Схемы атак, направленных на банкоматы и процессинг, представлены на рис. 31 и 32.
2.6.2. Атаки с применением методов социальной инженерии в отношении сотрудников банка
Начиная с 2017 г. ФинЦЕРТ Банка России сообщает в публикуемых им материалах о так называемой атаке с применением методов социальной инженерии в отношении кассиров кредитных организаций. Суть атаки заключается в том, что на кассиров оказывают психологическое воздействие, вынуждая их совершить перевод денежных средств на платежные карты злоумышленников. В общем виде указанная атака выглядит следующим образом.
Рис. 31. Атака, направленная на банкоматы
Рис. 32. Атака, направленная на процессинг
Сотруднику банка (кассиру) на внутренний телефон звонит злоумышленник, представляясь сотрудником этого же банка. После непродолжительной беседы мошенник сообщает о необходимости протестировать автоматизированную систему банка, при этом для осуществления тестирования ему якобы нужно, чтобы кассир перевел определенную сумму денежных средств с расчетного счета банка на свою собственную платежную карту. Затем злоумышленник сообщает кассиру, что система работает нормально и денежные средства можно возвращать обратно на расчетный счет. Преступник называет кассиру иные реквизиты (например, номер своей карты или своего расчетного счета), что в итоге приводит к перечислению денежных средств не на счет, с которого они были списаны, а на счет мошенника. После совершения всех процедур кассир начинает осознавать свою роль в атаке.
Следует отметить, что реализация подобных схем атак происходит в результате нарушения кассиром внутренних процедур контроля (мониторинга) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры.
2.6.3. Атаки на системы дистанционного банковского обслуживания, используемые юридическими лицами
Согласно Обзору несанкционированных переводов денежных средств за 2018 г., почти половина хищений совершается в результате получения злоумышленниками доступа к управлению счетами организации в системе ДБО путем установки на компьютере версии вредоносного программного обеспечения (ВрПО), предоставляющего следующие возможности:
– получение удаленного доступа к зараженному компьютеру;
– кража учетных данных, используемых в системах ДБО;
– перехват и подмена реквизитов в платежных поручениях, направляемых через системы ДБО;
– создание подложных платежных поручений и отправка их в кредитную организацию.
Распределение причин несанкционированных списаний со счетов юридических лиц в 2018 г. представлено на рис. 33.
Рис. 33. Причины несанкционированных списаний со счетов юридических лиц в 2018 г. (%)
Перечислим следующие основные каналы попадания вредоносного программного обеспечения на компьютер клиента кредитной организации:
– массовая рассылка на адреса клиентов ОКФС электронных писем, содержащих вредоносные вложения;
– массовая рассылка на адреса клиентов ОКФС электронных писем, содержащих ссылки на ресурс, на котором размещено вредоносное программное обеспечение;
– использование техники watering hole, которая заключается во взломе популярных веб-сайтов заданной направленности (в случае с сотрудниками финансовых подразделений – СМИ и порталов бухгалтерской или экономической тематики) с последующим размещением на них вредоносного программного кода, предназначенного для загрузки на средства вычислительной техники при посещении взломанного ресурса пользователями – объектами атаки;
– установка клиентом на средства вычислительной техники программного обеспечения из недоверенных источников.
Стоит отметить, что даже новые экземпляры вредоносного программного обеспечения обычно имеют высокий уровень детектируемости популярным антивирусным программным обеспечением. При этом первичное проникновение часто осуществляется за счет эксплуатации уязвимостей, информация о которых давно опубликована (как и в случае с атаками непосредственно на кредитно-финансовые организации), либо с использованием программ-контейнеров, детектирующихся эвристически почти всеми распространенными антивирусными программами. Таким образом, наиболее эффективный метод противодействия подобным атакам зачастую заключается в поддержании актуального состояния антивирусных баз и своевременном обновлении программного обеспечения – как системного, так и прикладного.