Исследование кибератак в банковском секторе: портрет злоумышленника, виды мошенничества, каналы хищений

Команда BI.ZONE^[1] провела исследование на тему распространенности кибератак и их влияния на экономику и бизнес. В рамках данной статьи мы рассмотрим только часть их аналитической работы, которая касается банковского сектора. Разберем наглядно, какие виды мошенничества актуальны на рынке, каков портрет киберпреступника, через какие каналы чаще всего происходит хищение средств.

Свою роль в возникновении кризисов играет нестабильность экономики, политической ситуации и обстановки в обществе. Но сейчас аналитики сосредоточили особое внимание на рисках киберкризиса, поскольку ежедневно вероятность его появления растет. Речь идет об ущербе мировой экономике от атак киберпреступников. Согласно статистике около 77% компаний совсем не готовы эффективно отражать нападение мошенников нового толка.

По прогнозам аналитиков ущерб мировой экономике от кибератак к 2022 году составит от 8 до 10 трлн долл. В рейтинге наиболее вероятных глобальных угроз они занимают 7 место. Отворачиваться от такой проблемы и игнорировать ее уже опасно.

Порядок проведения исследования

Изначально в выборку исследования попали семь отраслей: медиа и электронная коммерция, транспорт, медицина, ритейл, IT, телекоммуникации, финансы. Респондентами выступили как российские, так и иностранные организации, в которых проводился аудит кибербезопасности (КБ). Для формирования показателя проверяли зрелость КБ по нескольким критериям: управление, контроль доступа в информационных системах, физическая и операционная безопасность, осведомленность в вопросах защиты от кибермошенничества, работа с инцидентами, криптография и т.д. Для каждого направления оценивался уровень кибербезопасности для компаний из разных отраслей. В количественном выражении показатель рассчитывали в диапазоне от 0 до 5, где наивысшая оценка означает, что в выбранном сегменте процессы КБ измеряют и постоянно улучшают в соответствии с мировыми стандартами.

В конечном итоге аналитикам удалось выяснить, что самый зрелый уровень кибербезопасности (в количественном размере 3,0) — в финансовом секторе. Далее по убыванию идут транспортная отрасль, медиа и e-commerce, телеком, медицина, ритейл и ИТ. Значение уровня зрелости по ним составляет от 2,8 до 1,9. Наглядное отображение результатов — ниже на диаграмме.

Финансовая отрасль оказалась самой продвинутой в теме защиты от киберпреступлений, но ее показатель все равно не достиг высшего уровня, оставшись на отметке 3 из 5. Аналитики обратили внимание на тот факт, что топ-менеджмент организаций редко интересуется вопросами кибербезопасности (КБ). Только 54% компаний регулярно проводят совещания на эту тему с участием руководства. Больше всего в защите от таких атак заинтересованы банки и прочие финансовые организации. Именно они чаще всего подвергаются нападениям кибермошенников с целью завладения персональными данными и хищения средств. В связи с этим им приходится уделять большое внимание вопросам безопасности информации и их рабочих систем. Обратимся к аналитическим данным и выясним: с какими видами мошенничества, от кого и по каким каналам они чаще всего сталкиваются.

Основные характеристики атак на банки

Современные кибернападения чаще всего реализуются с использованием человеческого фактора. Речь идет о фишинге (Интернет-мошенничество с целью получения доступа к конфиденциальным данным) и социальной инженерии (психологическое манипулирование людьми с целью хищения средств или персональных сведений). На эти два способа приходится подавляющее большинство атак на банковских клиентов. Потери кредитных организаций при этом в среднем оцениваются в 17,7 тыс. долл. в минуту.

Интернет-нападения мошенников, которые хотят получить деньги, почти всегда так или иначе связаны с банками. Атаки направлены на финансы либо самих учреждений, либо их клиентов. Именно поэтому им приходится особенно сильно заботиться о вопросах безопасности.

Портрет жертв и атакующих

Жертвами мошенников чаще всего становятся граждане в возрасте от 35 до 44 лет. За последние 3 года этот показатель немного сместился в сторону более старших пользователей. Ранее на уловки преступников чаще попадались молодые люди до 35 лет. Наглядно разбивка по возрастам представлена на диаграмме ниже. По полу статистика жертв распределилась следующим образом: 55% — мужчины и 45% — женщины.

Усредненный возраст мошенников остался на прежнем уровне. В большинстве случаев это молодые люди от 25 до 34 лет. На граждан в этом возрастном диапазоне было оформлено больше всего подставных банковских карт, если быть точнее — 34%. Еще 24% — на людей от 35 до 44 лет, 17% — от 18 до 24 лет. Посчитать всех орудующих на рынке злоумышленников достаточно сложно, поэтому для статистики использовали именно этот показатель — число подставных карт и их владельцев. Среди попавших в аналитику граждан 53% — мужчины, 47% — женщины.

Виды мошенничества

Как уже было указано выше, самый популярный способ мошенничества — хищение средств и данных с помощью социальной инженерии. Часто таким атакам на счета жертвы невольно способствуют сами. Они поддаются на уговоры злоумышленников и переводят им средства. Самые распространенные «страшилки» от звонящих связаны с ошибочной блокировкой карты или попыткой списания с нее денег.

Уровень активности мошенников в области социнженерии поражает воображение. Организаторы подобных преступных групп создают целые колл-центры для общения с потребителями финансовых услуг. Персонал таких центров принимают на полный рабочий день с одной лишь задачей — обзванивать банковских клиентов с целью хищения их средств. Чем больше личных данных о гражданах у них есть, тем проще им вести свою преступную деятельность. Владея какими-то уникальными сведениями, они могут представляться работниками банков и быстро завоевывать доверие собеседника. Именно поэтому они заинтересованы в развитии инструментов, влияющих на утечку персональных данных.

Человеческая доверчивость помогает преступникам преуспевать в своем деле. Если оценивать объем похищенных средств, то доля социальной инженерии в прошлых годах выросла на 10 п.п. и достигла рекордных 90% среди других типов мошенничества. Остальные 10% достались вредоносному ПО (его доля сократилась с 9% до 3%), фишингу, поддельным документам, замене SIM-карт и прочим приемам.

Приемы социальной инженерии реализуются посредством нескольких каналов:

• телефонные звонки — 90%;
• СМС-сообщения — 5%;
• Интернет-сообщения — 3%;
• письма на e-mail — 1%;
• поддельные сайты, финансовые пирамиды — 1%.

Как мы видим, телефон злоумышленники выбирают чаще других вариантов. Такая статистика сформировалась в 2019 году. Ранее весомую долю занимали также SMS, их применение сократилось с 33% до 5%. Другие каналы используются еще реже, поскольку через них сложнее всего воздействовать на психику человека. Письма, сообщения и прочие уведомления от имени организаций современный пользователь часто просто игнорирует.

Каналы хищений

Раньше базовый инструментарий для хищения средств состоял из оформления подставных банковских карт и обмана посредством СМС-банкинга. Ситуация изменилась в 2019 году. Тогда первые позиции перехватило мошенничество с использованием мобильных приложений. Доля подобных операций достигла 50% от общего количества.

Киберпреступления с применением банковских карт находятся на втором месте по популярности. Их доля достигает 30%. Больше всего таких поддельных карточек выпускают в Москве, Санкт-Петербурге, Ростовской и Свердловской областях. Еще 12% приходится на воровство через СМС-банкинг, 5% — на веб-сервисы, 3% — на банкоматы.

Если говорить не о количестве транзакций, а об их сумме, то распределение каналов хищения немного меняется. На долю мобильных приложений приходится 43%, а банковских карт — 42%. Еще 15% распределяются по остальным перечисленным пунктам.

Вывод наворованных средств в 65% случаев осуществляется через Интернет-сервисы. Это может быть приобретение услуг, каких-то товаров или ценных бумаг через веб-сайты. На втором месте по популярности с долей 22% — вывод денег через банковские карты, оформленные на подставных лиц. Еще 7% приходится на сотовую связь, 3% — наличные, 2% — электронные кошельки и оставшийся 1% — на магазины.

Особенности атак на банкоматы

Отдельная аналитика была собрана по атакам на банкоматы. В 2019 году мошенники сменили тактику по взлому: они перестали использовать вредоносное программное обеспечение и перешли на физические атаки. К такому методу они прибегали в 63% случаев.

По обобщенным данным о количестве нападений на устройства банков можно сказать, что интерес злоумышленников к ним падает. Число посягательств на банкоматы ежегодно снижается (по крайней мере — с использованием вредоносного ПО). Убытки упали на четверть — около 11,4 млн евро. Все это объясняется сложностью методов взлома, необходимостью физического присутствия и недостаточно большой добычей (проще взламывать банкомат физически или атаковать IT-инфраструктуру банка). Принципиально новых способов кибератак не появилось, разве что были обновлены вредоносные программы. Также на радары кибердиспетчеров вернулись некоторые группировки, которые какое-то время не давали о себе знать.

В списке самых известных в мире преступных группировок, которые использовали для взлома специальное программное обеспечение, — Intacash, Lazarus и Silence. Ущерб, нанесенный кибермошенниками, составил 20, 81 и 3 млн долл. соответственно. В РФ и Европе более известна третья группировка. В 2019 и 2020 годах Silence расширили свою географию на Шри-Ланку, Украину, Кипр, Индию, Чили, Кыргызстан, Гану, Болгарию. Недавно они усовершенствовали один из своих инструментов — загрузчик вредоносного ПО.

Прирост (как по количеству, так и по сумме убытков) показали атаки, которые направлены непосредственно на терминал.  Речь идет о TRF-атаках — имитации сбоя работы банкомата. TRF расшифровывается как Transaction Reversal Fraud — мошенничество при отмене транзакций.

Основные особенности метода TRF:

• не предполагает использования специальных программ;
• эксплуатирует ошибки программного обеспечения самих банкоматов;
• реализуется через инициацию выдачи наличных и нарушение последовательности операций.

То есть основная задача мошенника — убедить банкомат, что средства не были выданы (тогда они вернутся на счет), а наличные забрать себе.

Выводы по результатам исследования банков

По результатам исследования команда аналитиков пришла к выводу, что организациям разных отраслей, в том числе банкам, стоит уделить больше внимания вопросам цифровой защиты и риск-ориентированному подходу. Не стоит внедрять в свою работу инструменты кибербезопасности только на основании их актуальности и веяний моды. Поставщик может заманивать клиента различными пакетными предложениями, но нужно искать продукт под требования конкретного бизнеса. Для начала нужно провести аудит и оценить риски кибербезопасности, чтобы в дальнейшем выбрать подходящий инструмент для их снижения.

Также важным фактором является заинтересованность руководства и топ-менеджеров в вопросах цифровой защиты. Переложить ответственность на аутсорс — недостаточно, нужно и самим участвовать в выстраивании брони против киберугроз. Такой подход также покажет сотрудникам, что вопрос КБ важен, и нельзя решать его «спустя рукава».

И еще одна рекомендация от аналитиков — не игнорировать влияние человеческого фактора. Количество атак с использованием социальной инженерии будет увеличиваться, поскольку обмануть доверчивого потребителя куда проще, чем взломать сложную ИТ-инфраструктуру банка. То есть руководству нужно понять важное умозаключение: главную роль в безопасности организации играют именно люди, а не технологии.

^[1] BI.ZONE — компания по стратегическому управлению рисками в цифровой среде. Они предлагают технологичные продукты для защиты IT-инфраструктур и приложений, услуги по оценке киберустойчивости и расследованию инцидентов, а также решения по аутсорсингу кибербезопасности для бизнеса любого масштаба. BI.ZONE провели более 500 аудиторских проверок по всему миру. В их команде работает более 400 экспертов по безопасности, а продукты компании используют сотни клиентов.