15.окт.2020
«Большинство сотрудников не задумываются о том, что их мессенджеры контролируют»: как в России сливают конфиденциальную информацию и что за это бывает
В 2015 году руководство «Яндекса», к тому моменту уже два года владеющего порталом о кино «Кинопоиск», уволило 10 сотрудников компании — «остатки старой команды, людей, которые проработали там по 5-10 лет», сообщал на своей странице в Facebook сооснователь портала Виталий Таций. Причиной увольнений стала переписка в общем чате в Skype, где сотрудники «в критических тонах обсуждали события последних дней», в том числе, решение «Яндекса» превратить портал в онлайн-кинотеатр. В чате, о котором идет речь, кроме сотрудников «Кинопоиска» были третьи лица — например, бывшие владельцы сервиса Таций и Дмитрий Суханов. Это и превратило неформальную переписку коллег, которая ведется ежедневно в тысячах компаний, в нарушение NDA (Non-disclosure agreement — соглашение о неразглашении конфиденциальной информации — Forbes) и причину для увольнения.
История с «Кинопоиском» — один из многочисленных примеров того, как сотрудники, сами того не подозревая, разглашают конфиденциальные данные и несут за это наказание. По данным исследовательской компании «СерчИнформ», в первом полугодии 2020 года данные в том или ином виде утекали из 91% российских компаний. При этом 52% компаний по всему миру считают наибольшей угрозой системе корпоративной безопасности самих сотрудников, говорят в «Лаборатории Касперского» (в России, по данным Group-IB, этот показатель и вовсе достигает 88%). «Из-за невнимательности и низкой цифровой грамотности сотрудники проходят по фишинговым ссылкам, используют небезопасные пароли, самостоятельно пытаются бороться с вирусами-шифровальщиками — например, платят злоумышленникам-шантажистам за предоставление ключей для расшифровки данных, которых обычно все равно не получают», — объясняет Елена Молчанова, представитель платформы для повышения цифровой грамотности Kaspersky Security Awareness.
На самом деле, невнимательность и наивность не самые частые причины сливов ценной информации: по этим причинам происходит только 40% утечек, остальные 60% — результат намеренных действий сотрудников, которые имели доступ к данным, говорится в исследовании «СерчИнформ». Такие действия обходятся компаниям недешево: средний ущерб от утечки для небольших компаний составляет 1,9 млн рублей, подсчитали в «Лаборатории Касперского», а за последний год каждая российская компания в сегменте малого и среднего бизнеса потратила на обеспечение инфобезопасности в среднем 4,7 млн рублей — это почти в два раза больше, чем за аналогичный период годом ранее (2,4 миллиона рублей).
Forbes поговорил с начальниками отделов безопасности российских компаний, разработчиками ПО для инфобезопасности, изучил статистику и рассказывает, какими бывают сливы, чем они караются и как их предотвратить.
История первая. Очная ставка
«Как-то раз я прочел в переписке сотрудника в Skype с рабочего компьютера, а потом с помощью контроллера [специального прослушивающего софта, который устанавливается на офисную технику] услышал в телефонного разговоре, как он рассказывал, что в ближайшее время заработает много денег. Разговаривал он по корпоративному телефону, и я, имея такую возможность, посмотрел, с кем он разговаривал. Перезвонил — это оказался наш конкурент, с которым сотрудник договорился о встрече. Я с конкурентом не был знаком, но напросился на эту встречу, где конкурент меня представил как партнера. Сотрудник меня в лицо не знал, сходу зашел и рассказал, кто он, чем занимается и сообщил, что готов продать базу. После того, как разговор закончился, я ему дал свою визитку с должностью и названием компании. Утром он пришел в офис и написал заявление об увольнении. Базу клиентов выкачать не успел, приходил на встречу только договариваться», — рассказывает Сергей Матвеев, руководитель службы безопасности «Инфотекс Интернет Траст» (услуги сдачи электронной отчетности). По его оценке, если бы сделка состоялась, компания могла потерять 10-12 млн рублей.
История вторая. «Алло, это служба безопасности банка»
Рунет полнится историями о звонках из якобы службы безопасности или финансового контроля одного крупного банка с просьбой подтвердить несуществующую операцию по карте, а затем сообщить номер карты, код из смс и кодовые слова, которые якобы помогут идентифицировать клиента. В итоге со счета жертвы безвозвратно списываются разной величины суммы. Как мошенники получают номера телефонов, фамилии имена и отчества тех, кому звонят? Основной источник утечки персональных данных — инсайдеры в финансовых учреждениях, говорит Дмитрий Шестаков, руководитель отдела исследования киберпреступности Group-IB. Случается, что такие звонки поступают и людям, у которых вообще нет карт выбранного мошенниками банка. Но это другая схема, более «рандомная», когда злоумышленник покупает любую базу контактов (например, интернет-магазина, которому люди оставляют свой номер для участия в программе лояльности) и обзванивают их в надежде на то, что среди абонентов будет большое количество клиентов нужного банка.
Звонок из «Матросской Тишины»: как бороться с call-центрами в тюрьмах
Заточенная на реальных владельцев карт схема (она обычно обеспечивает более высокую конверсию в хищение средств) работает следующим образом: злоумышленник публикует объявление о поиске инсайдеров — людей, имеющих определенный уровень доступа в банках или других финансовых учреждениях, на андеграундном форуме или в соцсетях. Еще один способ — таргетированная рассылка с предложениями «подзаработать» различным людям, у которых в качестве места работы указан банк или другое финансовое учреждение. Очень редко предложения исходят от самих сотрудников финансовых организаций, когда они пишут на андеграундных ресурсах о том, что работают в определенном месте и хотят каким-то образом монетизировать это.
Если злоумышленник нашел инсайдера, который обладает минимальными правами доступа к системе (обычно именно такие сотрудники и соглашаются на сделку), то есть шанс получить только так называемые «выгрузки» — обычно это количество денежных средств на счете у клиентов банка. Дальше мошенник может продать эту информацию своему «коллеге» покрупнее, который отберет клиентов с балансом на счету, например, более 1 млн рублей и купит у своих источников базу их телефонных номеров. А затем или сам организует те самые обзвоны, или продает собранную информацию «колл-центрам» в тюрьмах.
Существует еще один вид инсайдеров, которые обладают более высокими правами доступа. К таким людям злоумышленники обычно обращаются, уже имея какие-то входные данные о жертве, которые они получили, например, через вредоносное ПО или фишинговые ресурсы, а теперь им нужна полная информация по счету жертвы для хищения денег.
При этом в описанной схеме нет информации, которая необходима злоумышленникам именно для вывода денежных средств, отмечает Шестаков. «Эта информация достаточно базовая, и ее без преступной группы «фишеров», которые выуживают CVV и другие коды, монетизировать никак не получится. То есть, слив информации в этом случае становится только первой ступенькой, которую проходят злоумышленники для успешного хищения средств», — говорит эксперт.
История третья. Мертвые души
В 2019 году Октябрьский районный суд Новосибирска приговорил к 2,5 годам колонии главного специалиста в местном отделе выплаты пенсии УПФР. Суд признал женщину виновной в мошенничестве, совершенном с использованием служебного положения, в особо крупном размере.
Сотрудница получала из ведомственной картотеки персональные данные умерших пенсионеров, а потом вносила их в электронные списки с перечнем людей, недополучивших пенсии. Деньги «мертвым душам» зачислялись на банковские карты, оформленные на других лиц, которые были в распоряжении у мошенницы.
С апреля 2014 по май 2018 года сотрудница ПФР похитила таким образом 6,2 млн рублей. Она признала свою вину и частично погасила ущерб — вернула фонду 20 000 рублей (чек приобщили к делу). Суд приговорил ее к 2,5 годам лишения свободы и обязал покрыть оставшийся ущерб.
История четвертая. Ошибка копирования
В одной из крупнейших в России энергетических компаний сотрудницу уволили за то, что она переслала к себе на личную почту переписку со своим руководителем, в которой были условия договоров с контрагентами, величина задолженности и лимиты по договорам, вспоминает кейс из своей практики Дмитрий Гриц, адвокат, управляющий партнер юридической фирмы «Гриц и партнеры». «Она не разглашала никому эти данные, а только переслала их себе. Но пользовательское соглашение почтового сервиса Gmail (именно там была зарегистрирована личная почта) предполагает, что компания Google имеет доступ к содержанию писем, и суд посчитал, что такая информация стала известной стороннему лицу», — объясняет юрист. Та же участь постигла сотрудницу одного из долговых агентств, которая скопировала конфиденциальную информацию на флешку, по ее словам, для рабочего использования дома, но тоже была уволена, добавляет Гриц.
Киберпреступление и наказание
Как видно из приведенных примеров, слить информацию можно множеством разных способов — от невинной пересылки письма на свою же почту до мошеннического подлога персональных данных. В некоторых сферах сливы считаются обыденностью и в каком-то смысле даже профессиональным преимуществом сотрудников — по словам Ильи Яшина, основателя ИТ-компании Cto4u (занимается, в том числе, инфобезопасностью), «каждый третий менеджер по продажам, приходя на собеседование в новую компанию, отчитывается о том, что у него есть база клиентов с предыдущей работы».
Но слил сотрудник информацию случайно или намеренно, при «разборе полетов» значения не имеет, предупреждает юрист Дмитрий Гриц из «Гриц и партнеры». Если в компании установлен режим коммерческой тайны, то, раскрывая защищенные этим документом данные, сотрудник разглашает конфиденциальную информацию. Эта сфера регулируется Федеральным законом «О коммерческой тайне» (п.9 ст.3 этого закона — 98-ФЗ). При этом к трудовым правам работников режим коммерческой тайны прямого отношения не имеет, а значит не противоречит Трудовому кодексу и может быть установлен в любой компании, добавляет Гриц.
По его словам, нарушение коммерческой тайны чаще всего грозит сотруднику дисциплинарным наказанием — выговором или увольнением (по пп. «в» п.6 ч.1 ст. 81 ТК РФ). Если же слив оборачивается более тяжким правонарушением (например, мошенничеством), сотрудника наказывают в соответствии с нарушенной статьей административного или уголовного кодексов. Сложнее придется работодателю, если работник раскрыл засекреченную информацию и уволился сам. Компания может попытаться взыскать прямые убытки, возникшие из-за этого, но их наличие достаточно сложно доказать, предупреждает Гриц. «Штрафы, которыми можно было бы погасить возникшие убытки, с работников — и нынешних, и бывших — взыскать нельзя», — говорит юрист.
Работодатель может обратиться в суд, но в большинстве случаев этого не делает. «Если доказательств мало или у работодателя бардак с тем, как установлен внутри компании режим коммерческой тайны, то идти в суд смысла нет», — считает Гриц. «Основная задача компании — выявить инсайдеров как можно быстрее и устранить проблему. А судебные тяжбы этот процесс удлиняют. Плюс публичность, огласка, которой не всем хочется», — добавляет Дмитрий Шестаков из Group-IB. Поэтому, по словам Грица, фактически единственный способом защитить конфиденциальную информацию — вовремя и правильно установить в компании режим коммерческой тайны.
Вычислить и обезвредить
Как можно предотвратить слив? Или хотя бы сразу же обнаружить его и оперативно ликвидировать последствия? «Нет волшебной кнопки, которую ты можешь настроить, включить, и она тебя будет оповещать о том, что происходит утечка данных. Но зачастую безопасник реагирует на аномалии, которые сами по себе могут ни о чем не говорить. Увеличился объем трафика кого-то или странно стали запускаться программные ресурсы. Мы часто идем по хлебным крошкам», — говорит Николай Казанцев, начальник отдела информационной безопасности фармацевтической компании «Полисан». По его словам, есть несколько стандартных методов предотвращения киберугроз.
-
Антивирусные программы. Установленные на рабочие компьютеры, они обнаруживают вирусы, которые могут попасть в локальную сеть через интернет, по электронной почте или из внешних устройств (флэшек, переносных жестких дисков и т.д.). Они блокируют зараженные сайты, обнаруживают атаки и обладают всем спектром защиты от «программных» вредоносных действий.
-
DLP-системы — это инструменты контроля информационных потоков внутри компании, которые следят за входящим и исходящим трафиком, файлами, отправленными и полученными с рабочего компьютера, анализируют тексты, которые набирают пользователи. К ним относятся, например, Safetica, SearchInform, DeviceLock. «Проще говоря, с помощью таких систем сотрудники информационной безопасности могут увидеть, что сотрудник заходил на сайт конкурентов или звонил им с рабочего телефона, что скачал файлы с компьютера на флэшку или залил в облако (например, Google Диск), и анализируют текст — по словам-маячкам видят, что сотрудник ругает босса или договаривается о незаконной сделке», — поясняет Казанцев.
-
SIEM-системы — инструменты для слежки за миллионами технических событий, которые генерируют рабочие станции, серверы, любое оборудование и системы. К ним относятся, например, FortiSIEM, AlienVault OSSIM, «СёрчИнформ SIEM» и др. «Если сопоставить события из разных систем, которые на первый взгляд никак не связанны, удается выявить сложные атаки на компанию. Например, пользователь подключился одновременно к нескольким компьютерам в разных офисах — это может говорить о краже его учетной записи или злоупотреблении со стороны коллег», — говорит Казанцев. «Чувствительность» таких систем настраивают сотрудники информационной безопасности, отклонения выявляются автоматически. Если программа нашла подозрительный скачанный или залитый файл, зафиксировала чрезмерную активность пользователя — она подает безопаснику сигнал. Безопасник проверяет, есть ли основания для подозрений и служебного расследования.
Пятница, 13-е. Как предотвратить утечку данных пользователей
Подобные программы отлично помогают отследить «нелояльных» сотрудников, соглашается Сергей Матвеев, руководитель службы безопасности поставщика услуг сдачи электронной отчетности «Инфотекс Интернет Траст». По его словам, к критериям нелояльности обычно относят общение с конкурентами, выражение негативного мнения о компании, руководстве, общение с уволенными сотрудниками и в целом негатив в отношении организации. «Отслеживается набор соответствующих фраз в письмах и мессенджерах. У нас же большинство ту же самую «Телегу» [Telegram], WhatsApp, Viber, Skype ставят на рабочие машины и не задумываются о том, что это все контролируется», — говорит Матвеев. По его словам, такая слежка не выходит за рамки закона, если это прописано в положении о защите коммерческой тайны, которое подписывается при приеме сотрудников на работу (а чаще всего прописано).
«Нет волшебной кнопки, которая тебя будет оповещать об утечке данных. Мы часто идем по хлебным крошкам»
Есть три главных причины для того, чтобы более пристальнее присмотреться к действиям сотрудника, продолжает Казанцев — это «маячки» от средств защиты (антивирус, DLP и SIEM), наводка от руководства или коллег и сомнения, возникшие у безопасника в ходе превентивной работы по анализу информационных потоков и происходящего в компьютерных системах.
Если инцидент произошел недавно или происходит прямо сейчас, то безопасник с разрешения гендиректора пытается предотвратить его или его последствия - например, оперативно изымает у сотрудника под подозрением носители информации или зачищает облачные сервисы, через которые произошла утечка. «Если на лицо случайная оплошность и отсутствие злого умысла, то идет общение непосредственно с работником, объяснение ему, что он сделал не так и как надо делать, чтобы не нарушать. Если инциденты повторяются — привлекается руководитель и возможны последствия для работника», — говорит Казанцев. При подозрениях на злонамеренное нарушение к разбирательству привлекается сначала не сам работник, а его руководитель или менеджмент высшего звена. Если в результате внутреннего расследования оказывается, что они были не в курсе действий подчиненного, то проводится встреча с самим сотрудником — обязательно в присутствии руководителя. «С работника берется объяснительная, а дальше проводится полноценная служебная проверка с оформлением документов и официальными последствиями в виде привлечения к ответственности с участием полиции и потом суда», — поясняет эксперт.
За стеклом. Как защититься от утечки данных при увольнении ключевого сотрудника
Существуют и менее официальные, но часто даже более действенные методы предотвращения утечек. Так, Яшин советует не нагружать сотрудников смежными с их основной специализацией задачами: тогда у работников будет меньше соблазна слить что-то непонятное ему за деньги по просьбе мошенников, да и в целом удовлетворенность от работы будет выше, а желания вредить компании — меньше. «В одной из международных компаний в свое время практиковалась забавная, хоть и спорная методика внедрения культуры безопасности. Если сотрудник забывал заблокировать компьютер, уйдя на встречу или на обед, его руководитель мог сесть за этот компьютер и отправить от его имени электронное письмо высокопоставленному менеджеру с шуточным признанием в любви, поставив в копию всю команду», — рассказывает Александр Маслюк, автор Telegram-канала о хедхантинге WTF_HR. Смущения, полученного забывчивым сотрудником, видевшим ответное письмо от топ-менеджера, обычно хватало, чтобы он больше никогда не забывал блокировать компьютер, уверяет Маслюк.
DEFAULT NODE
Льву Хасису, первому заместителю председателя правления Сбербанка, прислали ссылку. Открылся сайт, точно повторяющий страницу одного из сервисов Google. Там уже был вписан логин Хасиса и ему оставалось только вбить свой пароль. «Что-то меня остановило», — вспоминает банкир. Хасис написал в техподдержку Google, где его опасения подтвердили: сайт оказался фишинговым. Киберпреступники используют их для сбора логинов и паролей, заражения вирусами компьютеров и смартфонов. Главная цель хакеров — банки и их состоятельные клиенты. По оценкам Банка России, ущерб кредитно-финансовых организаций лишь за 4 квартал 2015 года превысил 1,5 млрд рублей. К каким угрозам банкам стоит отнестись особенно серьезно, читайте в материале Forbes.
Главная фотография:
http://www.forbes.ru/sites/default/files/forbes_import/rt/rtr3da5wi.jpg
Фото в галерею:
Текст под фото:
Компьютеры сотрудников татарстанского «Алтын банка», казалось, сошли с ума: с экранов стала исчезать информация о транзакциях, а потом мониторы попросту погасли. 24 декабря 2015 года банк стал жертвой хакерской атаки. Накануне в сеть банка проник вирус, подменив в платежных поручениях клиентов банка получателей и их банковские реквизиты. В итоге около 60 млн рублей ушли на счета двух компаний, открытых в столичных банках, а оттуда — на счета 20 фирм в разных регионах России. После этого хакеры пытались уничтожить всю информацию о взломе и транзакциях.
Сейчас главная мишень киберпреступников — небольшие региональные банки, замечает директор департамента сетевой безопасности Group-IB Никита Кислицин. Сами целевые атаки, по его словам, стали изощреннее и практически всегда происходят с использованием методов социальной инженерии: например, сотрудники одного из банков получили на рабочую почту рассылку о вакансиях в Центробанке. Многие не удержались и открыли зараженное письмо, вирус начал распространяться по внутренней сети.
Социальная инженерия — один из самых надежных каналов для проведения целевой атаки, подверждает Юрий Сергеев, эксперт Центра информационной безопасности компании «Инфосистемы Джет». Результаты пен-тестов (тестов на проникновение) показывают, что даже из рассылки на 1000 человек найдутся минимум 7% людей, которые откроют опасное вложение и дадут злоумышленнику доступ к десяткам учетных записей, под которыми можно перейти к атакам внутри сети. «В 90% случаев, как показывают тесты, захватить учетную запись администратора удается в первый же день», — уверяет Сергеев.
Классическая целевая атака требует огромных затрат: преступники собирают сведения об оргструктуре банка, вычисляют, кому отправить зараженные вирусом фишинговые письма. «Прошлый год открыл новые эффективные способы быстрой монетизации ущерба при относительно недорогих методах «работы» хакерских групп», — замечает Эльман Бейбутов, руководитель направления Solar JSOC компании Solar Security.
В первую очередь, хакеры заражают многомилионную аудиторию взломанных web-сайтов. Заходя на такой сайт, человек скачивает себе вредоносных агентов троянских бот-сетей. Бот-агенты без всякого сопротивления со стороны антивирусов устанавливаются на зараженном компьютере и начинают сбор информации. «Если хакерам становится понятно, что бот установлен в банковском компьютере, то атакующий захватывает управление и далее проникает в сеть до рабочего места оператора клиента Банка России (АРМ КБР)», — говорит Бейбутов. Суть атаки на АРМ КБР в том, что осуществляется подмена файла с межбанковскими денежными транзакциями: с корреспондентского счета атакуемого банка деньги пересылают на счета в других банках, откуда выводятся.
Преступных группировок, работающих по такой схеме, становится все больше. Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, то в 2015 году известно стало уже о восьми группировках, специализирующихся на компаниях конкретных отраслей. Растет и ущерб.
Статистика Банка России показывает, что невнимательное отношение менеджмента кредитных организаций к вопросам информационной безопасности приводит к значимым финансовым потерям, говорит первый заместитель председателя Банка России Георгий Лунтовский. Такие банки сильно рискуют. «За последний квартал 2015 года лицензии лишились три кредитные организации, ранее подвергшиеся атакам», — заметил представитель Банка России.
Автор фото:
Фото REUTERS / Thomas Mukoya
Заголовок:
Кражи у клиентов банка с помощью Android-троянов
Текст под фото:
«Это же очень удобно управлять своими деньгами с телефона, но Android позволяет своим пользователям и мобильным приложениям намного больше, чем другие мобильные ОС», — замечает Андрей Брызгин, руководитель направления аудита и консалтинга Group-IB. Этим пользуются киберпреступники. Более 80% смартфонов в мире работает на платформе Android, неудивительно, что большинство вирусов пишутся именно под нее.
«Платформа Android не является эталоном с точки зрения информационной безопасности, — замечает Даниил Чернов, руководитель направления Application Security компании Solar Security. — К тому же каждый производитель смартфона привносит свои изменения в операционную систему, и спустя какое-то время перестает выпускать обновления, которые в том числе, закрывают уязвимости. А пользователь продолжает пользоваться уязвимым устройством».
Все новые банковские трояны, написанные под Android, умеют похищать деньги автоматически. Они собирают данные банковских карт, и уже не важно, клиентом какого банка является владелец телефона. Зараженный трояном смартфон фактически шпионит за своим владельцем: передает хакерам историю звонков и смс, доступ к любым файлам на телефоне и информации в облачном хранилище, следит за геолокацией.
Сама атака выглядит так: чаще всего, троян идет в «нагрузку» вместе с условно полезной программой, например, игрушкой, календарем, фитнес-приложением и т.д. «Если пользователь не глядя дает этой программе права, которые она просит, то он сам подписывает себя на потерю денег, — говорит Даниил Чернов из Solar Security. — Стоит задуматься, когда игрушка или календарь просят права, например, на чтение и отправку СМС-сообщений». В последнее время также набирает популярность адресная доставка трояна. Злоумышленник обращается к пользователю, предлагая открыть что-то по ссылке, которая ведет к файлу с трояном. Например, жертва продает машину, публикует объявление. Злоумышленник высылает жертве сообщение, в котором предлагает обменять свой автомобиль на автомобиль пользователя, высылая ссылку, по которой доступна «детальная информация» о машине.
После заражения деньги выводятся со счета. Во-первых, многие приложения мобильного банка содержат уязвимости, которые позволяют трояну получить доступ к логину, паролю, и даже данным банковской карты. Используя эти данные можно увести деньги со счета пользователя. Во-вторых, если у пользователя подключен СМС-банкинг, все эти операции можно провести, отправляя СМС.
Если через СМС-банкинг невозможно отправить деньги на сторонний счет, то в этом случае настраивается автопополнение баланса счета, и отправляются смс на короткие номера, в результате чего деньги списываются со счета мобильного в пользу злоумышленника, после чего баланс пополняется. И так по кругу.
Все операции происходят в фоновом режиме: то есть пользователь не видит входящие или исходящие СМС-уведомления о совершенных операциях. Он лишь замечает внезапную нехватку денег на счете, но с точки зрения банка это выглядит как легитимные операции, совершенные пользователем дистанционно. Обе стороны предъявляют потом друг другу взаимные претензии. Бывает, что банк компенсирует потери, но чаще всего потери несет пользователь.
По оценкам Group-IB, ущерб от инцидентов с Android-троянами у физических лиц в прошлом году составил более 61 млн рублей, превысив ущерб от троянов для персональных компьютеров. Количество инцидентов выросло в 3 раза.
«Необходим контроль в отношении разработчиков: так как культура написания мобильных
платежных приложений пока чрезвычайно низка, особенно в России, — говорит Брызгин из Group-IB. — Вредит безопасности и слабый контроль приложений со стороны держателей платформы: даже в официальном магазине ПО мы нередко обнаруживаем фишинговые программы и программы с внедрённым вредоносным функционалом».
Весьма эффективны, по его словам, превентивные меры защиты, когда банки самостоятельно проводят или заказывают на стороне мониторинг фишинговых и вредоносных приложений, или внедряют антивирусные движки в сами приложения мобильного банкинга. Пользователям смартфонов с Android специалисты Solar Security советуют не совершать установку программ из непроверенных источников, поставить и регулярно обновлять антивирус, а при скачивании программ внимательно смотреть, какие права запрашивает программа.
Автор фото:
Фото REUTERS / Kim Hong-Ji
Заголовок:
Утечки, внутреннее воровство и вредительство
Текст под фото:
В марте 2015 года в Казань из Москвы прилетела делегация юристов, представляющих нескольких крупных брокерских компаний. Им предстояло отстаивать интересы своих клиентов в суде против местного «Энергобанка», подконтрольного брату депутата Госдумы Айрату Хайруллину. Представители банка через суд пытались доказать, что на них была совершена хакерская атака, и вернуть деньги со счетов брокеров.
Случилось вот что: 27 февраля 2015 года казанский «Энергобанк» разместил на бирже пять заявок на покупку $437 млн и 2 заявки на продажу $97 млн по нерыночному курсу. Эти действия вызвали аномальную волатильность в течение 6 минут, что позволило совершить сделку на покупку долларов по курсу 59,0560 и через 51 секунду продать по курсу 62,3490 за $1. По оценке банка, ущерб составил 244 млн рублей. Теперь банк доказывает, что деньги были потеряны из-за хакерской атаки. Впрочем, существует и версия мести уволенного сотрудника, ее придерживается, например, ЦБ. «Мы не выявили, что кто-то эти деньги получил. Это была атака, скорее всего, месть за увольнение одного из сотрудников», — говорил первый зампред ЦБ Сергей Швецов.
Расследование Group-IB показало, что во внутренней сети банка был вирус Corkow Trojan (так же известный как Metel), который позволяет злоумышленникам удаленно запускать программы, управлять клавиатурой, мышкой параллельно с оператором системы. Через 14 минут после первой заявки хакер дал команду Corkow на удаление своих следов и вывода системы из строя.
Вирусом Corkow было заражено 250 000 компьютеров и более 100 финансовых организаций по всему миру. За счет наличия доступа к популярным в России веб-сайтам ежедневно злоумышленники могли перенаправлять на свои серверы до 800 000 посетителей в сутки (это ежедневная аудитория всех сайтов, к которым у хакеров был доступ). Но делали они это более избирательно и не со всех сайтов одновременно. Установленный троян Corkow собирал данные о системе и пересылал их на свой сервер управления. После этого хакерам нужно было лишь найти среди общей массы ботов те, которые установлены в банках. «Сенсоры Bot-Trek TDS установлены в десятках финансовых учреждений и за последний год мы детектировали заражения Corkow у 80% защищаемых банков», — говорит директор департамента сетевой безопасности Group-IB Никита Кислицин.
В кризис банки оптимизируют численность сотрудников. Вместе с сокращениями растет риск утечек: уходя из банка, некоторые сотрудники попытаются прихватить с собой максимально возможное количество конфиденциальной информации, чтобы монетизировать ее у конкурентов или у киберпреступников. Не стоит забывать и о мошенничестве. Некоторые сотрудники банка снимают деньги со «спящих» счетов, например, у пожилого клиента банка, по которым давно не было активностей, говорит Юрий Сергеев, эксперт Центра информационной безопасности компании «Инфосистемы Джет». Собрав деньги с нескольких десятков счетов, сотрудник исчезает. Многие банки, чтобы минимизировать риски, стараются тщательнее контролировать удаленный доступ и действия своих сотрудников в офисе, а также их рабочие коммуникации.
Утечки и прочая «внутренняя кража данных» относится к самым «непрозрачным» для экспертов видам угроз, говорит Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. В отличие от хакерских атак — технически сложных для понимания обывателя и руководителей компаний — сценарий «менеджер уволился с клиентской базой» очевиден и вызывает наибольшие опасения.
Автор фото:
Фото EUTERS / Fabrizio Bensch
Текст под фото:
«Потрошение банкоматов» иногда выглядит весьма эффектно: оператор «нажимает кнопочку», а человек, стоящий у нужного банкомата, подставляет мешок к щели выдачи и деньги сами вылетают из банкомата.
Банкоматы по-прежнему беззащитны перед киберпреступниками: в отличие от надежного сейфа с банкнотными кассетами, физической защите электронных «мозгов» уделяется на порядок меньше внимания. Получив возможность подключиться к внутренним коммуникациям, злоумышленник может захватить полный контроль, в том числе, и над диспенсером — устройством выдачи купюр.
«По итогам прошлого года, виден существенный рост атак на АБС и банкоматы, — рассказывает Глеб Чербов, заместитель директора департамента аудита защищенности Digital Security. — Есть все основания полагать, что в нынешнем году ущерб от такого рода инцидентов будет внушительным, и легко может превысить 25 млрд рублей, если банки не примут срочные меры».
Такая атака достаточно примитивна: механически производится вскрытие верхней части, потом атакующий либо подключает дополнительное устройство в разрыв управляющих линий, либо с внешнего носителя инфицирует центральный модуль. Известны так же и случаи, когда взлом банкоматов производился не физически, а из уже скомпрометированной сети банка, открывая для мошенников возможность удаленного управления и получения денег.
Есть и неожиданный пример мошенничества: киберпреступники, используя методы социальной инженерии, проникли во внутреннюю сеть банка, внедрили вредоносное ПО, захватили контроль над рабочим местом операциониста. Другие сняли с карты несколько десятков тысяч рублей. После снятия суммы злоумышленник, завладевший рабочим местом, произвел операцию возврата денег на карту. И так много раз. В результате, с нескольких карт в разных банкоматах через снятие и возврат было похищено полмиллиарда рублей.
Автор фото:
Фото REUTERS / Luke MacGregor
Заголовок:
Атаки на партнеров банков
Текст под фото:
В эпоху облачных технологий и аутсорсинга у хакеров больше нет необходимости взламывать банк напрямую, чтобы заполучить финансовую информацию по конкретному клиенту или сделке. Достаточно взломать одного из многочисленных партнеров и контрагентов, у которых есть доступ к сделке: адвокатов, финансовых аудиторов, консультантов или даже ИТ-компании, обслуживающих жертву.
«У кого-то наверняка найдется копия нужной информации на жестком диске или в почтовом ящике, а взломать небольшую компанию — в десятки раз проще и дешевле чем атаковать банк напрямую», — говорит Илья Колошенко, основатель и гендиректор швейцарской компании High-Tech Bridge SA. По его словам, в Европе наблюдается бум взломов сайтов адвокатских контор, которые работают и с банками.
Чаще всего все атаки подобного рода, начинаются со взлома веб-сайта жертвы. Безопасностью таких вот сайтов-«визиток» никто практически не занимается. Этим и пользуются злоумышленники. За 15-20 минут взламывается веб-сайт, создается легитимная страница, копирующая дизайн и содержание сайта. На эту страницу помещается exploit pack, или говоря проще — вирус, который заразит компьютер или мобильное устройство жертвы после захода на страницу. Заставить жертву кликнуть проще простого. Достаточно найти сотрудника адвокатской конторы в соцсетях, посмотреть на его интересы и активность. Получив письмо от старого знакомого с совершенно легитимным и логичным вопросом (например, по открытым вакансиям в компании) и легитимную ссылку на сайт своей фирмы, 99% кликнут на нее, не раздумывая. А большая часть внутренних систем безопасности легко пропускает трафик на корпоративный сайт, не видя в нем угрозы. Стоит взломать один компьютер внутри корпоративной сети — и оборона пала. При этом затраты на атаку незначительны.
Malware для удаленной компрометации устройства и трояны, для систем которые давно не обновлялись, можно найти в интернете бесплатно. Для систем, где патчи (программы-обновления, закрывающие дыру) ставятся с небольшими задержкам, цена вопроса — $1000-2000. А для полностью обновленных систем — $10 000-50 000. «Это все равно в десятки раз дешевле, чем ломать банк в лоб. И куда менее рисковано для злоумышленика — шансы, что такая жертва начнет расследование, и вообще заметит атаку, равны нулю.Так что будущее за атаками на партнеров и третьих лиц обладающих нужной информацией, через их собственные веб-сайты», — полагет Колошенко.
Кибермошенники «живут» в условиях жесточайшей конкуренции, причем не только между собой, но и с правоохранительными органами, и в результате такого естественного отбора на «криминальной стороне» оказываются хорошо оплачиваемые профессионалы высочайшего класса, замечает Дмитрий Кузнецов из Positive Technologies. В итоге ни крупный бизнес, ни органы государственной власти пока не могут эффективно противодействовать хорошо подготовленным и скоординированным кибератакам.
Что делать банкам? «Проводить мониторинг защищенности своих информационных систем и оперативно исправлять выявленные проблемы, — считает Кузнецов. — А во-вторых, быть в постоянной готовности к таким атакам, иметь и персонал, сравнимый по квалификации с атакующими, и технические средства, способные выявлять такие атаки. Правда, все это требует как серьезных затрат, так и непростого выбора между безопасностью и прибыльностью своих услуг».
Автор фото:
Фото REUTERS / Nacho Doce
Отображать в тексте статьи(под снос):
Не отображать в тексте статьи
Подзаголовок:
Целевые атаки, Android-трояны и мошенничество — к каким угрозам финансовым организациям и их клиентам стоит отнестись особенно серьезно
Отправить Push-уведомление в iPhone (под снос):
Не отправлять Push-уведомление
Не экспортировать в Яндекс и соц сети:
Название: «Большинство сотрудников не задумываются о том, что их мессенджеры контролируют»: как в России сливают конфиденциальную информацию и что за это бывает
Ссылка на источник:
http://www.forbes.ru/tehnologii/411175-bolshinstvo-sotrudnikov-ne-zadumyvayutsya-o-tom-chto-ih-messendzhery-kontroliruyut
