Взгляд со стороны

Если говорить именно про хищение денежных средств, то в первую очередь в зоне риска находится банковский сектор. Но злоумышленники работают сегодня не только на хищение денег. Есть широкий спектр видов мошенничества, где нет прямого воровства с банковских счетов, но он так или иначе наносит ущерб небанковскому сектору. И редки случаи, когда таких мошенников призывали к ответу. Направление заметно активизировалось совсем недавно и очень бурно растет. Например, до недавнего времени для ритейл-компаний, с которыми мы ведем диалог, не было особых последствий от работы мошенников. А сейчас в этом направлении заметен подъем. Видимо, ситуацию усугубляет нынешняя экономическая ситуация. Народ ищет пути, как сэкономить и заработать.

Не так давно к нам обратилось несколько компаний, у которых возникли проблемы с мошенничеством на их интернет-порталах. И мы, изучив, что происходит на андерграундных (подпольных) площадках, увидели, что там продают то, что даже нельзя вывести – учетные записи к личным кабинетам, игровые монеты и вещи, бонусы и т.д. Это направление шире, чем банковское, по видам мошенничества и объемам ниши. Измерить его в денежном эквиваленте сложно. Но, думаю, что потери здесь сопоставимы с банковскими или даже превышают их.

Тут сказывается разница в размерах банков. Крупнейшие банки находятся в России. Естественно, мошенники в первую очередь нацелены на крупный банк, и практика это подтверждает. Только когда крупный банк научится эффективно бороться с новой группировкой, тогда мошенники переключатся на следующие банки. Такая тенденция есть, даже когда банки используют ДБО одного вендора, и у мошенников есть данные по клиентам разных банков. Логично, что новая волна хищений через системы ДБО докатится до небольших организаций в последнюю очередь. Поскольку кейсов мошенничества в странах СНГ мало, то и знаний о том, что и как надо защищать, у специалистов банков там тоже мало. Поэтому крайне важен обмен информацией и опытом, в чем мы с удовольствием участвуем.

Здесь сформировалась разнонаправленная тенденция. То, что сразу выбивается по сравнению с 2014 годом, – это тенденция к уменьшению мошенничества, связанного с физлицами. По классическому ДБО это происходит в первую очередь из-за сокращения числа преступных группировок. За прошедший год вместе с правоохранительными органами мы пресекли деятельность двух из трех существующих группировок, их участники сейчас находятся под следствием. Осталась одна многопрофильная группировка. Она, хотя и продолжает работать, но уже не так активно, как раньше. Противоположная тенденция сложилась в области хищений через мобильный банкинг: количество группировок, использующих и развивающих мобильные трояны, за последний год выросло в 3 раза. Эффект от их «работы» еще предстоит ощутить. Тем не менее общий объем хищений у физлиц не идет ни в какое сравнение с объемом хищений у юрлиц и у самих банков в результате целенаправленных атак на них.

По юрлицам работали 2 большие профессиональные группировки, которые разрабатывали собственный вредоносный код. Но в связи с курсовой разницей они переориентировали свою активность за рубеж. Теперь им выгоднее похитить один раз условно 1 млн долларов, чем 1 млн рублей. Из «старичков» в России осталась только одна группировка, использующая вредоносное ПО собственной разработки. Вот она продолжает развиваться. Но заметно, что она стала смещаться на более мелкие банки. Вместе с тем появились несколько новых группировок (по состоянию на конец 3-го квартала 2015 года нам было известно о еще 6 группах). Они используют не свое, а покупное вредоносное ПО, которое продается на андерграундных площадках. И в основном похищают через удаленное подключение. Это атака проводится в ручном режиме, и поэтому ее нельзя масштабировать. Но их много из-за доступности необходимых «вредоносов».

К сожалению, ситуация с сокращением числа банков и персонала в них способствует увеличению числа успешных атак. Специалисты, уволенные из финансовых организаций, вполне могут оказаться склонны к перепродаже имеющихся у них тайных знаний.

Есть различные случаи, о которых я пока не могу рассказывать, потому что еще идет расследование. Из публичных вещей – продажа исходных кодов Buhtrap. Этот троян использовался при атаках на юрлиц и банки. Он был бесплатно выложен в интернет, народ расхватал его, и кто как дальше этим воспользуется, неизвестно. Скорее всего, чуть позже это событие поспособствует росту количества группировок и случаев мошенничества.

От случая к случаю он разный. Надо понимать, что у группировок тоже есть свои циклы. Когда к ним слишком близко подбираются, они прячутся. А потом через какое-то время снова всплывают. Но в среднем требуется от полугода до года, чтобы они научились лучше работать.

Также надо понимать, что у легкодоступного вредоноса есть свои ограничения по функционалу. И выше его не прыгнуть. Хочешь больше денег, придется набирать больше народа. А это риск, что поймают. Если же это собственноручно разрабатываемые вредоносы, здесь скорость будет сильно выше. Потому что они будут работать более целенаправленно против конкретного банка, фокусируясь на нем. И уровень проникновения будет глубже.

Вообще защита должна быть эшелонированной. Но очевидно, что бороться надо с причинами. Но это сложно и ресурсозатратно. И Центробанк сейчас делает то, что можно сделать в первую очередь, чтобы пресечь дальнейший вывод денег за пределы банка. И это правильно. Создание инструмента, который обеспечит сбор и обмен информацией о фроде в режиме реального времени, довольно существенно повлияет на уровень фрода в банках.

Что касается целенаправленных атак, здесь ЦБ не борется с последствиями, скорее, все чаще бьет тревогу, что банки не хотят бороться с причинами, которые на самом деле находятся в их поле ответственности и контроля.

Думаю, что интеграция будет глубокой. Есть веские причины, которые подвигают ЦБ РФ задумываться и производить такие серьезные шаги. И то, что было до этого рекомендательным, сейчас имеет шанс стать обязательным. Уже анонсирована идея создания системы межбанковского антифрода. В публичных источниках проходила информация о том, что FinCERT’у будет выделен бюджет и будут набираться специалисты.

Те банки, которые сталкиваются с фродом часто (несколько раз в месяц), думаю, готовы. Потому что они, во-первых, понимают, что достигли своих пределов эффективности в одиночной борьбе. Следовательно, надо объединяться. Во-вторых, оценивая опыт западных банков, они видят, насколько эффективно такое взаимодействие.

Иначе дело обстоит со средними и малыми банками, у которых подобных случаев происходит всего несколько в год, и потому у них еще нет осознания того, что собственных сил уже не хватает. Они либо «проглатывают» случившуюся пару инцидентов, либо обрабатывают их собственными силами.Пока еще существует некоторое опасение по поводу использования единой площадки для информационного обмена, связанное с возможными рисками нарушения банковской тайны и использованием переданных данных конкурентами.

Если говорить в разрезе целенаправленных атак, это неготовность банков к новым технологиям, свежему вектору, отсутствие подготовленных кадров. Сегодня в большинстве своем банки, пострадавшие от мошенничества, не имеют в штате специалистов по информационной безопасности, а вопросам защиты уделяют крайне мало внимания. Выход здесь видится только в обучении, а, следовательно, повышении информированности банков относительно этой проблемы.

Необходимо заниматься не бумажной, а практической безопасностью. В разрезе мошенничества в системах ДБО обмен информацией о дропах и жертвах, думаю, сильно снизит успешность массовых атак, но не исключит их полностью. Это поле самой тяжелой битвы. Здесь важно выстраивать эффективные способы коммуникации и обмена опытом.

Мы отмечаем большую разницу в зависимости от региона. Например, в Индии нет высокотехнологических хищений. Здесь более распространены «социалка» и простые средства. СЗИ, которые здесь используются, тоже тривиальны. Следовательно, похитить деньги проще.

Если брать Европу и Штаты, то там уровень технологий, используемых мошенниками, сопоставим с нашей ситуацией. Тем более что есть очевидное проникновение туда русскоговорящих мошенников.

Свою роль также играет ярко выраженный региональный признак: мошенники работают по какому-то региону, в котором используются свои технологии вывода денег и т.д. Но есть и переход этих границ, смена фокуса, концентрация на другие страны. И этот переход – самый благоприятный для мошенников с точки зрения «заработка». Потому что в другом регионе, как правило, никто не готов к новым технологиям и способам мошенничества, что дает шанс похитить больше за определенный период времени. Например, никто на Западе не готов к технологиям, используемым российскими мошенниками. А между тем русскоговорящие вирусописатели широко разошлись по миру. Заметен интерес западных группировок к нашим вредоносам.