Уровень киберугроз по всему миру растет огромными темпами. Ни одна преступная деятельность на Земле не показывает такой впечатляющей статистики: число преступлений в этой сфере увеличивается на 3–4% ежемесячно. Поскольку сегодня в России любая информация переводится в электронную форму, увеличивается и количество преступлений в данной сфере. Действия киберпреступников наносят отечественному бизнесу ущерб, сопоставимый с ВВП некоторых развитых европейских стран.

Кибератака длиною в 12 часов

С определенной долей периодичности отечественные банки в течение прошлого года подвергались различного рода киберугрозам. Однако, пожалуй, наиболее мощной стала серия DDoS-атак, которая была направлена на ряд крупнейших российских банков в ноябре 2016 года. По данным «Лаборатории Касперского», злоумышленники атаковали веб-сайты как минимум пяти известных финансовых организаций, входящих в топ-10.

Хакеры использовали многовекторные атаки двух типов – syn-flood (атаки на исчерпание ресурсов операционной системы) и http-flood (атаки на веб-сервер с целью вызвать перегрузку и прекращение доступа к ресурсу). Данные виды атак являются достаточно сложными, их почти невозможно отра­зить стандартными средствами защиты, которые используют операторы связи.  

Длительность каждой отдельной атаки в среднем составила около часа, самая же продолжительная длилась почти 12 часов. Некоторые банки подверглись атакам неоднократно – «Лаборатория Касперского» зарегистрировала серии от 2 до 4 атак с небольшим интервалом. Их мощность достигала 660 тысяч запросов в секунду, при этом есть основания полагать, что это далеко не предел. Ботнет – сеть зараженных устройств, используемых злоумышленниками для атаки, – состоит более чем из 24 тысяч машин. Более 50% устройств, входящих в ботнет, находятся на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали машины в общей сложности из 30 стран мира. 

В арсенале большинства банков, подвергшихся этим атакам, есть защитный сервис Kaspersky DDoS Prevention. Наличие данного сервиса позволило им избежать ущерба от инцидентов – веб-сайты банков и системы онлайн-банкинга продолжили функционировать в нормальном режиме, несмотря на все предпринимаемые попытки злоумышленников.

«Лаборатория Касперского» уже не один раз отражала DDoS-атаки на веб-ресурсы отечественных финансово-кредитных учреждений. Еще одна очень масштабная серия атак произошла в октябре 2015 года, когда были атакованы 8 известных российских банков. 

А еще ранее, в 2014 году, были успешно нейтрализованы рекордно мощные на тот момент атаки, доходившие до 100 Гб/с. Помимо этого, осенью 2013 года программное решение «Лаборатории Касперского» отразило продолжительные DDoS-атаки на целый ряд российских банков.  

«Российские банки регулярно сталкиваются с DDoS-атаками, которые уже давно стали одним из самых распространенных инструментов, используемых злоумышленниками при нападении на бизнес. Несмотря на то что атакованы были веб-сайты банков, подобные инциденты способны привести к серьезным последствиям, поскольку у клиентов могут возникнуть трудности с операциями в системах онлайн-банкинга. Также подобные атаки могут играть роль отвлекающего маневра во время сложной целевой атаки на банк», – объясняет руководитель проекта Kaspersky DDoS Prevention в России Алексей Киселев.    

В результате DDoS-атаки прекращается функционирование веб-ресурсов банка, и пусть это происходит непродолжительное время, все равно крайне велика вероятность крупных потерь – как репутационных, так и финансовых. Поэтому финансово-кредитным организациям важно использовать полноценную систему защиты от подобного типа атак. Например, такая защита используется в Сбербанке, который тоже подвергался атаке, но смог успешно ее блокировать еще на первом контуре защиты. Он оказался одним из немногих банков, которым удалось избежать прерывания сервиса для своих клиентов. 

Принцип защиты, реализованный в сервисе Kaspersky DDoS Prevention, сводится к тому, что весь «мусорный» трафик, ответственный за перегрузку канала и недоступность ресурса, проходит через распределенные центры фильтрации, где и отсекается. Таким образом, защищаемый ресурс получает лишь легитимные запросы пользователей и способен продолжать работу даже во время атаки.

К атаке готовы?

В начале декабря прошлого года ФСБ России сообщила о получении информации о готовящихся иностранными спецслужбами кибератаках, направленных на дестабилизацию финансовой системы нашей страны.

«Федеральной службой безопасности России получена информация о начавшейся 5 декабря 2016 года подготовке иностранными спецслужбами масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков», – отмечалось в сообщении, размещенном на официальном сайте ФСБ.

По данным ФСБ России, зло­умышленники планируют сопровождать кибернападение массовой рассылкой СМС-сообщений и публикациями в социальных сетях (блогах) провокационного характера в отношении кризиса кредитно-финансовой системы России, банкротства и отзыва лицензий у ряда ведущих банков федерального и регионального значения.

Тогда же Ассоциация российских банков сообщила, что вместе с Банком России сотрудничает с ФСБ для предотвращения последствий возможных кибератак на кредитные организации. 

В пресс-релизе АРБ говорилось, что в массовых электронных и СМС-рассылках могут быть призывы к закрытию депозитов: «Злоумышленниками может распространяться ложная информация об отсутствии наличности в банкоматах некоторых банков, об утечке информации о введении ограничений на выдачу денежных средств и закрытии отделений некоторых банков, о получении от якобы достоверных источников информации о скачках курса рубля и о планируемом ограничении выдачи валюты». Ассоциация отмечала, что вся эта недостоверная информация может сопровождаться комментариями от якобы взволнованных граждан.

«Между тем ситуация в банковском секторе стабильна, российские банки способны выполнять свои обязательства перед вкладчиками и другими кредиторами. По информации АРБ, Банк России и Министерство финансов в случае необходимости готовы предоставить любую необходимую ликвидность», – говорилось в пресс-релизе ассоциации.

Целевые атаки на банки останутся трендом 2017 года

Понятно, что прямым следствием кибератак является возможная кража денежных средств. Так, в системе Банка России за прошлый год было выявлено 23 крупных случая покушения на хищение денежных средств общей суммой около 3 млрд рублей. Об этом сообщил начальник FinCERT Дмитрий Фролов в рамках пленарной дискуссии форума AntiFraud Russia 2016 «Эволюция киберугроз в финансовом секторе. Что ждать ­завтра?».

Всего же за год общая сумма потенциальных потерь денежных средств с учетом предварительной статистики по коммерческим банкам оценивается в 5,2 млрд рублей. Однако, по словам Дмитрия Фролова, эти цифры не являются официальными и будут еще уточняться регулятором по итогам 2016 года. 

Начальник FinCERT также подчеркнул, что общей тенденцией остается рост числа и качества совершения такого рода преступлений. 

В свою очередь, представитель управления «К» МВД России Евгений Михалев отметил, что статистика Центрального банка РФ не так далека от реальности, но в органах внутренних дел она корректируется, так как многие мошеннические действия квалифицируют по 158 статье УК РФ как хищение тайного имущества. Поэтому статистика такого рода за этот год будет отличаться от статистики регулятора в 1,5 раза в сторону увеличения. 

Он также отметил, что продолжается работа по пресечению деятельности большого числа преступных групп, которые ставят своей целью хищение денежных средств у физических лиц с помощью вредоносного ПО, предназначенного для компрометации мобильных устройств на платформах Android. 

По мнению Евгения Михалева, трендом 2017 года останутся целевые атаки на финансово-кредитные организации, потому что хищение огромного количества денег за короткий промежуток времени является крайне привлекательным и заманчивым занятием для преступников. По его словам, атакам подвергнутся также и мобильные устройства.