Каждая компания стремится защитить клиентов, но с каждым годом мошенники становятся все изощреннее. Согласно исследованию Forbes, к концу 2019 года расходы на борьбу с киберпреступностью достигнут $2 трлн, а к 2022-му повысятся до $8–10 трлн. Инструменты хакеров разнообразны: продвинутые целевые атаки на корпоративных клиентов и сотрудников организаций (APT), перехват трафика (MITM) или управление устройствами и бизнес-приложениями, психологическое воздействие на пользователей (методы социальной инженерии), внутренние утечки и уязвимости «нулевого дня». Алексей Сизов, начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет», рассказал о наиболее опасных видах киберугроз для компаний и об использовании антифрод-систем в разных индустриях.
Традиционными методами уже сложно обнаружить киберугрозы и противостоять им, поэтому компании постоянно совершенствуют системы информационной безопасности. Выявить нарушения на раннем этапе помогают антифрод-системы (от англ. anti-fraud, борьба с мошенничеством — «Хайтек»), которые предупреждают мошеннические намерения, отслеживают подозрительные действия и предлагают подходящие способы защиты.
Виды кибератак
Самые опасные угрозы для информационной безопасности корпораций — APT, MITM, социальная инженерия, внутренние мошенничества и «атаки нулевого дня».
- APT (от англ. Advanced Persistent Threat, «продвинутая постоянная угроза» — «Хайтек»). С помощью компрометации учетной записи одного из сотрудников злоумышленники проникают в локальную сеть или сервер компании и получают доступ к конфиденциальным данным руководства. Чтобы стать мишенью для APT-атаки, не обязательно быть гендиректором или его замом. Чаще всего главными жертвами становятся бухгалтеры, дизайнеры или копирайтеры. Самым ярким примером APT может служить серия атак на АРМ КБР (прикладное ПО для управления корсчетом в Банке России — «Хайтек») и международную систему банковских расчетов SWIFT, при которых воздействия на процессы и технологии, непосредственно связанные с указанными системами, всего лишь за один квартал привели к хищениям на десятки миллионов долларов только в России.
- MITM (от англ. Man in the Middle Attack, «человек посередине» — «Хайтек»). Эта атака направлена на переориентацию веб-трафика. Она происходит, когда пользователь вводит в адресной строке, например, URL своего банка, но его отправляют на сайт-зеркало злоумышленников. Пользователь вводит свои личные данные и даже не подозревает, какая судьба их ждет.
Такая уязвимость была недавно обнаружена в популярной игре Fortnite — игрок переходил по специально созданной фишинговой ссылке, якобы с домена Epic Games, после чего хакер перехватывал данные аутентификации пользователя. Найденная уязвимость позволила мошенникам получать доступы к учетным записям пользователей и их личной информации, а также покупать виртуальную внутреннюю валюту игры с помощью платежных данных жертв.
- Социальная инженерия. Подобный способ получения персональной информации человека возможен благодаря личному общению с жертвой и воздействию на психологию человека. Мошенники используют различные психологические уловки (например, предлагают серьезную выгоду или запугивают жертв) и вынуждают людей совершать ошибки, пренебрегая элементарными правилами безопасности. Недавно клиенты ряда крупных российских банков стали жертвами мошенников, которые под видом сотрудников кредитной организации пытались получить доступ к счетам. Они владели данными о личных счетах клиентов — предоставляли информацию об остатках на счетах или о последних транзакциях. Безусловно, некоторые данные о клиентах можно узнать через социальные сети, но, например, информация о состоянии счета могла выйти за пределы банка только через сотрудников, специализированные сервисы или уязвимости в банковском ПО.
- Внутренние атаки. Тут в роли злоумышленников выступают нелояльные сотрудники организаций, которые превышают полномочия, используя корпоративные ресурсы в своих целях. Это связано с плохим контролем правомерности действий со стороны руководства, которое не успевает следить за всеми работниками. Не так давно к нам обратилась организация, которая к тому моменту наняла миллионного сотрудника. Естественно, проверить каждого вручную практически невозможно, поэтому компания решила внедрить технологию, контролирующую каждого нового работника. Это решение выявляет в их поведении различные аномалии и отклонения, заранее предупреждая акты мошенничества. Недавно компания Tesla подала в суд на бывших сотрудников за кражу коммерческих секретов и передачу их конкурентам. Согласно первому иску, несколько сотрудников вступили в сговор и передали коммерческую информацию Tesla в стартап Zoox, который занимается беспилотными автомобилями.
Во втором иске утверждается, что сотрудник, который работал над созданием системы автопилота, украл исходный код перед тем, как уволиться из компании в январе 2019 года. Вскоре он устроился на работу в китайскую компанию X-Motors, одного из главных конкурентов Tesla.
- «Атаки нулевого дня». Самое незащищенное место компании — новые технологии, продукты или услуги, за которыми разработчики еще не успели установить контроль. Они и становятся главной мишенью для хакерских атак. Такие уязвимости недавно обнаружила у себя компания Microsoft. В зоне риска оказались 64-битные «восьмерки» и «десятки» — версии популярной ОС. Microsoft успели остановить атаку, и патч, закрывающий уязвимость, был включен в обновление системы, вышедшее 12 марта.
Как показывает практика, компании больше всего уязвимы в первые часы атак, поэтому скорость реакции на «нападение» очень важна. И тут на первый план выходят системы, которые фиксируют атаки еще на стадии подготовки. К классу таких решений относятся антифрод-системы, помогающие прогнозировать будущие атаки.
Как развиваются антифрод-системы
Киберпреступники регулярно изобретают новые приемы для взлома корпоративных сетей — к уже известным фишингу, вишингу и кардингу добавляются мобильные мошенничества и все та же социальная инженерия, которая сегодня усилена технологиями подмены номера телефона мошенника на номер call-центра банка или другими технологиями, ставящими в тупик даже людей, имеющих ИТ-образование.
Антифрод-системы постоянно эволюционируют, однако не могут обеспечить стопроцентную защиту пользователя ПК или мобильного телефона. Человек, будь то сотрудник или клиент компании, может нарушить даже самые элементарные меры информационной безопасности. Например, зайти на подозрительный сайт или в спешке кликнуть на всплывающее окно — мошенники придумывают самые разнообразные уловки для проникновения в устройства. По этой схеме развивается множество примитивных атак. Среди наиболее частых — продажа билетов со скидкой более 50%, всевозможные акции и оформление выигрышей, где под видом сайта оплаты выступает ширма, скрывающая реальность простого перевода средств на карту, физически находящуюся на другом конце земного шара.
Вишинг — один из методов мошенничества с использованием социальной инженерии. Злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка или покупателя), выманивают у держателя платежной карты конфиденциальную информацию или стимулируют к совершению определенных действий со своим счетом.
Кардинг — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная держателем.
Чтобы максимально обезопасить данные компаний и их клиентов от мошеннических действий, системы антифрода «подкрепляются» новыми технологиями. Например, стеками больших данных и вычислениями in-memory (вычисления, сохраняющие данные в оперативной памяти на многих подключенных устройствах — «Хайтек»). Это делает обработку данных намного быстрее, при этом компании не требуется покупать специальное оборудование или ПО. Также на помощь антифрод-системам приходит машинное обучение, которое заменяет целый штат сотрудников-аналитиков.
Главное преимущество таких систем — повышение скорости и точности анализа событий и возможность предугадывать «атаки нулевого дня».
Системы противодействия мошенничеству в банках, телекоме и ритейле
- Банки
По оценкам Комитета Совета Федерации по конституционному законодательству и госстроительству, ущерб от хакерских атак в финансовой сфере в 2019 году достиг 3 млрд рублей. Преступники постоянно ищут новые способы получения денег от банков и клиентов, находя уязвимые места в их киберзащите. А поскольку потребители и компании для совершения банковских операций все чаще используют компьютеры, планшеты и смартфоны, уязвимостей становится больше. Существует два направления атак: на клиентов и на сотрудников.
Атаки на клиентов происходят через мобильные банки и сайты банковских организаций. В приложениях мошенники перехватывают СМС- и push-уведомления. Сайты хакеры атакуют с помощью фишинговых страниц. Например, клиенту на почту приходит письмо с предложением от банка, в котором указана ссылка на сайт. В результате пользователь переходит на фейковую страницу, где вводит свои данные, которые сразу попадают в руки мошенников.
Атаки на сотрудников происходят через фишинговые рассылки, целевые атаки (APT, о которых мы говорили ранее), а также утечки почтовых адресов. Например, работнику приходит письмо от неизвестного пользователя со ссылкой на сторонний ресурс или с вредоносным файлом. Работники также могут получить письмо от «официального представителя компании» — адрес будет отличаться одной буквой, и вы не заметите этого.
Системы противодействия мошенничеству помогают контролировать все процессы банка вне зависимости от конкретной модели мошенничества. Контроль за действиями сотрудников и бизнес-процессами поможет зафиксировать угрозу и устранить ее как можно быстрее.
Как показывает история расследований хищений, поведение пользователя, который совершает действия со своего устройства и своей рукой, но под воздействием злоумышленника, имеет явные признаки. Это поведенческие аномалии, которые легко заметить. Ввод украденного пароля злоумышленником также легко детектируется в терминах «клавиатурного почерка», когда характеристики нажатия клавиш при вводе не совпадают со схемой ввода человека в повседневной жизни.
Аналогично можно контролировать и бизнес-процессы. Оформление легитимного перевыпуска банковской карты в присутствии клиента сильно отличается от случаев, когда это делает сотрудник без его ведома.
- Телеком
Современный телеком, а особенно сотовый оператор — это и платежный агент (средства со счета можно переводить), и онлайн-магазин, ведь доступный баланс можно потратить на музыку или на софт. А значит, кроме классических «традиционных» для данного рынка схем нетарификации трафика или взлома АТС, телеком также подвержен атакам, характерным для банковского сегмента, или просто атакам на веб-сервисы или мобильные приложения. А стандартная функция сотового оператора, такая как СМС, является и элементом банковского сервиса, точнее, элементом защиты онлайн-операций.
Если мошенник имеет определенный набор ресурсов, он может легко позвонить или отправить СМС с любого номера. Например, человек получает сообщение с неким ОТП-подтверждением операции телебанка. После подтверждения ему звонит злоумышленник и пытается узнать этот код, пользуясь методами социальной инженерии, из-за чего абонент передает данные. Помимо этого, с помощью телебанка можно пополнять свой и чужой баланс, совершать порой любые внешние денежные переводы на физическое и юридическое лица. Такая функция есть у многих банков. Часто клиент просто не помнит о самом факте доступности такой услуги и порой не замечает, что эта операция прошла, минуя процессы проверки.
Главный способ борьбы с телефонным мошенничеством — контроль поведенческой модели. Причем речь идет как о поведении пользователя, так и глобальной характеристике клиентской активности. Тем не менее, при проведении поведенческой аналитики также возникают ошибки, несмотря на то, что это единственный способ отслеживать мошенничества, которые совершаются при помощи социальной инженерии. Она реализуется с тех же IP-адресов и сильно сбивает человека с толку.
Атакуя пользователей телеком-сервисов, злоумышленники используют практически те же подходы, что и при попытках хищения средств у клиентов банков. Нелегитимные подписки на контент, атаки на дистанционный личный кабинет крайне схожи с атаками на онлайн- и мобильный банкинг. Поэтому и технологии защиты от таких угроз имеют много сходств. Единственное отличие для телеком-сервисов заключается в корректировке поведенческой модели с целью адаптации контроля под иные схемы монетизации: «похищение» минут, совершение подписок на сервисы премиум-контента, активация функций переадресации.
- Ритейл
Мошеннические схемы в ритейле напрямую связаны с подверженностью риску платежных систем. Чаще всего утечки происходят при покупках в интернете, когда клиент вводит свои персональные платежные данные. В результате хакерских атак держатель банковской карты, сам того не зная, передает злоумышленникам данные своей карты, достаточные для совершения покупки в интернет-магазине. Злоумышленник оформляет покупку и приобретает товар или услугу.
Например, мошенники рассылают поддельные рекламные предложения по почте, распространяют фишинговые ссылки в социальных сетях или настраивают контекстную выдачу в поисковике поддельного сайта. Например, заменяют один символ в названии на другой. Согласно исследованию Group IB, хакеры становятся наиболее активны в период распродаж. В 2018 году в интернете появилась информация, что перед «Черной пятницей» появилось более 400 клонов AliExpress.
В ритейле защита крайне важна для онлайн-магазинов, которые часто пренебрегают средствами безопасности в пользу удобства оплаты товаров, чтобы привлечь как можно больше покупателей. Яркий пример таких действий — отказ от технологии безопасных платежей в интернете 3D Secure, которая добавляет дополнительный шаг в процесс подтверждения покупки. В этом случае пользователь должен ввести в специальную форму на сайте не только CVC-код с обратной стороны банковской карты, но и код подтверждения операции, полученный в СМС-сообщении от кредитной организации. Такой подход действительно позволяет интернет-магазину увеличить клиентскую базу, но грозит рисками привлечения внимания злоумышленников. Поэтому контроль того, откуда совершается покупка, за счет идентификации устройства или сегмента подсети может подсказать, что покупатель — вовсе не реальный человек, а программа, или что с этого устройства осуществляется попытка покупок с 25 различных карт, выпущенных в самых различных банках и странах. Сессионная аналитика помогает отличить рядового пользователя от мошенника, действия которого всегда идентичны.
Заинтересовать мошенников и стать их жертвой может каждый из нас, совершая абсолютно рядовые, повседневные действия. По аналогии с безаварийностью на дорогах, которая зависит не только от знания, соблюдения ПДД и внимательности водителей, но и от правильной организации дорожного движения и мер по предотвращению ДТП со стороны дорожных служб, сохранность денежных средств или их эквивалентов в различных сервисах возложена как на обладателя банковского продукта или пользователя онлайн-сервиса, так и на предоставляющую его компанию.