Борцы с киберпреступностью обнаружили хакерскую группировку, на счету которой не менее двух десятков успешных атак на финансовые учреждения России, США и Великобритании. На протяжении полутора лет злоумышленникам удавалось скрывать преступную деятельность. Предположительно, хакеры являются русскоговорящими и пока им удается скрываться. Эксперты считают, что в ближайшее время мошенники могут вновь активизироваться.
Согласно отчету компании Group-IB, хакерская группировка MoneyTaker с 2016-го осуществляет кибератаки на российские, американские и британские банки, рассказывает «Газета.Ru». Специалистам удалось установить связь между 20 инцидентами краж финансовых ресурсов. В настоящее время группа находится в активной фазе, поэтому не исключены попытки новых хищений.
«Невидимки»
В зоне внимания мошенников – системы карточного процессинга и переводов между банками. Известно, что в числе жертв хакеров было автоматизированное рабочее место клиента Центробанка России (АРМ КБР).
Всего же специалистами выявлены 16 кибератак на американские финансовые компании, 3 – на российские и одна – на британскую. При этом лишь один из 20-ти взломов обнаружила система безопасности банка, что позволило вовремя предотвратить преступление.
Отмечается, что атаки на американские финансовые организации в среднем принесли мошенникам по 500 тыс. долларов. Нападение на систему АРМ КБР оценено в 72 млн. руб. – именно столько хакерам удалось вывести со счетов.
Пока MoneyTaker орудует в трех странах, но эксперты считают, что очередными целями группировки могут стать банковские организации стран Латинской Америки. Деятельность хакеров в течение долгого времени была вне радаров: злоумышленники заботились об инструментах взлома и путях отхода, тщательно уничтожая любые следы. И все же ИБ-специалистам удалось отыскать похожие паттерны в инфраструктуре, а также в тактике группы. Это позволило прийти к выводу, что за всеми 20 инцидентами стоят одни и те же люди.
По мнению руководителя департамента киберразведки Group-IB Дмитрия Волкова, участники MoneyTaker скорей всего русскоговорящие. Практически все атаки на отечественные банки осуществляются при помощи носителей русского языка – при взломе закрытых систем это зачастую оказывается решающим фактором.
Помимо этого, удалось установить, что группа арендовала серверы в РФ, пользовалась почтой «Яндекса» и Mail.Ru. Такие находки позволяют предположить, что речь идет о «русских хакерах», которыми нередко пугают Европу и США. В то же время доказательств связи MoneyTaker со спецслужбами России не найдено.
Материалы по теме
00:14 — 7 декабря 2016
Вор из незалежной
Как украинский хакер украл миллионы и сумел уйти от наказания
Кроме того, киберграбители усовершенствовали свое оружие. Они вооружились новым инструментом для создания вредоносных документов Microsoft Office с эксплойтами, способными воспользоваться уязвимостями в программном обеспечении на локальном или удаленном компьютере. Cobalt начала использовать обновленную версию компоновщика вредоносных документов ThreadKit. Эксперты по кибербезопасности из компании Fidelis заметили, что хакеры поработали и над тем, чтобы лучше заметать следы.
После успешного хищения через SWIFT в России Cobalt сфокусировались на других странах. Начиная с середины 2020 года за пределами России Cobalt делали рассылки от имени некоторых банков Европы, Греции, Индии, Казахстана. Причем рассылки велись с почтовых серверов этих финансовых учреждений, что может свидетельствовать о проникновении в систему самого банка либо о компрометации почты сотрудников. Об удачных кражах Cobalt за пределами России за последний год неизвестно. Однако с января 2019-го киберворы добавили новую схему распространения: письма с адресов, зарегистрированных на бесплатных почтовых сервисах, и рассылки от имени людей, хорошо известных в финансовых кругах.
Последний успех Cobalt в России был зафиксирован год назад — в ноябре 2018-го. Более полугода хакеры не проявляли активности, но в июле 2019-го вновь начали испытывать российские банки на прочность, предпринимая попытки проникновения, говорят в Group-IB. Предугадать заранее, где завтра ударит Cobalt, невозможно. Да и потенциал опытных грабителей нельзя недооценивать. К тому же российские правоохранители не разделяют восторгов по поводу задержания человека, фигурировавшего в испанской прессе как Денис К. Источники в МВД, специализирующиеся на киберугрозах, отмечают, что схваченный в Испании хакер (Денис Токаренко, использовавший документы на фамилию Катана) — высокопоставленный администратор опасной группы, но не ее предводитель.
Атаки проходили в фоновом режиме
Финансовый сектор киберпреступники рассматривают, как лакомый кусок для обогащения, поэтому кража личных данных их не интересует. На протяжении последних 5 лет зафиксирован ряд крупных взломов банков в США, России и Южной Корее.
Так, осень. 2016-го произошла массовая кибератак на Сбербанк, Банк Москвы, Альфа-банк и другие крупные компании. Помимо этого, некоторые финансовые организации в мае 2017-го стали жертвами глобального вируса WannaCry. Из-за этого инцидента регулятор решил выпускать рекомендации по уменьшению риска для участников финансового сектора России.
Ранее замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев заявлял, что в 2017-м атаки вируса не нанесли существенного ущерба банковскому сектору страны.
«Атаки шифровальщиков для банковской отрасли прошли, что называется, в фоновом режиме. Даже не очень крупные банки, которые фактически не могут уделять большого внимания информационной безопасности, и то подобные атаки сумели отразить. И реально по финансовой системе вообще практически никакого ущерба эти атаки не нанесли», — говорил Сычев.
По мнению технического директора Check Point Software Technologies Никиты Дурова, вопрос информационной безопасности для отечественных банков в настоящее время стоит крайне остро.
«Ежедневно их услугами пользуются миллионы людей, поэтому хакеры так стремятся взломать их защиту. Кроме того, компрометация онлайн-банкинга приведет к подрыву доверия клиентов как к отдельному банку, так и к самой модели дистанционного банковского обслуживания. Взлом информационной безопасности банка даст злоумышленникам возможность получить данные о пользователях, а значит обеспечит доступ к их счетам и операциям», — отметил эксперт.
В ESET Russia считают, что хакерские атаки на финансовый сектор в основном строятся на человеческом факторе, иначе говоря — на социальной инженерии. Руководитель поддержки продаж Виталий Земских рассказал, что порой применяются и другие варианты: к примеру, атакующие могут хорошо изучить внешние веб-сервисы потенциальных жертв и с их помощью попасть в периметр. Далее они расширяют права в системе, проводят разведку и совершают атаку.
Также слабым звеном являются банкоматы, которые подвержены распространению вредоносного ПО, уязвимостям и эксплойтам.
«До недавнего времени некоторые банки следили преимущественно за защитой банкоматов от физического ущерба (кражи, подрыва и пр.), а безопасности ПО уделяли меньше внимания. Эта недоработка была использована в кибератаках», — констатирует Земских.
← Предыдущая новость
Кредиторы предупредили Киев о недопустимости давления на НАБУ
Следующая новость →
Самые известные хакеры и их атаки
19 сентября отмечается международный пиратский день. Diletant.media решил сегодня рассказать своим читателям о современных коллегах флибустьеров — о хакерах.
Для начала стоит обозначить значение данного термина. «Hack» — по-английски когда-то обозначало массу понятий с общим значением «что-то резко обрывать». Были еще нюансы. Потом «hacking» стало простым компьютерным хулиганством.
«Хакер» — это взломщик сайтов и серверов. Человек, использующий свое мастерство для разных, иногда неблаговидных целей. Сейчас это для одних — индустрия, а для других — стиль жизни. Вторые предпочитают называть себя не «хакерами», а «хэкерами», это целое международное сообщество. Они взламывают сети из спортивного интереса и, уходя, зачастую «латают дыры». «Чистые» хакеры не только не причиняют вреда, но и приносят пользу, указывая на слабые места в системе. И часто делают это бескорыстно. Иной раз и по просьбе самого владельца сети, желающего узнать эти самые слабые места.
Самые известные хакерские атаки в истории интернета
Кевин Митник и Пентагон.
Этот американец — наверное, самый известный в мире хакер, во многом благодаря склонности к эксцентричному поведению, которого от него и ожидала праздная публика. Во время своего ареста в 1995 году Митник безапелляционно заявил, что ему достаточно посвистеть в трубку уличного телефона-автомата, чтобы развязать ядерную войну.
В действительности, конечно, ничего подобного он сделать не мог, поскольку, пусть и действительно взломал множество защищенных сетей, но использовал для этого вовсе не какие-то гениальные программы и сверхъестественные коды, а банальные методы социальной инженерии: проще говоря, человеческий фактор. Митник применял не столько какие-то технические навыки, сколько знание психологии и манипулировал людьми, заставляя их выдавать свои пароли.
Митник взломал Пентагон на компьютере с процессором меньше 2 мегагерц
Практиковаться во взломе различных систем Митник начал с детства. Известно, что в 12-летнем возрасте он нашел способ подделки автобусных билетов, который позволял бесплатно перемещаться по всему городу. Затем он «перехватил» управление системой голосовой связи в местной закусочной «МакАвто», чтобы говорить посетителям всякие гадости.
В шестнадцать лет Митник взломал сеть фирмы Digital Equipment Corporation и похитил размещенное там программное обеспечение: это стоило ему года в заключении и трех лет под надзором полиции. Именно в это время он влез в систему голосовой почты Pacific Bell и после того, как был выписан ордер на его арест, пустился в бега.
Будучи студентом, с компьютера TRS-80 Митник проник в глобальную сеть ARPANet, предшественницу Internet, и через компьютер Лос-Анджелесского университета добрался до серверов министерства обороны США. Взлом был зафиксирован, юного киберпреступника довольно быстро нашли, в итоге он отбыл полгода в исправительном центре для молодежи. Любопытный факт: он проделал это на компьютере с процессором меньше 2 мегагерц.
В 1999 году поймавшие Митника агенты ФБР утверждали, что при нем были фальшивые документы и мобильные телефоны с «клонированными» номерами. В итоге его обвинили во взломе нескольких компьютерных и телефонных сетей и приговорили к 46 месяцам заключения плюс 22 месяца за нарушение условий условного освобождения; при этом шутка про ядерную войну обошлась ему в восемь месяцев в «одиночке».
Кевин Митник вышел из тюрьмы в 2003 году и с тех пор написал несколько книг о своих хакерских достижениях. В 2000-м вышел фильм «Взлом» (Track Down) на основе его биографии, написанной Цутому Симомурой и Джоном Маркоффом, причем Симомура был экспертом по компьютерным системам, чей компьютер был взломан Митником. Сегодня Митнику 49 лет и он управляет собственной компанией по компьютерной безопасности.
Джонатан Джеймс и НАСА.
Американец Джонатан Джеймс — первый несовершеннолетний хакер, осужденный в США за киберпреступления. Как утверждало обвинение, в 15-летнем возрасте в 1999 году он взломал компьютерную систему собственной школы, сеть телекоммуникационной компании Bell South, а затем проник на сервер Министерства обороны США. Здесь он перехватил более трех тысяч электронных писем сотрудников госучреждений, взломал сервер НАСА и похитил программное обеспечение, предназначенное для управления системами жизнеобеспечения на Международной космической станции.
В 2000 году Джеймса арестовали, однако, благодаря юному возрасту он был признан виновным по двум эпизодам в суде для несовершеннолетних и благодаря этому избежал фактического тюремного заключения. Вместо этого он провел шесть месяцев под домашним арестом и отправил письменные извинения в Пентагон и НАСА. Будь Джеймс на два года старше, ему бы грозило не менее десяти лет тюрьмы.
Джонатан Джеймс взломал НАСА в 15 лет
Между тем, через несколько лет Джонатана Джеймса стали подозревать еще в одном компьютерном преступлении: в 2007 году была похищена информация о кредитных картах миллионов клиентов торговой сети TJX, и Секретная служба обыскала дом Джеймса, пытаясь обнаружить улики, привязывающие его к этому преступлению.
Несмотря на то что обвинение так и не предъявили, Джеймс был уверен, что попадёт в тюрьму, и (по официальной версии) совершил самоубийство. В оставленной им записке он заявил, что не верит в систему правосудия и видит в самоубийстве единственный способ сохранить контроль над ситуацией и избежать наказания за преступление, которого он не совершал. В интервью, которые Джеймс давал до кражи данных клиентов TJX, он заявлял о намерении открыть собственную фирму по компьютерной безопасности. Вместо этого в возрасте 24 лет он покончил с собой.
Кевин Поулсен и радиостанция KIIS-FM.
Еще один бывший хакер, сменивший род занятий, как и Митник, на более безопасный. В восьмидесятых годах Поулсен специализировался на взломе телефонных линий и с легкостью манипулировал номерами и каналами разных операторов. Впервые Поулсен стал известен под псевдонимом Dark Dante в 1993 году после взлома системы управления телефонными линиями Лос-Анджелесской радиостанции KIIS-FM. В результате искусной блокировки линий он стал победителем нескольких конкурсов и как 102-й дозвонившийся «выиграл» автомобиль Porsche 944 S2.
Сейчас Поулсен занимает пост старшего редактора журнала Wired
В поле зрения ФБР Поулсен попал после взлома секретных баз данных, содержащих информацию по прослушиванию телефонных переговоров. В одной из документальных телевизионных программ Unsolved Mysteries, посвящённых нераскрытым преступлениям, промелькнуло его лицо, но сразу после этого необъяснимым образом все телефонные линии телеканала NBC вышли из строя, так что никто не смог дозвониться и опознать Поулсена.
Тем не менее охота, объявленная ФБР, принесла свои плоды: один из служащих супермаркета узнал Поулсена и заблокировал его в проходе магазина. Кевин был обвинён во взломе телефонных сетей и отмывании денег и приговорён к пяти годам заключения, после которых ему было запрещено прикасаться к компьютерам в течение трех лет.
После выхода из тюрьмы в 1998 году Поулсен занялся журналистикой и сегодня занимает пост старшего редактора онлайн-версии знаменитого журнала о компьютерных технологиях Wired.
Свен Олаф Камфиус и Spamhaus Project.
Выходец из Голландии, владелец провайдера CyberBunker, предоставлявшего хостинг Pirate Bay, и видный деятель немецкой Пиратской партии, был арестован испанской полицией в апреле 2013 года после серии мощных кибератак, которые, по утверждению некоторых специалистов, угрожали работоспособности всего Интернета. Дело в том, что уже упомянутая компания CyberBunker и фирма CB3ROB, также принадлежащая Камфиусу, занимались хостингом не только торрент-трекеров, но и ботнетов, спамеров и прочих подозрительных предприятий.
Камфиус совершил атаку, которая угрожал работе всего Интернета
Массированная DDoS-атака на серверы Spamhaus Project последовала после того, как эта фирма, специализирующаяся на компьютерной безопасности, внесла CyberBunker и CB3ROB в свой «черный список». В ответ Камфиус объявил о создании группировки STOPhaus, в которую, по его утверждению, вошли хакеры не только США, Канады и Западной Европы, но также России, Украины и Китая. Как считает обвинение, при помощи умножения запросов через DNS-резолверы разных провайдеров группе STOPhaus удалось засыпать серверы Spamhaus Project запросами со скоростью более 300 Гбит/с, что чувствительно замедлило работу всего Интернета.
После ареста Камфиус заявил, что он не имеет отношения к этой атаке и что лишь публично представляет группу STOPhaus, но не участвует в ее деятельности. По его утверждению, ущерб от атаки на Spamhaus Project вообще многократно преувеличен. Сам он называет себя интернет-активистом и борцом против цензуры и всех тех, кто пытается контролировать Интернет.
Гэри Маккиннон и Минобороны США.
Этот шотландец — самый известный британский хакер, экстрадиции которого с начала двухтысячных добиваются США, где ему грозит более 70 лет тюремного заключения. Впервые полиция Великобритании заинтересовалась Маккинноном в 2002 году, но благодаря общественной поддержке и некоторым другим обстоятельствам он до сих пор на свободе.
В США Маккиннона обвиняют в том, что в 2001 году он взломал почти сотню компьютеров, принадлежащих Министерству обороны и НАСА. По утверждению властей, получив доступ в систему, он удалил критически важные файлы и фактически парализовал работу сети военного ведомства США на целые сутки. Более того, Маккиннон якобы стер данные об американских вооружениях во взломанных компьютерах после террористических атак 11 сентября 2001 года и похитил некую критически важную информацию. По действующим в Великобритании законам за подобные правонарушения ему полагалось лишь шестимесячное заключение.
Сам Маккиннон утверждал, что искал в компьютерах американских военных свидетельства утаивания от общественности информации об НЛО и других потенциально полезных технологиях. Кроме того, он заявлял, что получил доступ к абсолютно не защищенным машинам и оставил множество записей обо всех обнаруженных уязвимостях на тех же самых компьютерах.
Федеральный суд в американском штате Виргиния в ноябре 2002 года официально обвинил Маккиннона в семи фактах компьютерных преступлений, и если бы Великобритания выдала его США, то взломщик вполне мог бы провести в тюрьме всю свою жизнь. После вступления в силу Акта об экстрадиции 2003 года казалось, что судьба хакера решена, но не тут-то было. Изменилось лишь то, что его обязали ежедневно отмечаться в полицейском участке и не выходить из дома по ночам.
В поддержку Маккиннона высказались Стинг, Борис Джонсон, Стивен Фрай
Защита настояла на медицинском обследовании Маккиннона, и у него были диагностированы синдром Аспергера (форма аутизма) и клиническая депрессия, способная спровоцировать самоубийство. На этом основании Маккиннон обратился в Европейский суд по правам человека, который сначала приостановил экстрадицию, но потом отказался ее заблокировать. В 2009 году Верховный суд выдал разрешение на экстрадицию, но общественный резонанс дела привел к тому, что она так и не состоялась. В поддержку хакера высказались многие известные личности — от музыкантов Стинга и Питера Гэбриэла до мэра Лондона Бориса Джонсона и актера Стивена Фрая.
В октябре 2012 года министр внутренних дел Тереза Мэй объявила о блокировании выдачи Маккиннона на основании того, что в случае экстрадиции риск для жизни обвиняемого настолько велик (он может покончить с собой), что такое решение противоречило бы правам человека. В дальнейшем было решено отказаться от уголовного преследования хакера и в Великобритании: формально — из-за сложностей с доказательствами, находящимися на территории США. Сейчас Маккиннон абсолютно свободен.
Владимир Леивн и Citibank.
Российский хакер, который в 1994 году вывел из системы Citуbank $12 млн. Большую часть денег вернули их законным владельцам, но $250 тыс. так и не были найдены. Интересен тот факт, что на момент совершения преступления, в нашей стране не было статей в уголовном кодексе, предусматривающих наказание за киберпреступления, поэтому Левин был экстрадирован в США и находился под стражей 3 года.
Левин в 1994 году вывел из системы Citуbank $12 млн
Василий Горшков, Алексей Иванов и Paypal.
Российские хакеры, которые были «активными пользователями интернета» в нулевых. Эти русские ребята смогли взломать платежную систему PayPal, Western Union и многое другое. Всего парни взломали 40 американских компаний в 10 штатах. В 2003 Горшков был приговорен к лишению свободы сроком на 3 года и денежному штрафу в размере $700 тыс. А Иванов был пойман и осужден в 2004 году, приговорен к 4 годам тюрьмы. Суд также проходил на территории США.
Самые знаменитые хакерские группы
Lizard Squad
Первое упоминание в СМИ о Lizard Squad появилось после того, как они положили серверы игр League of Legends и Call of Duty. Затем последовали более серьезные атаки — на Sony Playstation Network and Microsoft Xbox Live. Складывается впечатление, что у представителей этой группы персональная неприязнь к компании Sony. В августе 2014 года они даже разместили в Twitter угрозу взорвать самолет, в котором летел президент Sony Online Entertainment. К счастью, воздушное судно совершило экстренную посадку, и все обошлось без жертв. Кроме того, Lizard Squad заявляют о своей связи с Исламским государством. Например, после атаки на Malaysia Airlines хактивисты опубликовали на сайте . А несколькими месяцами ранее они разместили флаги ISIS на серверах Sony. Впрочем, вполне вероятно, что деятельность группы не имеет политической подоплеки, и упоминание ISIS нужно ей лишь для привлечения внимания масс-медиа. После декабрьских атак на PSN и Xbox Live органы правопорядка Великобритании и США провели крупное совместное расследование, результатом которого стал арест 22-летнего мужчины из Туикенема и тинейджера из Саутпорта — предполагаемых членов Lizard Squad.
Anonymous
Anonymous — пожалуй, самая знаменитая хакерская группа всех времен. Это децентрализованное онлайн-сообщество, состоящее из десятков тысяч хактивистов, для которых компьютерные атаки — способ выражения протеста против социальных и политических явлений. Группа прославилась после многочисленных атак на правительственные, религиозные и корпоративные веб-сайты. Она атаковала Пентагон, угрожала разгромить Facebook, уничтожить мексиканский наркокартель Los Zetas и объявила войну саентологии. В 2010 году Anonymous организовали масштабную акцию «Возмездие» (Operation Payback), обрушив атаки на системы Visa, MasterCard и PayPal. Причина — их отказ проводить платежи сайта WikiLeaks, основанного Джулианом Ассанжем. В 2011 году хактивисты публично поддержали движение против социального и экономического неравенства «Захвати Уолл-стрит» (Occupy Wall Street), атаковав сайт Нью-йоркской фондовой биржи.
В 2010 году Anonymous обрушили атаки на системы Visa, MasterCard и PayPal
С 2009 года за причастность к деятельности Anonymous были арестованы десятки человек в США, Великобритании, Австралии, Нидерландах, Испании и Турции. Представители группировки осуждают подобные преследования и называют своих пойманных единомышленников мучениками. Девиз хактивистов: «Мы — Anonymous. Мы — легион. Мы не прощаем. Ждите нас».
LulzSec
LulzSec (аббревиатура Lulz Security) — организация, «ради смеха» совершавшая атаки на сервера компаний, считавшиеся наиболее надежно защищенными. Изначально она состояла из семи участников, работавших под девизом «Смеемся над вашей безопасностью с 2011 года». Дата была выбрана неслучайно: в 2011 году уже прославившиеся на тот момент Anonymous провели крупную атаку на компанию HBGary Federal. Позже этот инцидент возглавил рейтинг самых громких киберпреступлений по версии журнала Forbes. Название хакерской группы — «Lulz» — производная от LOL (Laughing Out Loud).
В числе первых атак LulzSec — кража паролей Fox.com, LinkedIn и 73 тысяч участников конкурса X Factor. В 2011-ом они скомпрометировали аккаунты пользователей ресурса Sony Pictures и вывели из строя официальный сайт ЦРУ.
После успешных атак LulzSec традиционно оставляли на ресурсах колкие послания, в результате чего некоторые эксперты склонны считать их скорее интернет-шутниками, нежели серьезными кибервоителями. Однако сами представители группировки заявляли о том, что способны на большее.
В июне 2011 года LulzSec распространила сообщение о самороспуске. Тем не менее, через месяц хакеры совершили новую атаку — на этот раз на газету компании News Corporation. Они взломали сайт The Sun и разместили на главной странице новость о кончине ее владельца Руперта Мердока. Основные участники LulzSec были арестованы в 2012 году. Информатором ФБР стал 28-летний лидер группы Гектор Ксавье Монсегюр, имевший сетевое имя Sabu. В своей речи прокурор Сандип Патель отметил, что хакеры не были движимы политическими идеями, как Anonymous, и назвал их «пиратами наших дней». Syrian Electronic Army
Цель хакерской группы Syrian Electronic Army (SEA) — поддержка президента Сирии Башара Асада. Мишенями злоумышленников чаще всего становятся ресурсы политических оппозиционных групп, правозащитных организаций и западные новостные сайты. Природа связи группировки с правительством Сирии остается неясной. На своем сайте SEA описывает себя как «группу молодых сирийских энтузиастов, которые не могут оставаться равнодушными к повсеместному искажению фактов о восстании в Сирии». Между тем, ряд экспертов утверждает, что организация ведет свою деятельность под контролем сирийского правительства. Среди приемов, которыми пользуются SEA, — традиционные DDoS-атаки, рассылка спама, фишинг и распространение вирусов. На главной странице атакуемого сайта они, как правило, размещают политические послания и сирийский флаг. Жертвами сирийских компьютерщиков уже стали The Independent, The Daily Telegraph, Evening Standard, The Daily Express, Forbes, Chicago Tribune, CBC, La Repubblica и некоторые другие издания. Участники Syrian Electronic Army также атаковали Facebook-аккаунты Барака Обамы и Николя Саркози.
Идет охота
На прошлой неделе сайты областных управлений полиции по всей Украине подверглись массированным кибератакам. Получив доступ к сайтам полиции, злоумышленники обнародовали на региональных ресурсах фейковые сообщения. В одном из них, например, говорилось о взрыве на Ровенской АЭС. А чуть ранее, в начале сентября, атаковали крупную украинскую IТ-компанию, в результате чего были похищены личные данные 200 пользователей. В августе, прямо на День независимости, массированной атаке подверглась крупная инфраструктурная госкомпания. Но на самом деле это только вершина айсберга.
«Каждый день происходят сотни или даже тысячи атак. В том числе и на Нацбанк, и на другие чрезвычайно важные органы. Каждый день хакеры ищут уязвимости и пытаются проникнуть в систему того или иного ведомства. Вся эта информация хранится и анализируется, но не распространяется. Если же говорить о тех компаниях, которые мы обслуживаем, то, например, одна из украинских ключевых государственных инфраструктурных компаний подверглась очень массированной атаке на День независимости. Складывается впечатление, что злоумышленники всеми возможными путями хотели проломить нашу систему безопасности», — рассказывает «Вестям» исполнительный директор Лаборатории компьютерной криминалистики CyberLab Сергей Денисенко.
Всего же, как недавно заявил глава МВД Арсен Аваков, за последние пять лет количество киберпреступлений в Украине увеличилось в 2,5 раза. Охота идет в первую очередь на информационные системы, где хранятся данные об украинцах, а также на их финансовые операции.
Кража денег из банкоматов: старые способы
Старым способом хищения денег из банкоматов является кража карточки после снятия средств жертвой. Традиционным считается также метод, когда злоумышленник вскрывает устройство или забирает наличные, увозя аппарат из отделения банка или супермаркета.
Удмуртские злоумышленники установили несколько поддельных банкоматов несуществующего кредитного учреждения в Москве, Московской области и Сочи. Граждане, которые пытались воспользоваться платежными терминалами для выполнения денежных операций, позже обратились в полицию с заявлениями о хищении денег. Преступники заполучили пароли более тысячи банковских карт.
Заражают банкоматы
Встречаются и весьма изобретательные способы хищения средств у банков. Так, например, в реестре судебных решений есть информация о том, что злоумышленники пытались заразить банкоматы ПриватБанка в разных регионах. Согласно материалам дела, они с помощью специального программного обеспечения хотели настроить аппарат таким образом, чтобы он начал бесконтрольно выдавать деньги. Для этого в банкомат надо было вставить флешку. И в итоге преступники, вооружившись шуруповертом, отправились на кражу. Кстати, при максимальной загрузке банкомата там может находиться до 500 тыс. грн.
Впрочем, как говорит Денисенко, встречаются куда более инновационные методы. «Взять ту же организацию «Кобальт». Они рассылали банковским сотрудникам зараженные письма, с помощью которых получали доступ к банковской системе. И давали определенным банкоматам команды автоматически выдавать деньги. Другим соучастникам в это время достаточно было просто подставить открытые сумки под банкомат. И это только один из подобных примеров», — говорит «Вестям» Денисенко.
В то же время далеко не всегда целью преступников является хищение средств. Все чаще, проникая в систему, хакеры пытаются получить инсайдерскую информацию о тендерах или же других коммерческих тайнах. Еще одна цель — просто навредить. «Яркий пример тому — вирус «Петя», который просто вывел из строя половину Украины. Кроме того, заразив компьютер жертвы, с него можно устраивать DDoS-атаки — когда на ресурс идет много обращений и ресурс перестает функционировать», — говорит Денисенко.
Как обезопаситься
А пока гражданам следует самостоятельно озаботиться о безопасности в Сети. И в первую очередь следует обратить внимание на банальные вещи. Как говорит «Вестям» Вовк, без лицензионного ПО о нормальной безопасности не может быть и речи.
«Любая система не будет корректно работать на пиратской версии. Я ни в коем случае не пытаюсь навязать покупку лицензии. Я не продаю софт, просто таковы реалии, что без этого невозможно. У каждой компании есть своя конфиденциальная информация, финансовые потоки и пр. И для того чтобы ее обезопасить, должна быть построена правильная система менеджмента. Но, к сожалению, мало кто пока это понимает. Некоторые процессы можно контролировать на аппаратном уровне. Есть различные технологии для антифишинга, для резервного копирования данных и т. д. Это все удобно, красиво, но очень дорого. Поэтому прежде всего следует позаботиться о малом: правильно настроить свою сеть, сетевые активы и бизнес-процессы. Но есть и человеческий фактор, который можно контролировать только с помощью юридического оформления и обучения персонала. А сейчас каждый думает, что это его не коснется», — говорит «Вестям» Вовк.
В то же время, как сказала «Вестям» сооснователь компании Hacken Евгения Брошеван, если говорить о советах для обычных пользователей, то первое, что может сделать каждый, — это тщательно проверять все входящие письма, не совершать покупки на сомнительных сайтах, где требуется ввести данные банковских карт, и следить за «кибергигиеной».
«Сегодня очень часто утекают логины и пароли от различных сервисов. Поэтому важно иметь разные пароли на разных сервисах и пользоваться парольными менеджерами — программами, которые генерируют пароли», — говорит «Вестям» Брошеван.
Кроме того, по словам Денисенко, следует с опаской относиться к различным приложениям, которые распространяются в «маркетах». «Есть множество примеров, когда приложения, в том числе те, что распространяются в «маркетах», несли в себе функцию выгрузки телефонной книги, которая впоследствии передавалась на заграничные серверы. То же самое касается и приложения «Яндекс.Пробки». Мы его анализировали в то время, когда оно еще не было запрещено. И обнаружили, что помимо отображения карты и перемещения оно само выгружало с телефона личную информацию. При этом сами «маркеты» для мобильных приложений не несут полной ответственности за продукты, которые там размещаются. Да, они их проверяют. Но в каком объеме они это делают — вопрос следующий», — говорит «Вестям» Денисенко.
Так же, как сказал «Вестям» источник в киберполиции, особое внимание следует уделять мобильным телефонам. «Если у вас Android ниже девятой версии с обновлениями безопасности ниже июня 2020 года и он больше не обновляется, можете смело выставлять его на доску объявлений, продавать и покупать новый. Производители недолго поддерживают аппараты и, с точки зрения кибербезопасности, уже могут начаться проблемы», — говорит «Вестям» собеседник.
По его словам, также огромное количество заражений происходит через соцсети или электронную почту. «Вам приходит письмо от друга с файлом DOC. Вы открываете его и автоматически заражаетесь. Следует учитывать, что «вредоносы» пишутся по принципу массовости использования ПО. Если система очень редкая, то и писать под нее вирусы никто не будет. А так как у большинства людей установлен Windows или Android, а продукты — Microsoft Office, Java, Adobe Reader и браузеры, то именно в них хакеры чаще всего ищут дыры и эксплуатируют уязвимости. Поэтому очень важно часто обновляться», — сказал «Вестям» собеседник.
Безопасность банкоматов под вопросом?
Распространены два вида воровства денег из платежных терминалов:
- скимминг — накладка на картоприемник для считывания пин-кода;
- «ливанская петля» — заклеивание кармана для выдачи денег, при котором банкомат сообщает о выдаче денег, в то время как банкноты остаются внутри автомата. Жертва отходит от устройства, чтобы пожаловаться работнику учреждения или позвонить в службу поддержки, а мошенник извлекает липучую планку вместе с деньгами и покидает место происшествия.
Правоохранителями столицы была прервана череда ограблений, когда преступники действовали так: взрывали банкоматы или наматывали на них цепь и увозили, чтобы вскрыть в неизвестном месте. Этот способ оказался эффективным, несмотря на примитивность.
Как уберечь себя от кражи?
Финансы можно сохранить, если соблюдать элементарные правила безопасности:
- снимать деньги в банкоматах, расположенных внутри отделений, избегать зон супермаркетов, где много людей и толпятся наводчики;
- если банкомат не видит карту, которую вы вставили, или не возвращает ее, срочно звоните в службу поддержки и блокируйте карту. Назовите сотруднику номер аппарата, чтобы его могли проверить;
- используйте СМС-информирование о движениях на карточном счету. Если вы не совершали какую-либо операцию с деньгами на счете, немедленно информируйте банк;
- при особых проблемах после блокировки карты нужно прийти в отделение для написания заявления о несогласии с проведенной транзакцией.
Более 80 тысяч сайтов распространяют вредоносные расширения для браузера, через которые происходит воровство данных карт банков. Будьте бдительны и не переходите по подозрительным ссылкам.