощью: