Содержание
От «червя» до социальной инженерии
Понятие «компьютерный вирус» и осознание угроз, которые несут подобные программы, сформировалось еще до появления интернета, в 1970-1990-х годах. «Одной из первых серьезных кибератак в мире принято считать атаку червя Morris (Morris Worm) в 1988 году, которая продемонстрировала уязвимость систем, заразив более 6 тыс. компьютеров в течение суток. На тот момент антивирусного ПО еще не существовало, поэтому последствия были достаточно разрушительными», — рассказывает Кирилл Мичурин, руководитель группы продаж компании «Индид».
Изображения сгенерированы с помощью нейросети Midjourney
С изобретением в 1990 году Тимом Бернерсом-Ли Всемирной паутины и быстрым международным ростом интернет-аудитории деятельность киберпреступников вышла на новый уровень. Злоумышленники увидели в интернете множество возможностей для ведения «бизнеса». Так, они начали использовать уязвимости в ОС, формировать первые бот-сети для управления зараженными компьютерами, отмечает Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision. С помощью бот-нетов проводились первые DDoS-атаки. Кроме того, киберпреступники стали нападать на рядовых пользователей: широкое распространение в 1990-х годах получили почтовые вирусы, тогда же появились первые случаи фишинга.
DDoS-атаки (англ. Denial of Service — «отказ в обслуживании») – кибератака на систему с целью вывести ее из строя. Искусственно создаются условия, при которых пользователи не могут зайти на ресурс либо получить доступ к нему.
Фишинг – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Достигается путем массовых рассылок электронных писем или сообщений в социальных сетях.
Кардинг – вид мошенничества, при котором производится операция с использованием платежной карточки или ее реквизитов, не инициированная или не подтвержденная ее держателем.
Скимминг – (англ. skimming – «снятие сливок») – это кража данных банковской карты при помощи специальных портативных устройств – скиммеров, которые устанавливают на картоприемники банкоматов.
На российском банковском рынке хакеры активизировались с момента установления онлайн-связи между коммерческими банками и ЦБ РФ, констатирует Федор Музалевский, директор технического департамента RTM Group. По словам эксперта, с распространением банковских карт с магнитной полосой появились такие виды киберпреступлений, как кардинг и скимминг. Одновременно злоумышленники начали атаковать интернет-банкинг кредитных организаций, пытаясь взломать системы дистанционного банковского обслуживания. Позднее мошенники переключились на использование методов социальной инженерии и продолжают действовать в этом направлении до сих пор.
В первом десятилетии XXI века киберпреступники всего мира объединялись в крупные международные группировки. В их задачи входили целевые, или, как их еще называют, таргетированные атаки на объекты промышленности, энергетики, госструктуры. Один из известных примеров такой атаки датирован мартом 2022 года, когда Ф.И.О, телефоны и адреса 7 млн пользователей сервиса «Яндекс Еда» оказались в открытом доступе.
С развитием технологий мошенники стали атаковать не только компьютеры, но и смартфоны. Целью вирусов, разработанных для Android-устройств в 2010-х годах, стали приложения мобильного банкинга, а на рубеже 2015-2016 годов преступные схемы уже включали их подлог и перехват сообщений. По словам Федора Музалевского, пресечь атаки удалось «всего пару лет назад, после выполнения банками требований по ОУД4».
Оценочный уровень доверия ОУД4 – стандарт, который предъявляет ЦБ РФ к коммерческим банкам в области защиты информации. Проверяется исходный код ПО, возможность незаконного проникновения в систему и т.д. После анализа уязвимостей проводится тест на взлом, чтобы определить возможность эксплуатации выявленных уязвимостей.
В 2010-х годах массовый характер приобрели утечки данных, в том числе и персональных, активно распространялись вирусы-шифровальщики и другое вредоносное ПО. Начались целевые атаки на критическую инфраструктуру, были проведены первые киберудары по цепочкам поставок.
SSC – Software Supply Chain Attacks – атаки на цепочки поставок программного обеспечения. Вид атаки, когда доступ к целевой системе атакующий получает не напрямую, а через внедрение в какой-либо используемый организацией продукт или компонент, которому она доверяет.
Сегодняшний бум технологий открыл перед мошенниками невиданные ранее возможности. В разгар пандемии коронавируса компании были вынуждены переводить сотрудников на домашний режим работы. Для этого потребовалось использовать протоколы удаленного доступа к корпоративным ИТ-ресурсам, отмечает Сергей Симак, эксперт по кибербезопасности, менеджер по продвижению продукта «АйТи Бастион»: «В результате увеличилось количество потенциальных уязвимостей, наблюдался рост атак на пользователей и их учетные записи. Злоумышленники начали активно эксплуатировать недостатки удаленного доступа для получения несанкционированного входа в системы и кражи данных», — заключает эксперт.
Дипфейк от нейросети
С каждым годом арсенал киберпреступников становится все разнообразнее. В дополнение к традиционному вредоносному ПО, фишинговым рассылкам и методам социальной инженерии на первый план выходят целенаправленные атаки, а также удары по цепочкам поставок.
Вместе с тем злоумышленники освоили сервисную модель киберпреступности. В даркнете кибернападения теперь предлагают как услугу. Здесь можно заказать проведение DDoS-атак или распространение вредоносного ПО, такого как Ransomware-as-a-Service (RaaS), отмечает Сергей Лахин, генеральный директор Quasar. «Модель RaaS дает возможность даже новичкам в хакерской деятельности осуществлять масштабные удары», — подчеркивает эксперт. Он также предупреждает, что атаки на цепочки поставок и использование слабых мест IoT-устройств (устройств со встроенными датчиками и ПО) становятся серьезной угрозой, так как преступники могут проникать в системы через слабые звенья инфраструктуры.
Целевые атаки все чаще направлены на компании малого и среднего бизнеса. «Злоумышленники используют их для получения доступа в инфраструктуру более крупных организаций. Самый простой способ для этого – компрометация легитимных учетных данных. Получив доступ, атакующие могут легко завладеть контролем над ИТ-системами, совершать несанкционированные действия с чувствительными данными, нарушать работу целевых систем и многое другое», — рассказывает Кирилл Мичурин.
Сергей Симак, эксперт по кибербезопасности, менеджер по продвижению продукта «АйТи Бастион», приводит пример системного интегратора «Платформикс», атакованного в 2023 году со стороны организации-подрядчика. Для этого была использована находящаяся в компании-подрядчике техническая учетная запись для подключения к интегратору, в результате «Платформикс» был недоступен в течение трех дней.
«Хотя восстановить систему удалось благодаря резервным копиям, интегратор понес значительные убытки. Еще две недели понадобилось на восстановительные работы и расследование тактики злоумышленников. К финансовым потерям прибавились затраты на ресурсы для анализа инцидента», — рассказал Сергей Симак.
В 2024 году Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности ЦБ РФ («ФинЦЕРТ») зафиксировал свыше 750 атак на финансовые учреждения. Наибольшее количество составили DDoS-атаки (325 случаев), атаки с применением вредоносного ПО (109 случаев) и компрометация учетных данных (121 случай).
При этом самым распространенным методом получения начального доступа к системам компаний финансового сектора стала компрометация подрядных организаций. Так, в прошлом году «ФинЦЕРТ» зафиксировал 17 инцидентов в компаниях, которые предоставляют ИТ-услуги для более чем 70 финансовых организаций.
Киберпреступники все чаще комбинируют различные методы и инструменты, усиливая их технологическими возможностями искусственного интеллекта. ИИ уже используется в социальной инженерии, при создании дипфейков, а также в автоматизации подготовки вредоносного ПО, генерации фишинговых писем, сайтов, подборе паролей и т.д., отмечает Николай Гончаров. «Для эффективного противодействия актуальным киберугрозам необходим комплексный подход к киберзащите», — резюмирует он.
Глобальный вызов
В 2024 году количество кибератак увеличилось, однако оценки темпов этого роста различаются в зависимости от исследовательских компаний. Так, по данным экспертов Red Security, за 10 месяцев прошлого года было совершено в два раза больше атак, чем за аналогичный период годом ранее.
Более скромную оценку дают эксперты центра противодействия кибератакам Solar JSOC ГК «Солар»: количество кибератак на финансовый сектор за год выросло на треть и достигло 9 тыс. подтвержденных инцидентов.
По данным ЦБ РФ, за третий квартал 2024 года существенно (на 18,6%) по отношению к предшествующим четырем кварталам выросли атаки типа «отказ в обслуживании», или DDoS-атаки. Количество кибератак других типов — с использованием методов социальной инженерии, фишинга, вредоносного ПО — напротив уменьшилось. Прошлым летом в СМИ прошла информация о массовых DDoS-атаках на российские банки. Пользователи сталкивались с проблемами в работе мобильных приложений и сайтов, а также жаловались на невозможность выполнить ряд операций. Но почему киберудары типа «отказ в обслуживании» растут, в то время как другие виды атак сокращаются?
Сказывается действие сразу нескольких факторов, убежден Сергей Лахин. Первый из них — доступность сервисов для проведения DDoS-атак на теневом рынке. Второй — активные действия банков для обеспечения защиты от фишинга и вредоносного ПО. «Многие компании внедрили многофакторную аутентификацию, системы обнаружения вторжений и регулярное обучение сотрудников, что затрудняет проведение сложных атак. Кроме того, постоянно растут требования Банка России к информационной безопасности финансовых организаций. К тому же довольно высок уровень решений российских вендоров», — отмечает эксперт.
DDoS-атаки остаются сложным вызовом, считает Сергей Лахин, так как требуют значительных ресурсов для отражения, особенно в условиях роста числа подключенных устройств и увеличения пропускной способности сетей. Но вместе с тем, как полагает Николай Гончаров, сегодня банки наладили работу центров мониторинга кибербезопасности, начали применять инструменты быстрого обнаружения инцидентов и противодействия различного рода атакам, в том числе и DDoS. Все это способствует их оперативному выявлению и отражению угроз.
«Как правило, DDoS-атаки используются для нанесения репутационного ущерба и оказания давления — их проще организовать, они в разы дешевле. Такие атаки используются для отвлечения внимания от других видов взломов систем. Рост доли DDoS-атак — это симптом смены тактики нападающих», — уверен Даниил Белицкий, ведущий аналитик SOC группы компаний SolidLab.
Снижение числа фишинговых мошенничеств — результат комплекса мероприятий ЦБ, РКН и правоохранительных органов, считает Федор Музалевский. «Одним из основных достижений можно назвать сокращение мошеннических звонков за счет прореживания рынка SIM-карт. Благодаря этому количество инцидентов сократилось более чем вдвое. Правда, часть мошенников перекочевала в мессенджеры», — отмечает эксперт.
В своем последнем обзоре основных типов компьютерных атак в финансовой сфере ЦБ РФ одним из перспективных векторов атак на банки называл эксплуатацию уязвимостей в ПО зарубежных вендоров, прекративших поддержку клиентов из России. В 2024 году финансовые учреждения продолжили решать задачу замещения такого софта продуктами российских разработчиков.
Выбрать оптимальную стратегию в этой области банкам помогал Индустриальный центр компетенций «Финансы». В сегменте программного обеспечения ИЦК инициировал создание отраслевых полигонов (так называемых песочниц) для тестирования российских продуктов и решений в реальных условиях. Был создан специальный инструмент для отправки запросов в Минцифру и Минпромторг, с тем чтобы финансовые организации могли получать отечественное оборудование. Для тестирования российских решений была разработана единая методика.
Импортозамещение ИТ-систем в банковской сфере требует значительных инвестиций в исследования и разработки, а также модернизации инфраструктуры для соответствия новым стандартам безопасности и эффективности. Дмитрий Миклухо, старший вице-президент — директор департамента информационной безопасности ПСБ, считает этот процесс глобальным вызовом. Выступая на Уральском форуме «Кибербезопасность в финансах», он отметил, что отечественным программным продуктам, замещающим зарубежное ПО, нужно уделять особое внимание. «Во-первых, все импортозамещенные продукты должны проходить проверку на соответствие требованиям информационной безопасности и на наличие возможных уязвимостей. Необходимо на законодательном уровне проработать инструменты, которые бы обязывали поставщиков ПО совершенствовать свои системы безопасности. Во-вторых, нужно развивать глубокие компетенции сотрудников, работающих с российскими информационными системами», — сказал Дмитрий Миклухо. Только комплексный подход к этим вопросам позволит российским банкам как заместить зарубежные технологии, так и создать безопасную, конкурентоспособную ИТ-инфраструктуру для будущего.
Будущее начинается сейчас
Ассоциация финансовых технологий в своем ежегодном исследовании «3×10 трендов 2025 года» отметила такие тренды, нацеленные на борьбу с рисками и угрозами нового поколения, как квантово-устойчивая криптография, системы защиты от дезинформации (дипфейков), а также искусственный интеллект. Будущее, считают аналитики АФТ, за внедрением инструментов ИИ во все ключевые сферы компьютерной безопасности.
Однако в освоении искусственного интеллекта кибермошенники нередко опережают «безопасников». По словам Кирилла Мичурина, злоумышленники часто применяют нейросети для более эффективной генерации вредоносного текста или кода для последующего использования в фишинговых письмах.
Дмитрий Миклухо назвал стремительное развитие искусственного интеллекта еще одним глобальным вызовом. По его мнению, угроза состоит в пока еще неполном понимании спектра возможностей технологий ИИ. «Что касается обеспечения безопасности финансовых операций клиентов — человеческий фактор по-прежнему остается самым слабым звеном в цепочке защиты от мошенников. Методы социальной инженерии постоянно расширяются: например, мы столкнулись со случаями мошенничества с использованием технологии NFC. ПСБ использует комплексный подход в защите клиентов, ведет активную информационную работу и постоянно совершенствует антифрод-системы. Так, мы выработали большой опыт и компетенции по борьбе с фишинговыми приложениями и сайтами», — добавил Дмитрий Миклухо.
Во второй половине прошлого года начал активно распространяться вирус (типа SpyNote) с функциями удаленного доступа к смартфону. Он мимикрирует под разные безобидные программы, благодаря чему мошенники видят пароли и СМС. Затем злоумышленники легко получают удаленный доступ к банковскому приложению и крадут деньги. По данным ЦБ РФ, последние полгода примерно 40-50% хищений со счетов пользователей совершаются именно так. Согласно информации от «Лаборатории Касперского», в 2024 году число атак с использованием SpyNote в России увеличилось почти в девять раз по сравнению с 2023 годом, составив сотни тысяч случаев.
Для того чтобы службы ИБ банков смогли пользоваться ИИ для защиты, необходимы инвестиции в вычислительную инфраструктуру и в локальные языковые модели. «Обработка больших данных в закрытых контурах — сложная задача, и банки осторожно относятся к зарубежным LLM (большим языковым моделям, генерирующим тексты), опасаясь утечек. Рынку нужны отечественные ИИ-решения, — отмечает Даниил Белицкий. — Крупные банки уже начинают пилотные проекты. Массовое же внедрение мы ожидаем в 2025–2026 годах».
Противостояние «добра» — защитников информационной безопасности — и «зла» — киберпреступников — очевидно будет продолжаться и дальше. С развитием технологий эта борьба становится все более сложной, а ее участники — все более изобретательными. Гонки по спирали продолжаются на новых, более высокотехнологичных этапах цифровизации.
Изображение на обложке сгенерировано с помощью нейросети Midjourney