Мудрец будет скорее избегать болезней, чем выбирать средства против них.
Томас Мор, английский гуманист, государственный деятель и писатель
Проблема интернета вещей в том, что IoT-системы создают новые точки доступа для хакеров. Входом в систему может стать сетевой принтер, предоставляющий хакерам маршрут доступа к компьютерам в сети финансовой организации, или мобильное устройство, которое имеет доступ к системе радиосвязи высокотехнологичного автомобиля. Стоит признать, что киберпреступники всегда на шаг впереди, они нападают внезапно и могут использовать нешаблонные способы атак. В связи с этим производители средств защиты вынуждены постоянно обороняться, то есть искать защиту в условиях жесткого лимита времени, поскольку самый большой вред причиняют именно атаки «нулевого дня» (когда «противоядие» еще не найдено). В некоторых случаях защищаться приходится от того, о чем есть крайне поверхностное представление: отсутствуют данные о количестве подобных атак на банки, произошедших ранее, о способах заражения программного обеспечения, о действиях злоумышленников в определенных ситуациях и т. п.
При отсутствии взаимодействия противостояние осуществляется практически вслепую. Это все равно что вести войну, не имея сведений о численности и дислокации врага, об используемом им вооружении и источниках подкрепления.
Кибербезопасность организаций кредитно-финансовой сферы должна базироваться на готовности подразделений безопасности противостоять новым кибератакам, понимании всего спектра угроз в отношении организации в целом и распределения приоритетов между активами организации и их защитой[65].
К факторам, повышающим уровень воздействия кибератак, относятся:
– отсутствие отлаженного правового и организационно-технического обеспечения законных интересов граждан, государства и общества в области кибербезопасности (в т. ч. в условиях применения СЭБ);
– высокая латентность[66] киберпреступлений и недостаточное осознание органами государственной власти на федеральном и особенно региональном уровне возможных политических, экономических, моральных и юридических последствий компьютерных преступлений;
– слабая координация действий правоохранительных органов, суда и прокуратуры в борьбе с киберпреступлениями, неподготовленность их кадрового состава к эффективному предупреждению, выявлению и расследованию таких действий;
– несовершенство системы единого учета правонарушений, совершаемых с использованием средств информатизации;
– отсутствие у Банка России подразделений по надзору за применением IoT-технологий в организациях кредитно-финансовой сферы (ОКФС) и обеспечением кибербезопасности;
– существенное отставание отечественной индустрии средств и технологий информатизации и кибербезопасности от мирового уровня;
– ограниченные возможности бюджетного финансирования научно-исследовательских и опытно-конструкторских работ по созданию правовой, организационной и технической баз кибербезопасности.
Безопасность всего пространства интернета вещей должна обеспечиваться еще на уровне создания архитектуры (тем более для ОКФС). Иными словами, необходимо выстроить защиту от любых вредоносных действий еще при разработке протоколов и устройств интернета вещей. Поэтому эффективные решения по безопасности должны быть найдены на этапе развертывания инфраструктуры банковских сервисов.
Учитывая тот факт, что кредитно-финансовая сфера становится одной из самых привлекательных для киберпреступников (о чем свидетельствует значительный рост числа киберпреступлений и целевых атак на банки), а также важность оптимизации финансовых решений в условиях интернета вещей, необходимо оперативно принять меры для обеспечения повышенного уровня кибербезопасности (особое внимание должно быть обращено на СЭБ). Ведь мир, где все соединено со всем и каждая вещь потенциально участвует в торговле, предоставляет огромные возможности не только банкам, но и киберпреступникам. Например, только за четвертый квартал 2015 г. в России со счетов клиентов кредитно-финансовых организаций были похищены денежные средства на сумму, превышающую 1,5 млрд руб.[67]
Пожалуй, единственный способ защитить все устройства, объединенные интернет-сетью, – это надежная защита единого центра управления интернетом вещей [91, c. 271].
Учитывая, что финансовый и банковский сектора наиболее восприимчивы к внедрению новейших достижений в области ИКТ, рассмотрим три основных направления совершенствования кибербезопасности в условиях применения СЭБ и интернета вещей (рис. 30).
По мнению авторов, это далеко не полный перечень мероприятий, которые следует реализовать в рамках обеспечения кибербезопасности в условиях применения интернета вещей. Ведь на практике каждое направление будет включать в себя гораздо больше задач. В перспективе нужно стремиться не только создать систему надзора в виртуальном пространстве, но и повысить культуру поведения в нем всех участников информационного обмена. Компании должны хорошо понимать, что за рекламой различных IoT-систем стоит их ответственность за качество предоставляемых услуг. Финансовым институтам необходимо использовать защищенные программные продукты для IoT-систем, иметь квалифицированный обслуживающий персонал, способный оперативно и грамотно реагировать на кибератаки, а также готовый всегда прийти на помощь клиентам, оказавшимся в трудной ситуации.
– Как ты думаешь, в этом лесу есть что-нибудь съедобное?
– Да, – горько отозвался волшебник. – Мы.
Терри Пратчетт.Безумная звезда
Кредитные организации в соответствии с п. 3 ст. 27 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России и согласованными с федеральными органами исполнительной власти. Требования к обеспечению защиты информации при осуществлении переводов денежных средств установлены Положением Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [21] (далее – Положение № 382-П).
Рис. 30. Направления совершенствования кибербезопасности в условиях применения СЭБ и интернета вещей
Необходимо отметить, что именно соблюдение кредитными организациями указанных требований позволит существенно снизить вероятность успешного исхода при проведении злоумышленниками атакующих действий. Векторы атак злоумышленников не всегда одинаковы, однако их можно классифицировать по основным группам и «точкам приложения».
В последние три года эксперты ФинЦЕРТ Банка России отмечают увеличение количества целевых атак на ОКФС. При компрометации информационных систем и сетей используются инструменты, предназначенные для проведения тестов на проникновение.
К таким инструментам можно отнести Metasploit Framework и основанные на Metasploit решения: Cobalt Strike, Armitage, Empire. Например, в 2017 г. ущерб от атак с использованием набора программ Cobalt Strike, разработанного американской компанией Strategic Cyber, LLC, согласно Обзору основных типов атак в кредитно-финансовой сфере, превысил 1 млрд руб. Данные инструменты, разработанные с применением техник, затрудняющих их обнаружение в системе, предоставляют простой механизм удаленного управления зараженными компьютерами, а также включают в себя утилиты, предназначенные для сбора информации о сети организации и хищения данных (паролей, документов и пр.).
Особенностью указанных атак является то, что они не требуют от атакующих особых технических знаний. Большинство компонентов уже соответствующим образом подготовлены производителями программного обеспечения.
Типовая схема целевой атаки на кредитную организацию выглядит следующим образом:
– производится массовая рассылка на адреса ОКФС электронных писем, содержащих вредоносные вложения;
– в случае запуска вредоносного вложения происходит скрытое внедрение программ (чаще всего загрузчика) в компьютер неосторожного получателя;
– после скачивания загрузчика на компьютере устанавливается компонент Beacon (основной инструмент из набора Cobalt Strike) и атакующий получает возможность удаленного доступа к зараженному компьютеру;
– атакующий проводит исследование доступных с зараженного компьютера сегментов сети и пытается открыть доступ к контроллеру домена сети для последующего получения паролей администраторов. Чтобы получить пароль, могут быть использованы возможности специальных инструментов (например, Mimikatz);
– после получения доступа к контроллеру домена и администраторских паролей атакующий ищет в сети интересующие его серверы и компьютеры. Прежде всего проводится поиск компьютера или сервера, с которого есть доступ в подсеть, где находятся банкоматы или иные сегменты сети (например, сегмент процессинга платежных карт);
– на банкоматах устанавливается программное обеспечение, действующее предположительно через программный интерфейс XFS и обеспечивающее выдачу денежных средств по команде, подаваемой удаленно. После получения контроля над банкоматами к процессу привлекаются соучастники, занимающиеся получением денежных средств. Их задача – присутствовать около банкоматов в заранее оговоренное время. После успешной выдачи денежных средств программное обеспечение с банкоматов, как правило, удаляется;
– в случае получения доступа к процессингу платежных карт привлекаются соучастники, занимающиеся оформлением на подставных лиц платежных карт атакованной организации. Карты консолидируются в руках лиц, которые получают денежные средства. Их задача – обеспечить снятие денежных средств в банкоматах непосредственно после того, как балансы и лимиты карт будут повышены в системе процессинга. В ходе получения денег соучастниками оператор может продолжать поднимать лимиты снятия или увеличивать балансы карт;
– в случае получения доступа к компьютерным средствам сегмента платежной системы Банка России (АРМ КБР) или системы переводов SWIFT осуществляются платежи на заранее подготовленные счета. Далее денежные средства переводятся с этих счетов и обналичиваются по стандартным для компьютерной преступности схемам.
Схемы атак, направленных на банкоматы и процессинг, представлены на рис. 31 и 32.
Начиная с 2017 г. ФинЦЕРТ Банка России сообщает в публикуемых им материалах о так называемой атаке с применением методов социальной инженерии в отношении кассиров кредитных организаций. Суть атаки заключается в том, что на кассиров оказывают психологическое воздействие, вынуждая их совершить перевод денежных средств на платежные карты злоумышленников. В общем виде указанная атака выглядит следующим образом.
Рис. 31. Атака, направленная на банкоматы
Рис. 32. Атака, направленная на процессинг
Сотруднику банка (кассиру) на внутренний телефон звонит злоумышленник, представляясь сотрудником этого же банка. После непродолжительной беседы мошенник сообщает о необходимости протестировать автоматизированную систему банка, при этом для осуществления тестирования ему якобы нужно, чтобы кассир перевел определенную сумму денежных средств с расчетного счета банка на свою собственную платежную карту. Затем злоумышленник сообщает кассиру, что система работает нормально и денежные средства можно возвращать обратно на расчетный счет. Преступник называет кассиру иные реквизиты (например, номер своей карты или своего расчетного счета), что в итоге приводит к перечислению денежных средств не на счет, с которого они были списаны, а на счет мошенника. После совершения всех процедур кассир начинает осознавать свою роль в атаке.
Следует отметить, что реализация подобных схем атак происходит в результате нарушения кассиром внутренних процедур контроля (мониторинга) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры.
Согласно Обзору несанкционированных переводов денежных средств за 2018 г., почти половина хищений совершается в результате получения злоумышленниками доступа к управлению счетами организации в системе ДБО путем установки на компьютере версии вредоносного программного обеспечения (ВрПО), предоставляющего следующие возможности:
– получение удаленного доступа к зараженному компьютеру;
– кража учетных данных, используемых в системах ДБО;
– перехват и подмена реквизитов в платежных поручениях, направляемых через системы ДБО;
– создание подложных платежных поручений и отправка их в кредитную организацию.
Распределение причин несанкционированных списаний со счетов юридических лиц в 2018 г. представлено на рис. 33.
Рис. 33. Причины несанкционированных списаний со счетов юридических лиц в 2018 г. (%)
Перечислим следующие основные каналы попадания вредоносного программного обеспечения на компьютер клиента кредитной организации:
– массовая рассылка на адреса клиентов ОКФС электронных писем, содержащих вредоносные вложения;
– массовая рассылка на адреса клиентов ОКФС электронных писем, содержащих ссылки на ресурс, на котором размещено вредоносное программное обеспечение;
– использование техники watering hole, которая заключается во взломе популярных веб-сайтов заданной направленности (в случае с сотрудниками финансовых подразделений – СМИ и порталов бухгалтерской или экономической тематики) с последующим размещением на них вредоносного программного кода, предназначенного для загрузки на средства вычислительной техники при посещении взломанного ресурса пользователями – объектами атаки;
– установка клиентом на средства вычислительной техники программного обеспечения из недоверенных источников.
Стоит отметить, что даже новые экземпляры вредоносного программного обеспечения обычно имеют высокий уровень детектируемости популярным антивирусным программным обеспечением. При этом первичное проникновение часто осуществляется за счет эксплуатации уязвимостей, информация о которых давно опубликована (как и в случае с атаками непосредственно на кредитно-финансовые организации), либо с использованием программ-контейнеров, детектирующихся эвристически почти всеми распространенными антивирусными программами. Таким образом, наиболее эффективный метод противодействия подобным атакам зачастую заключается в поддержании актуального состояния антивирусных баз и своевременном обновлении программного обеспечения – как системного, так и прикладного.
Для получения денежных средств клиентов мошенники используют различные способы атак. При этом главной особенностью атак на клиентов – физических лиц является именно эксплуатация уязвимости, связанной с человеческим фактором, то есть использование методов социальной инженерии. Беспечность, любопытство, доверчивость или стремление сэкономить – основные черты, которые используют злоумышленники для того, чтобы получить доступ к платежным реквизитам граждан или побудить их добровольно (в юридическом смысле) расстаться с деньгами.
Согласно Обзору несанкционированных переводов денежных средств за 2018 г., методы социальной инженерии применяются злоумышленниками при распространении информации (например, с использованием услуг, предоставляемых операторами связи, ресурсов в интернете, в т. ч. электронной почты), побуждающей клиента сообщать сведения, необходимые для осуществления переводов денежных средств от его имени, в том числе аутентификационные данные (97 % всех атак на клиентов) (рис. 34).
В основе атак, связанных с телефонным мошенничеством и рассылкой SMS с текстом наподобие «ваша карта заблокирована», лежат базовые принципы психологического воздействия на субъекта, в частности так называемого «мягкого» воздействия. Задача злоумышленников сводится к попытке преодолеть недоверие и побудить жертву сообщить платежные реквизиты или совершить перевод самостоятельно. Указанной атаке подвергаются практически все сегменты платежеспособного населения, однако наиболее часто преступники стремятся воздействовать на наименее защищенных граждан, для которых характерен низкий уровень финансовой грамотности и киберграмотности (пенсионеров, лиц с особыми потребностями, жителей удаленных от федерального центра регионов и небольших городов).
Рис. 34. Причины совершения несанкционированных операций с использованием платежных карт в 2018 г. (%)
Для экономически активной части населения, пользующейся интернетом, актуальны другие способы установления контакта. В первую очередь это спам-рассылка писем, содержание которых рассчитано на разные категории получателей. Это сообщения о скидках, компенсациях, предложения знакомства и другие заманчивые предложения, содержащие вредоносные файлы или ссылки на фишинговые веб-сайты, которые сами по себе также являются способом коммуникации мошенников с жертвами. Получив такое письмо, человек открывает файл или переходит по ссылке, результатом чего становятся заражение устройства и компрометация платежных данных его владельца.
Распространенным методом осуществления несанкционированных переводов денежных средств с использованием мобильного устройства является его заражение вредоносным кодом. Применение методов социальной инженерии (ссылки в SMS, реклама на веб-сайтах) существенно повышает вероятность заражения мобильного устройства. При этом злоумышленник получает возможность составлять распоряжения об осуществлении переводов денежных средств, а владельцу телефона уведомления о совершении операций могут быть недоступны.
Кроме того, следует отметить случаи взлома аккаунтов в социальных сетях с целью рассылки по списку контактов их владельцев просьб о материальной помощи от их имени. Таким образом, наименее квалифицированными преступниками монетизируется наиболее дешевый «материал», возникающий как результат работы индустрии компьютерной преступности. Доступы к аккаунтам в социальных сетях продаются на закрытых ресурсах оптом. Единица измерения этого товара – тысяча, а цены – от нескольких долларов за единицу (т. е. за тысячу). Реквизиты доступа попадают в распоряжение взломщиков в процессе эксплуатации обширных бот-сетей. Из непригодных к чему-либо другому ботов – зараженных компьютеров «выжимают» хотя бы доступы к каким-либо сетевым ресурсам, которые потом продают. И это доступы не только к социальным сетям, но и к электронной почте, файловым хранилищам, веб-серверам. Монетизацией такого «материала» занимаются скупающие его преступники, зачастую начинающие, которые не нашли себе другой криминальной профессии. В то же время нужно ожидать, что по мере снижения доходов от хищений преступность будет уделять все больше внимания компьютерам и аккаунтам простых обывателей, изыскивая любые новые возможности извлечения дохода, даже если для этого потребуются тщательный поиск и анализ компрометирующей информации, перехват переписки, шантаж, угрозы, вымогательство, продвинутые схемы мошенничества.
В 2018 г., согласно данным, которые указывает Банк России в Обзоре несанкционированных переводов денежных средств, были зафиксированы следующие способы воздействия на банкоматы:
– прямое подключение к банкомату технических устройств, позволяющих им управлять;
– удаленное управление банкоматом, платежным терминалом, в том числе вследствие заражения вредоносным кодом;
– физическое воздействие на банкомат, платежный терминал (взрыв, взлом и т. д.).
В качестве основных способов воздействия на банкомат следует указать атаку типа blackbox и проникновение в банкомат изнутри локальной сети банка для загрузки программного обеспечения, взаимодействующего с диспенсером и обеспечивающего выдачу наличных денежных средств. Основное различие в фиксируемых атаках типа blackbox и атаках изнутри сети кредитной организации – в способе доставки вредоносного программного обеспечения.
Атака blackbox обычно начинается со вскрытия передней панели банкомата и подсоединения стороннего устройства. Чаще всего такое устройство представляет собой переходник – конвертер интерфейсов, например USB-RS485. Переходник через USB-кабель подключается к портативному компьютеру. Как правило, это недорогие, бывшие в употреблении ноутбуки, которые злоумышленникам не жалко бросить на месте проведения атаки. На компьютере установлена программа удаленного администрирования, например TeamViewer. С ее помощью подключается находящийся на удалении сообщник (либо организатор), запускающий программу, которая взаимодействует с диспенсером банкомата. От подобного рода воздействий может дополнительно защитить включение шифрования данных, передаваемых между диспенсером и системным блоком банкомата, однако на старых банкоматах или банкоматах, расположенных в удаленных от федерального центра регионах, такое шифрование применяется не всегда.
Вторая из наиболее популярных атак на устройства самообслуживания получила название TRF-атаки (transaction reversal fraud – мошенничество с отменой транзакций). Можно выделить два основных способа осуществления TRF-атаки: первый использует конструктивный недостаток отдельных моделей банкоматов, которые подготавливают денежные средства к выдаче, но держат их за закрытой шторкой шаттера («пре-кэш»); второй направлен на нарушение логики работы процессингового программного обеспечения.
В первом случае злоумышленник осуществляет «стандартный» съем наличных денежных средств, но не забирает карту из картоприемника. За время, пока банкомат не изъял карту, злоумышленник взрывает шторку шаттера, повреждая механизм шторки, и забирает подготовленные денежные средства. При этом банкомат прекращает клиентское обслуживание («out of service») и считает, что денежные средства не выданы, в результате чего происходит восстановление баланса на счете клиента.
Во втором случае эксплуатируется некорректность настроек некоторых процессинговых систем. Ошибка заключается в последовательности обработки запросов банка-эквайрера и банка-эмитента при выполнении операции возврата денежных средств на платежную карту отправителя, когда денежные средства переводятся от клиента к клиенту. Банк возвращает денежные средства на платежную карту отправителя, а от банка – эмитента платежной карты получателя приходит отказ в списании денежных средств, при этом с карты получателя деньги не списываются. В максимально короткое время после проведения такого рода операции происходит обналичивание обеих платежных карт во избежание блокировки денежных средств.
Упрощенно данный вид TRF-атаки выглядит следующим образом:
– в банкомате выбирается тип операции – Р2Р-перевод (от клиента к клиенту), указывается номер карты получателя;
– банк-инициатор одновременно направляет два авторизационных сообщения: банку получателя и банку отправителя;
– банку-инициатору практически одновременно приходит одобрение от обоих банков (в случае если операция возможна: имеется необходимое количество денежных средств на балансе карты отправителя и т. д.);
– выполняется фактический перевод: увеличивается сумма на карте получателя, одновременно такая же сумма холдируется у отправителя. Сценарий Р2Р-перевода в банкомате при этом еще не закончен;
– банкомат «спрашивает» у отправителя согласие на списание комиссионных за операцию;
– отправитель не соглашается, поэтому банк-инициатор отправляет в банк отправителя и банк получателя сообщение о возврате денежных средств;
– холд со счета отправителя снимается, вместе с тем денежные средства уже выведены получателем.
Согласно данным, представленным в отчете ФинЦЕРТ Банка России за 1 сентября 2017 г. – 31 августа 2018 г., в отчетном периоде отмечено отсутствие атак вида cash trapping. Суть атаки заключается в установке на банкомат специального устройства, удерживающего выдаваемую наличность для ее хищения после того, как клиент, пытавшийся снять денежные средства, отойдет от банкомата. Типовая конструкция таких «ловушек» позволяет захватывать до четырех купюр. По всей видимости, низкая распространенность таких атак обусловлена именно тем, что сумма денежных средств, получаемая злоумышленником в результате успешного проведения атаки, небольшая [18, с. 33].
Кроме того, в последнее время эксперты по информационной безопасности отмечают существенное снижение числа атак типа skimming и shimming, которые заключаются в копировании данных платежной карты с магнитной полосы и микропроцессора соответственно. Такая тенденция обусловлена тем, что копирование данных с магнитной полосы платежной карты – занятие бесперспективное, поскольку кредитные организации обязаны осуществлять переводы денежных средств с применением платежных карт, оснащенных микропроцессором (п. 2.19 Положения № 382-П), а копирование данных с микропроцессора платежной карты с последующей корректной обработкой клона карты банком-эмитентом в Российской Федерации бесполезно.