«Иллюзия безопасности»: победа над скриммингом и опасность социальной инженерии

Главным инструментом дистанционной кражи денежных средств стала социальная инженерия: в России с применением этого метода в 2018 году совершено 80% атакИсточник: BI.ZONE


В преддверии второго Международного конгресса по кибербезопасности заместитель председателя правления Сбербанка Станислав Кузнецов представил исследование «Threat Zone’19: Иллюзия безопасности», проведенное дочерней компанией банка BI.ZONE. Computerworld ознакомился с ним.

По объему потенциального ущерба Всемирный экономический форум поставил киберпреступность на седьмое место в списке глобальных рисков. Она опередила техногенные экологические катастрофы и распространение инфекционных заболеваний. По оценкам авторов исследования, в 2018 году общие потери мировой экономики из-за хакеров составили 1,5 трлн долл. В 2019 году эта сумма может увеличиться до 2,5 трлн долл. При этом кибербезопасностью озабочено малое количество организаций. Представители малого и среднего бизнеса, даже имея на это средства, неохотно выделяют их на кибербезопасность.

Актуальные угрозы

Социальная инженерия стала главным способом дистанционной кражи средств. В России с применением этого метода в 2018 году произошло 80% атак. В 79% случаев атак по методу социальной инженерии жертвы сами переводят злоумышленникам деньги. Атаки сегодня сфокусированы на молодой аудитории, утверждают исследователи. Если раньше злоумышленники были нацелены на пенсионеров, то в этом году в России их главной аудиторией стали люди 25-30 лет.

Вторая важная проблема — фишинг. 27-30% сотрудников компаний открывают письма с вредоносным вложением. Против организаций с развитой киберкультурой злоумышленники применяют сложные атаки. К ним относятся новые версии вирусов, непрямые пути в инфраструктуру предприятий (атака поставщиков и партнеров), заражение систем вредоносным кодом нескольких преступных группировок одновременно и уменьшение числа используемых инструментов до минимума. Последний способ позволяет хакерам обойти большинство программ для обнаружения угроз и усилить свою анонимность.

Мобильные приложения

В минувшем году 28% мобильных приложений были наиболее уязвимы из-за небезопасного хранения данных, 21% — несовершенных механизмов аутентификации и управления сессиями, 11% — проблем межплатформенного взаимодействия.

Угрозы банкам

Часто нападениям подвержены финансово-кредитные организации, в частности банки, а также их клиенты. Ранее основным способом кражи денег был скимминг – хищение данных банковской карты при помощи устройств для считывания информации с магнитной полосы на карте и перехвата ПИН-кода. В конце 2015 года этот метод почти изжил себя, поскольку банки внедрили в карты чипы, а Госдума ввела уголовную ответственность за скиммеры. Уже в 2018 году доля хищений денег с их помощью не превысила и одного процента. Для сравнения – в первом квартале 2014 года показатель составлял 96%. «Мы победили скимминг», — заявил Кузнецов.

Сейчас, как и в других сферах, 80% атак происходит с использованием социальной инженерии. Еще 11% приходится на вредоносные программы. Основная часть финансовых средств, по словам Кузнецова, выводится через банковские мобильные приложения и операции по картам.

При кражах из банкоматов злоумышленники, как и раньше, в большинстве случаев прибегают к взрывам и взломам. Когда злоумышленники применяют программно-аппаратные методы, то предпочитают использовать устройства для безлимитной выдачи купюр. Вредоносный код присутствовал только в 1% атак.

По данным Банка России, в августе 2018 года объемы хищений в российских банках по сравнению с аналогичным периодом 2017 года снизились в 14 раз, с 1,08 млрд до 0,08 млрд руб. Большую роль в этом среди прочих факторов сыграл обмен информацией об угрозах между самими банками, отраслью и регулятором. Благодаря этому банки спасли 3 млрд руб. Вторым значимым моментом стало задержание ключевых киберпреступников из таких группировок, как Carbanak.

GDPR

Европейский регламент защиты данных General Data Protection Regulation, принятый чуть более года назад, уже приносит свои плоды, считают исследователи. Регламенту удается решать проблему замалчивания утечек, поскольку согласно ему у компаний есть 72 часа на сообщение о потери данных властям. Больше всего об утечках докладывают в Нидерландах, Германии и Великобритании. За несоблюдение новых правил оштрафована 91 компания, среди них – Google во Франции, штраф у которой составил 50 млн евро.

Учебные атаки

В BI.ZONE отмечают, что для повышения киберграмотности бизнесу полезны учебные социотехнические атаки для компаний-заказчиков. Для сотрудников делается фишинговая рассылка, которую они должны распознать. Это получается не у всех. Так, в 2018 году 16% сотрудников переходили по ссылке в сообщении, а 7% вводили свои корпоративные учетные данные на фишинговом сайте или открывали вредоносное вложение.

Источник