Как известно, прошлый год ознаменовался наиболее серьезными проблемами в этом направлении и четко показал, насколько слабыми и неподготовленными оказались не только «узкие» специалисты, формирующие саму индустрию, но и рядовые потребители высокотехнологичных услуг.
О том, какие механизмы и инструменты используют злоумышленники, что может ожидать кибермир в этом году, поделился руководитель поддержки продаж ESET Russia Виталий Земских.
– Многие из нас уже знакомы со статистикой проведенных кибератак, в том числе затрагивающих финансы, в прошлом году. К примеру, в 2016 году только в России злоумышленники похитили около 2,2 млрд рублей, и это далеко не предел. В этом году количество подобных действий явно не уменьшится, и «нападения», в частности на финансовый сектор, будут производиться до тех пор, пока материальная выгода от успешной операции будет превышать стоимость затрат на ее реализацию.
Факт, что возможность получения относительно «легких денег» для киберпреступников будет реальна до тех пор, пока IТ и ИБ-департаменты банков не откажутся от формального подхода к вопросам обеспечения безопасности. Нашей компанией отмечается постоянный рост числа целенаправленных атак на финансовый сектор уже с 2015 года. В текущем году наши аналитики, по самым скромным подсчетам, прогнозируют рост числа атак на 50%, что, вполне вероятно, приведет к увеличению нанесенного ущерба организациям. Основная причина продолжения кибератак по уже отработанным и «классическим» схемам, по-прежнему позволяющая получать выгоду хакерам, – в первую очередь, слабая осведомленность структур о критических точках и узлах инфраструктуры организации, по которым может быть нанесен киберудар. Направления этих атак до банального просты: фишинг, знание и использование уязвимостей программного обеспечения, социальная инженерия и точечные атаки на наиболее слабые сервисы внешнего IT- периметра, к примеру, слабо защищенный веб-сервис. Обычно механизм атаки отработан до автоматизма: получив несанкционированный доступ к сети организации, киберпреступник начинает проводить разведку, изменяет уровни доступа и категории привилегий, ищет транзакционные системы, связанные с системами дистанционного банкинга, или другие системы вывода средств. Простые, на первый взгляд, схемы атак сочетаются, как правило, с тщательной и всесторонней подготовкой. Изначальная разведка и анализ, которые предшествуют краже, могут продолжаться как несколько дней, так и несколько месяцев. Для проведения непосредственно вывода средств может быть достаточно и нескольких минут. Основные и крупные «игроки», регулярно проводящие атаки на банковские структуры в СНГ и России, достаточно известные кибергруппы Corkow, Carbanak и Buhtrap. Часто их хакеры используют аналогичные методы.
Corkow (англ. corkow – затаивать) – анонимная кибер- преступная группа (второе название Metel), проводящая активную деятельность с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. В отличие от Carberp, который получил мировую известность, Corkow (Metel) не удостоился такого же внимания со стороны исследователей или общественности и был незаметен все это время. Ситуация изменилась в 2014 году, когда совокупный баланс скомпрометированных трояном Corkow (Metel) счетов клиентов превысил $250 млн.
Большинство атак стартует с фишингового электронного письма с вложенным вредоносным файлом, обычно это документ Microsoft Word или изображение эксплойтом. Как только пользователь запускает файл в системе, на его компьютер автоматически устанавливается целый комплекс вредоносных инструментов, а затем следуют уже описанные шаги. Конечный результат, идеальный для киберпреступника, – хищение денег или ценной информации. Что же позволит снизить риски? Сегодня информация – это оружие. В первую очередь, на снижение потенциальных рисков положительно влияет информированность сотрудников, ответственных за обеспечение IT-безопасности в организации, о новейших угрозах, постоянное обучение штатного персонала, использование механизмов двухфакторной аутентификации и, конечно, постоянное и своевременное обновление соответствующего антивирусного и системного ПО.
Тематику заседания продолжил Олег Бакшинский, руководитель направления систем управления ИБ в IBM, который высказал свое мнение о грядущем будущем информационной безопасности и о сложностях анализа кибератак.
– В области информационной или кибербезопасности компания IBM имеет, пожалуй, уникальный опыт подключения элемента в виде когнитивных систем. То есть суперкомпьютер, у которого есть написанные определенным образом программы искусственного интеллекта. Но мне хотелось бы описать наш опыт, отличающийся от опыта других компаний. IBM потратила массу времени на то, чтобы в первую очередь научить Искусственный Интеллект (ИИ) понимать азы информационной безопасности.
В принципе, это было сделано в помощь обычным людям, которых в компаниях называют аналитиками ИБ и перед которыми ставятся задачи по обеспечению этой самой безопасности. В перечень его основных задач обычно входят: расследование потенциальных угроз, включающее внешний анализ по IT-угрозам, внутренний анализ и расследование потенциальных сетевых проблем, постоянный мониторинг очереди оповещений и потенциальных угроз. Далее следуют уже постоянная отчетность и последующая настройка правил корреляции.
К примеру, один аналитик в среднем разбирает максимум 20 инцидентов в сутки, а вот их число на одну компанию только за 2016 год составило 54 млн. Вы представьте: даже если 50 млн инцидентов поделить на 500 дней, выйдет 100 тыс только за один день. А сколько тогда нужно аналитиков для разбора такого объема? По самым скромным подсчетам, в среднем около 5 тыс человек на одну компанию. Пожалуй, такой объем персонала будет слишком велик.
Кто слышал о IBM Watson? Так вот, этот суперкомпьютер может действительно помочь делу – подключение одной из самых совершенных в современности систем Искусственного Интеллекта именно для того, чтобы человек смог кратко, на понятном языке формулировать вопросы и, самое главное, быстро и внятно получать ответы.
Конечно, возникает вопрос: чем же конкретно может помочь ИИ в работе аналитиков. Для начала – использовать огромные массивы существующих данных для обнаружения новых шаблонов атак, а впоследствии – становиться умнее и построить свои т. н. «инстинкты ИБ». Кроме того, ИИ позволяет в разы уменьшить недостаток знаний по ИБ, а именно приоритезировать угрозы, подготовить рекомендации по их устранению с математической уверенностью, большой масштабируемостью и скоростью, которая недоступна обычному человеку.
IBM Watson – суперкомпьютер фирмы IBM, оснащенный вопросно-ответной системой искусственного интеллекта, созданный группой исследователей под руководством Дэвида Феруччи. Его создание – часть проекта DeepQA. Основная задача Уотсона – понимать вопросы, сформулированные на естественном языке, и находить на них ответы в базе данных. Назван в честь основателя IBM Томаса Уотсона.
(Wikipedia)
Основное и самое главное, что позволяет делать Watson, – это сокращение времени для анализа и разбора инцидента и, как следствие, гораздо более быстрого времени на его реагирование и устранение последствий. Помимо всего ИИ дает возможность более глубоко влиять на суть самого инцидента через усвоение обширного числа источников, из которых можно получить данные.
И, как уже было сказано, в результате это позволяет проводить расследования быстрее, быстрее вычищать бэклог, значительно улучшить возможности расследований, избавить человека от тяжелой работы и делать ее заранее.
На втором заседании CIO Club помимо зарубежных экспертов выступил представитель отечественной IT-сферы Шухрат Курбанов. Как авторитетный эксперт в области финансов, он рассказал о существующих потенциальных угрозах потери средств через банковские карты.
– Для начала, чтобы понять, как может происходить кража данных, давайте представим, как производится онлайн-оплата с карты, к примеру, в интернет-магазине. Первое: после осуществления всех действий, связанных с выбором товара, клиент попадает на страницу оплаты, где он должен ввести свои данные и номер карты. Дополнительно может потребоваться адрес владельца карты – это тоже один из способов проверки. После чего система проверит его данные, и оплата пройдет. И вот именно на этом этапе чаще всего и может осуществляться кража данных с карты.
Нужно заметить, что по действующим правилам международных платежных систем клиент не должен страдать от мошеннических действий – в таких случаях ущерб должен возмещать банк-эмитент. Это и понятно, доверие к картам международных платежных систем не должно быть подорвано. В то же время есть и исключения из этих правил. Если сам клиент стал виновником мошенничества, то в этом случае возмещение он не получит.
Теперь, если вернуться к самим мошенническим действиям или к тому, как могут исчезать деньги с карты, нужно перечислить возможные действия злоумышленников.
Как уже упоминалось, один из самых распространенных способов – это фишинг, то есть действия, вследствие которых владелец карты самостоятельно передает данные своей карты мошенникам. Обычно это происходит следующим образом. На электронную почту владельца приходит письмо из его банка, интернет-магазина или платежной системы, в котором будет ссылка на сайт и просьба совершить какие-либо действия. При этом адрес будет похож на адрес вашего банка, известного вам интернет-магазина. В итоге вы введете данные своей карты, а мошенникам потребуется не так уж много времени, чтобы снять средства с вашей карты.
Отдельно стоит затронуть т. н. «man in the middle» (человек посередине) – вот в этом случае с помощью технических и программных средств мошенник встает между клиентом и сервером банка (или процессинга). Вы будете думать, что мошенничает банк, а банку будет казаться, что мошенник – это его клиент. В итоге клиент, ничего не подозревая, введет данные, которые уйдут к злоумышленникам.
Без классических взломов тоже не обойтись – взлом браузера. При этом сценарии в компьютер внедряется вредоносное ПО, которое будет перехватывать данные из браузера в режиме реального времени.
И уж виртуозный способ, требующий наибольшей подготовленности хакера, – взлом базы банка или платежного провайдера. Как я уже сказал, это наиболее сложный способ украсть данные, при котором злоумышленники получают доступ к данным миллионов клиентов и их банковских карт. Как ни странно, но обычно, с учетом репутационной составляющей, о таких взломах редко становится известно.
Фрод (англ. Fraud – «мошенничество») – вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи.
Итак, мы рассмотрели причины, по которым пользоваться банковскими картами при онлайн-покупках опасно. Но при соблюдении определенных правил опасность эту можно миновать, так как банки и процессинги уже позаботились о нас и внедряют системы фрод-контроля, управления и другие способы идентификации и защиты пользователя.
Отдельно Шухрат Курбанов отметил способы обеспечения безопасности. К примеру, система Fraud-контроля подразумевает разработку правил и алгоритмов проверки каждого платежа на соответствие «обычному» поведению клиента или клиентской группы. Система 3D Secure позволяет подтверждать каждую онлайн-покупку через разовый пароль (SMS) или через набор кодов на карте. В заключение эксперт рассказал и о картах с динамическими CVV кодами – пластиковых картах с дисплеем на базе электронных чернил, на котором вместо пропечатанного CVV отображается меняющийся через определенное время код (DCV). Встреча участников и экспертов CIO Club, как и ожидалось, была яркой и насыщенной. Профессионалы активно обсуждали затронутые темы, делились накопленным практическим опытом и задавали интересующие их вопросы.
