хакерские атаки

Выборочные остановки операций по картам Сбербанка, когда клиенты об этом не просили, вызывают много жалоб, но это необходимо для противодействия хакерам, сообщил в ходе Международного конгресса по кибербезопасности глава Сбербанка Герман Греф.

«Мы мониторим каждую операцию, каждого клиента, стараемся понять необычные операции, останавливаем их, много жалоб получаем от клиентов, когда мы останавливаем операции, которые клиенты останавливать не хотели. Но тем не менее, это серьезная проблема (кибербезопасности — ред.)», — передает слова Грефа РИА Новости.

Он подчеркнул, что банк сейчас нуждается в помощи государства, в государственных программах, в сотрудничестве с масс-медиа, «чтобы до каждого довести правила гигиены кибербезопасности».

«Это можно сделать только вместе. И это очень серьезная задача для всех, и это не сделать щелчком пальцев, несмотря на использование нами сейчас тотально во всех наших операциях искусственного интеллекта», — сказал он.

 

Банки и операторы услуг платежной инфраструктуры с 1 июля 2018 года обязаны сообщать в ФинЦЕРТ Банка России о хакерских атаках и их технических параметрах. Раньше они делали это на добровольной основе.

Указание Банка России № 4793-У от 07.05.2018 закрепило данное требование к банкам как обязательное.

Полученную от банков информацию регулятор будет использовать для выработки рекомендаций участникам финансового рынка по противодействию выявленным киберугрозам, сообщает пресс-служба ЦБ.

К таким киберугрозам относятся события, связанные с несанкционированными переводами денежных средств и нарушением бесперебойности оказания платежных слуг, в том числе несанкционированный доступ к устройству, эксплуатация уязвимости, вредоносный код, DDoS-атака, подбор паролей, фишинг и т.д.

Теперь для повышения качества защиты от киберугроз кредитные организации должны использовать для перевода денежных средств только сертифицированное программное обеспечение и проводить его периодическое тестирование. При этом оценивать соответствие уровня защиты будут организации, имеющие лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК). Станет обязательным и оценивание выполнения требований к обеспечению защиты информации при переводах денежных средств сторонними организациями, привлекаемыми к проведению оценки соответствия.

Документ также формирует правовую основу для импортозамещения в инфраструктуре значимых платежных систем российскими средствами криптографической защиты информации, имеющими подтвержденное соответствие требованиям, установленным ФСБ.

Кроме того, нормативный акт Банка России вводит условие об обязательном разделении программных сред подготовки и подтверждения платежных поручений, в том числе при использовании систем дистанционного банковского обслуживания. Это поможет защитить клиентов банков от хакерских атак.

Банк России с 1 июля 2018 года меняет для банков – операторов по переводу денежных средств и операторов услуг платежной инфраструктуры форму отчетности о событиях, связанных с нарушением защиты информации при переводе средств. 

Кроме того, Банк России обязал банки сообщать об инцидентах, связанных с нарушением защиты информации при переводе средств, об экономических последствиях кибератак. Об этом говорится в сообщении регулятора.

«В частности, операторы будут сообщать в Банк России о том, на какие суммы за отчетный период покушались злоумышленники, какие суммы удалось похитить. Важным показателем будет сумма похищенных средств, возвращенных оператором своим клиентам», - пояснил ЦБ.

Благодаря полученным данным ЦБ сможет оценить, насколько добросовестно операторы исполняют обязанности по возмещению потерь клиентам.

Хакеры провели 11 успешных атак с помощью вируса Cobalt Strike на российские банки в 2017 году и похитили 1,156 миллиарда рублей. Об этом сообщил замглавы Центробанка Дмитрий Скобелкин.

«Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11», — передает его слова «Парламентская газета».

По его словам, 8 из 11 пострадавших банков являются участниками информационного обмена с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ, который направил более чем 400 организациям индивидуальные предупреждения об атаках с указанием адресов электронной почты, с которых приходили заражённые письма.

Из-за хакерской атаки на приложение CCleaner похищены данные пользователей. Об этом рассказали в компании-разработчике приложения Piriform.

Напомним, приложение CCleaner служит для очистки реестра, кэша и списка автоматически запускаемых программ Windows.

Вредоносный код обнаружили в 32-битной версии CCleaner 5.33.6162 (выпущена 15 августа) и версии CCleaner Cloud 1.07.3191 (выпущена 24 августа). 12 сентября были выпущены безопасные обновления, уточняет «Медуза».

Оба приложения после обновления до взломанных версий начинали отправлять имя компьютера, его IP-адрес, список установленных программ и сетевых адаптеров на специальный сервер на территории США. Этот сервер был отключен правоохранительными органами 15 сентября.

По оценке Piriform, взломанные версии CCleaner могли установить до 3% пользователей — почти 2,3 миллиона человек.

Напомним, почитать о другом киберпреступлении по хищению денежных средств со счета компаний, можно в статье на нашем сайте «Ловушка для главбуха: как взламывают сайты, чтобы красть деньги со счетов».

Сайты крупных российских туроператоров Anex Tour и Mouzenidis Travel перестали работать во вторник из-за кибератаки, тем не менее, компании обещают выполнить обязательства перед туристами.

Заместитель руководителя Anex Tour по рекламе Яна Муромова рассказала "Интерфаксу", что сайт компании перестал работать днем во вторник после серии технических проблем. Туроператору пришлось из соображений безопасности отключить систему онлайн-бронирования. Также в офисе компании не работают телефоны и компьютеры. "Скорее всего, это хакерская атака", - сообщила Муромова.

Тем не менее, компания обещает выполнить все обязательства перед туристами. "В связи с техническим сбоем всем туристам, не получившим документы по подтверждённым заявкам, необходимо пройти регистрацию в аэропорту за два часа до вылета, предоставив копию договора с агентством. Выдача паспортов туристов, вылетающих в визовые направления в ближайшие даты, будет осуществляться в аэропорту вылета", - сообщила Муромова.

Пресс-служба Mouzenidis Travel во вторник распространила информацию о том, что сайт компании подвергся кибератаке, в результате которой был заблокирован доступ к системе онлайн-бронирования и локальным компьютерам компании, а также выведена из строя система телефонии.

"Сейчас ведется работа по налаживанию резервного функционирования. В полном объеме работа всех систем будет восстановлена к утру 28 июня. Произошедшее никак не скажется на оперативной деятельности туроператора: все туристы будут вылетать к месту отдыха и возвращаться своевременно в соответствии с забронированными авиабилетами и путевками", - цитирует сообщение компании Ассоциация туроператоров России (АТОР).

Другие туроператоры не сообщали о проблемах, связанных с хакерами.

Во вторник в мире распространился компьютерный вирус Petya, который стал причиной сбоев в работе компаний во многих странах. В Украине пострадали правительственные учреждения, объекты инфраструктуры и коммерческие компании. В России среди жертв кибератаки оказались компьютерные сети компаний "Башнефть", "Роснефть" и Evraz, а также банка Home Credit и нескольких других банков.

Банк «Хоум Кредит» подвергся вирусной атаке, вирус затронул все офисы кредитной организации, в том числе центральный. Сотрудникам банка рекомендовали выключить все компьютеры, все отделения банка приостановили работу. Об этом сообщил источник агентству РБК.

В пресс-службе Хоум Кредита сказали РБК, что сейчас они устроили проверку безопасности всех систем, но ни подтвердить, ни опровергнуть факт хакерской атаки на банк на данный момент они не могут.

Так же о «мощной хакерской атаке» сегодня на свои серверы сообщила «Роснефть», из-за вирусной атаки вышли из строя компьютеры целого ряда банков и предприятий на Украине.

Вирусная лаборатория ESET опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах 1С.

  • Группировка RTM использует специально разработанные программы, написанные на языке программирования Delphi. Система телеметрии ESET LiveGrid® зафиксировала первые следы этих вредоносных инструментов в конце 2015 года. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью.
В фокусе атакующих – бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания (ДБО). Вредоносное ПО RTM распространяется преимущественно через взломанные сайты (drive-by download) и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором – отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.

Вредоносное ПО RTM отслеживает появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета.  

Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 гг. Тем не менее, у этих групп различаются векторы заражения – в кампаниях Buhtrap чаще использовался фишинг. В прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.

Общее число обнаружений вредоносных программ семейства RTM невелико. С другой стороны, в кампании используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак.

По оценке экспертов ESET, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности. 

Более подробная информация о киберкампании RTM, включая индикаторы заражения, представлена в отчете ESET.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ, FinCERT) Центробанка фиксирует хакерские атаки на ряд крупных банков, сообщили РИА Новости в пресс-службе регулятора.

"В атаке участвуют бот-сети, состоящие из так называемых устройств "интернета вещей". Мощность атак средняя. Нарушений доступности сервисов банков не фиксировалась", — отметили в ЦБ.


FinCERT сообщил о действия хакеров в правоохранительные органы и Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Позднее стало известно, что проблемы возникли, в частности, у банка "Открытие". При этом защитные сервисы финансовой организации справились с атакой, сайт работал в штатном режиме.

В среду источник РИА Новости сообщал, что пять крупных российских банков со вторника подвергаются DDoS-атакам. По данным "Лаборатории Касперского", попытки взломов начались в 16.00 мск, хакеры атаковали веб-сайты как минимум пяти финансовых организаций из топ-10. Одним из них стал Сбербанк.

Международная межбанковская система передачи информации и совершения платежей SWIFT призвала все банки мира перепроверить внутренние системы безопасности.

Рекомендации усилить меры безопасности были подготовлены после хакерской атаки на Центробанк Бангладеша и хищения с его счетов 81 млн долларов, информируют «Вести».

«За последние полгода было отмечено несколько успешных атак по всему миру. Не осталась в стороне и Россия, где было несколько несанкционированных списаний с корреспондентских счетов банков. Чрезвычайно быстро растет профессиональный уровень хакеров, которые чаще проявляют интерес к хищению средств в глобальном масштабе», – приводит «Российская газета» слова вице-президента Ассоциации региональных банков Олега Иванова.

Потери российских банков в результате хакерских атак с октября по настоящее время составили около 2 млрд рублей.

За последний квартал 2015 года и первый квартал 2016 года выявлено 19 случаев кибератак. Об этом сообщил заместитель начальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев.

По его словам, сейчас мишенью мошенников становятся банки средней величины, для которых информационная безопасность не является приоритетом.

«Явно мы сейчас наблюдаем тренд смещения вектора угроз с непосредственно клиентов кредитных организаций на сами кредитные организации... Рекомендации Центрального банка и меры, которые сами кредитные организации предпринимают, позволили обезопасить клиентов кредитных организаций достаточно хорошо», – сказал Артем Сычев в эфире телеканала «Россия 24».

Он отметил, что с помощью Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) банки сумели предотвратить хищения более чем на 1,5 млрд рублей, передает агентство «Прайм».

Напомним, в феврале Артем Сычев говорил, что регулятор намерен вводить санкции в отношении банков, которые пренебрегают вопросами информационной безопасности.

Ранее сообщалось, что ЦБ РФ подозревает некоторые банки в использовании механизма хакерских атак для вывода средств.

Взлом трейдинговой системы Энергобанка мог быть местью за увольнение одного из сотрудников. Об этом заявил первый зампред ЦБ РФ Сергей Швецов.

«Все вы слышали историю, когда один банк из Татарстана проводил странные операции на Московской бирже с иностранной валютой. Было очень много расследований, мы расследовали этот инцидент, сам банк расследовал инцидент, приглашалась внешняя фирма. В результате бенефициар не выявлен. То есть на потере сколько-то сотен миллионов рублей мы не выявили, что кто-то эти деньги получил. Это была атака, скорее всего, месть за увольнение одного из сотрудников», – приводит слова первого зампреда ЦБ агентство «Прайм».

Ранее компания Group-IB сообщила о первом в мировой практике крупном инциденте, когда троянская программа получила контроль над терминалом торговой системы для торгов на различных биржевых рынках. В феврале 2015 года хакеры взломали систему безопасности Энергобанка и с помощью вируса Corkow изменили курс рубля на биржевых торгах более чем на 15%.

В Энергобанке тогда утверждали, что потери составили 244 млн рублей. Но Центробанк в ходе расследования не установил манипуляций на валютном рынке и опроверг информацию о постороннем вмешательстве в торговую систему Энергобанка.

Регулятор намерен вводить санкции в отношении банков, которые пренебрегают вопросами информационной безопасности. Об этом накануне сообщил заместитель начальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев.

«Система не будет работать, если мы не будем влиять на штрафные санкции, которые можно предъявить к тому или иному финансовому учреждению по итогам аудита... Это не значит, что мы будем наказывать за отсутствие или присутствие межсетевого экрана в конечной точке. Речь идет о том, что информационная безопасность напрямую влияет на финансовые показатели», – отметил он.

Еще не решено, какие именно санкции будут вводиться. По словам Артема Сычева, соответствующие предложения должны быть представлены главе ЦБ Эльвире Набиуллиной до 15 марта, передает агентство «Прайм».

Ранее сообщалось, что ЦБ РФ подозревает некоторые банки в использовании механизма хакерских атак для вывода средств.

ЦБ РФ подозревает некоторые банки в использовании механизма хакерских атак для вывода средств. Об этом на Уральском форуме заявил первый зампред ЦБ Георгий Лунтовский.

«У нас есть предположение, что кредитные организации используют этот механизм (кибератак) для того, чтобы не только скрыть предыдущие преступления или ошибки, но и с целью вывода денег из банка. Это нас очень беспокоит», – отметил он.

По словам Георгия Лунтовского, три банка, которые подвергались кибератакам, лишились лицензии в четвертом квартале 2015 года.

Он также уточнил, что в четвертом квартале 2015 года со счетов клиентов кредитно-финансовых организаций было похищено более 1,5 млрд рублей. С начала года совместными усилиями ЦБ, [rubricator=155]МВД[/rubricator] и банковского сообщества удалось предотвратить хищения на сумму более 500 млн рублей, передает «Интерфакс».

Ранее сообщалось, что Центробанк намерен обязать банки предоставлять в Центр по борьбе с киберугрозами (FinCERT) информацию о хищениях денежных средств со счетов клиентов. В настоящее время 190 банков из 716, работающих в России, добровольно представляют сведения в FinCERT.