Новости

Новости

16 ноября 2018, 13:39

Безопасность

Как хакеры атакуют банки через рассылку писем

Фото: depositphotos/yekophotostudio

Компания Group-IB, занимающаяся информационной безопасностью, зафиксировала 23 октября и 15 ноября массовые вредоносные рассылки в адрес российских банков якобы от имени Центрального банка России. По данным компании, получателями стали не менее 50 банков в России.

Заместитель руководителя лаборатории по компьютерной криминалистике Group-IB Сергей Никитин рассказал в беседе с порталом Москва 24, что всего было две рассылки: от имени ЦБ, и от имени ФинЦЕРТ (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере). По словам эксперта, это не означает факт взлома. "Это такой прием, когда ставят другого отправителя. Достаточно примитивный, но здесь срабатывает именно человеческий фактор. Люди видят доверенного отправителя и открывают все подряд", – пояснил Никитин.

Вредоносные письма


Письма с вредоносными вложениями рассылались сотрудникам банков. Антивирусные средства, отмечает эксперт, не могут спасти от таких атак, потому что на тот момент они были неизвестны антивирусам. "И даже если люди с установленными антивирусами открывали вложения, то никак здесь это не помогало", – добавил собеседник портала Москва 24.

Если сотрудник открывал вложение, компьютер заражался, и после этого хакеры могли продвигаться по сети банка. Это возможно в случае, если операционная система офисных пакетов не обновлена: по словам эксперта, такая проблема существует во многих банках. Более 50 банков подверглись атаке, и в каждом из них могло быть несколько сотен получателей.

Никитин уточнил, что в случае успешной атаки под угрозой оказываются не средства клиентов, а самого банка (их могут похитить через процессинг, заражение банкоматов и т.д.).

Защита от взлома


Лучше всего защищены те банки, которые используют сканеры сетевого трафика и так называемую "песочницу". "Это специальные программные-аппаратные средства: все вложения из писем, приходящих в банк, открываются, и "песочница" смотрит, что при этом происходит, просто наблюдает., – рассказал Никитин. – Если она видит, что происходит какая-то аномалия, то это вложение просто не дойдет до получателя. Ему придет только письмо, где будет написано "Вложение было заблокировано в песочнице".

Банки, у которых есть песочницы, и они хорошо работают, были защищены. Они видели рассылку, но она не прошла к получателям.

Эксперт затруднился оценить успешность проведенных атак, поскольку на данный момент удалось зафиксировать лишь сам факт вредоносных рассылок. "Обычно к нам начинают обращаться уже другие банки после того, как начинается что-то совсем нехорошее, или уже похитили средства. Тогда мы узнаем: похоже, там все прошло и ничего не заблокировалось. Но сам факт массированной рассылки от имени регулятора зафиксирован", – пояснил Никитин. Похожие случаи, по его словам, уже происходили.

Евгения Маркова

закрыть
Обратная связь
Форма обратной связи
Прикрепить файл

Отправить

закрыть
Яндекс.Метрика