Хакеры не оставляют попыток взломать банковские системы – DDoS-атаки никуда не делись, но главные угрозы сегодня выглядят иначе: охота за сессиями пользователей, взлом смартфонов через NFC и использование легитимных запросов для обхода классической защиты. Как за последние 2–3 года изменился ландшафт киберугроз для систем дистанционного банковского обслуживания, где проходит размытая граница между WAF и антифродом, какие требования диктует регулятор, и почему российские банки по-прежнему остро нуждаются в качественных межсетевых экранах – об всём этом и многом другом во втором подкасте «Защита ДБО», который состоялся 17 марта в рамках совместного проекта Национального банковского журнала (NBJ) и Global Digital Space.

В подкасте приняли участие:

Ведущий: Вадим Шелест, руководитель направления анализа защищённости Wildberries & Russ

Павел Луцик, директор по развитию бизнеса и работе с партнёрами, КРИПТО-ПРО

Ирина Чурикова, директор по работе с финансовым сектором, SafeTech

Дмитрий Никишов, вице-президент по информационной безопасности банка «ДОМ.РФ»

Владимир Гриднев, заместитель генерального директора по развитию бизнеса компании WMX («Вебмониторэкс»)

Олег Волков, руководитель департамента информационной безопасности банка «Кубань Кредит»

Цифровой фронт: как хакеры перешли от DDoS к взлому смартфонов через NFC

Директор по работе с финансовым сектором компании SafeTech Ирина Чурикова, комментируя текущую ситуацию с целевыми атаками на системы ДБО, прежде всего обратила внимание на официальную статистику. Она заявила, что, если посмотреть на данные Банка России, становится очевидно: мошеннические операции неумолимо растут. По словам эксперта, основными векторами атак сегодня являются схемы злоумышленников, направленные на захват денежных средств у клиентов банка и перевод их на свой счёт либо выведение из строя самой инфраструктуры кредитной организации. Эксперт отметила, что такие атаки регулярно фиксируются в ФинЦЕРТ, причём основная доля из них проходит там с пометкой «иные», куда входят в том числе технологические векторы (компрометация данных, эксплуатация уязвимостей и другие).

Она отдельно выделила DDoS-атаки, которые в последний период несколько спадают. Однако набирают силу и оборот троянские программы, особенно с внедрением инструментов искусственного интеллекта. Это позволяет злоумышленникам расширять зону покрытия и получать возможность реализовывать атаки не на одного клиента, а делать площадь поражения гораздо более весомой.

При этом Ирина Чурикова обратила внимание на важный парадокс: «Несмотря на все сложности, с которыми сталкиваются банки, они борются изо всех сил, а регулятор помогает, каждый год анализируя векторы атак и предусматривая новые рекомендации и требования. С течением времени реакция злоумышленников на обнаруженные уязвимости стремится к нулю».

Чтобы проиллюстрировать эту мысль, эксперт привела тревожный пример: в 2026 году от момента нахождения какой-то уязвимости до создания готового эксплойта проходят уже считанные часы, тогда как раньше такого не было.

Ирина Чурикова специально подчеркнула, что не стоит думать, будто социальная инженерия – это единственное оружие преступников. По её словам, техническая опасность определённых векторов атак просто не так видна самим гражданам и клиентам банков. В этой связи особую тревогу вызывает развитие банковских троянов для мобильных устройств. Как отмечает Банк России в тенденциях 2026 года, такое ПО обеспечивает доступ к каналу SMS и PUSH-уведомлений, позволяя скрытно перехватывать направляемые банками ОТР-коды и подтверждать мошеннические операции. Именно поэтому Банк России последовательно ужесточает требования к защите подтверждения платёжных операций. Использование SMS-кодов для этой цели не допускается с точки зрения регулятора – они не обеспечивают целостности подтверждаемых данных. Кроме того, SMS-канал может быть недоступен для клиента (отсутствие связи, задержки доставки), что создаёт риск отказа в банковском обслуживании. В отличие от уязвимых и ненадёжных SMS-кодов, использование мобильной электронной подписи защищает от атак, связанных с ОТР-кодами: перехват, подмена ОТР-кода и др., не требует ручного ввода кодов из сообщений и соответствует требованиям Банка России к обеспечению целостности электронных сообщений.

Руководитель департамента информационной безопасности банка «Кубань Кредит» Олег Волков полностью согласился с коллегой. Он подтвердил, что действительно ощущается спад DDoS-атак, и привёл конкретный цифровой показатель: за весь 2025 год в их банке не было зафиксировано ни одной такой атаки. Однако, если говорить о цифровом канале в целом, то сейчас очень активно используется социальная инженерия для размещения вредоносного ПО непосредственно на устройстве, с которого осуществляется доступ к банковским услугам. Он отметил, что уже реализованы системы, которые решают вопрос выманивания единичных платежей, но злоумышленники не стоят на месте. По наблюдениям эксперта, активно используются приложения для удалённого управления смартфонами. Более того, он рассказал о новой угрозе: применяются системы NFCGate, которые транслируют через технологию NFC образ банковской карты. Это означает, что злоумышленники могут уже удалённо оплачивать товары с помощью телефона жертвы.

Олег Волков добавил, что банк обнаружил ещё один новый вектор атак, который принципиально отличается от традиционных схем. Он пояснил, что раньше преступники стремились вывести деньги наличными, но теперь они переключились на оплату в магазинах: речь идёт как об онлайн-покупках на маркетплейсах, так и об офлайн-магазинах.

Эволюция киберугроз: классические атаки растут, но главная опасность теперь в другом

Заместитель генерального директора по развитию бизнеса компании WMX («Вебмониторэкс») Владимир Гриднев, комментируя изменения в профиле атак на системы ДБО за последние 2–3 года, в целом согласился с коллегами, но счёл необходимым сделать важное дополнение. Он заявил, что если смотреть на абсолютные значения классических веб-атак, то их количество неуклонно растёт из года в год.

По словам Владимира Гриднева, этому процессу понятным образом способствует появление искусственного интеллекта, который в разы увеличивает скорость реализации атак, поиск и эксплуатацию уязвимостей, написание вредоносных скриптов и т.п. При этом банковская отрасль является самой атакуемой. Чтобы проиллюстрировать масштаб угрозы, Гриднев привёл конкретную цифру: по данным WMX, в 2025 году на одну финансовую организацию в среднем пришлось по 8 миллионов веб-атак.

«Таким образом, классические атаки никуда не делись – они продолжают расти, однако их функция изменилась. Теперь они чаще используются для разведки, чтобы найти потенциальные уязвимости и понять, как устроена система дистанционного банковского обслуживания», – подчеркнул он.

Наиболее критичными для отрасли сейчас являются целевые атаки, нацеленные на клиентов банков, которые могут осуществляться разными способами – через фишинг или установку троянского ПО.

«Конечная цель заключается в том, чтобы угнать сессию пользователя и затем выполнять некие действия от его имени. Поэтому фактически защита сместилась за точку аутентификации, потому что атака выполняется уже под авторизованным пользователем», – заключил эксперт WMX

Владимир Гриднев рассказал, что среди новых угроз его компания наблюдает появление умных автоматизаций, в частности, продвинутых ботов на базе ИИ, а также в целом рост количества поведенческих атак. Гриднев детально объяснил суть этого феномена: каждый отдельный запрос в рамках такой атаки является легитимным и не вызывает подозрений у традиционных систем безопасности, но совокупность запросов и общая модель поведения пользователя оказывается странной и нетипичной. Именно на это, подчеркнул эксперт, сейчас необходимо делать фокус с точки зрения защиты.

Размытый периметр: как WAF, antibot и антифрод учатся делить ответственность

Вице-президент по информационной безопасности банка «ДОМ.РФ» Дмитрий Никишов, рассуждая о границе ответственности между антифрод-системой и инфраструктурной защитой, предложил исходить из того, на что именно направлена атака. Он пояснил: если злоумышленник атакует логику работы сервиса, то это зона ответственности антифрод-системы, а если атака нацелена на инфраструктуру – то должны работать решения класса WAF, API security и antibot. По его словам, раньше зоны ответственности были достаточно чётко разделены, и все участники понимали, кто за что отвечает. Однако к настоящему моменту точка атаки заметно сместилась, а границы ответственности между классами решений по защите стираются все сильнее.

Ведущий подкаста, руководитель направления анализа защищённости Wildberries & Russ Вадим Шелест, отметил, что такого понятия, как периметр безопасности, в классическом понимании уже давно не существует, точка атаки сместилась в сторону авторизованного аутентифицированного пользователя. И здесь, по словам ведущего, возникает принципиальный вопрос: можно ли классическими инфраструктурными средствами защиты обеспечить безопасностьи идентифицировать таких злоумышленников, которые действуют из-под легитимной учётной записи, или всё-таки для этого необходимо использовать другие решения?

Дмитрий назвал ключевым моментом в защите контроль слепых зон – переходного пространства между решениями, отвечающими за защиту инфраструктуры, и решениями, отвечающими за защиту транзакций и денежных средств. Он подчеркнул особенную важность оперативной передачи информации между этими системами: «Если идёт таргетированная атака на клиента, например, брукфорс, который мы успешно ловим на WAF, важно незамедлительно обмениваться этой информацией с антифрод-системой, чтобы не тратить ресурсы на защиту клиента. И обратно, если мы с помощью сессионной аналитики антифрод видим эмуляцию андроид-приложения, нужно передавать эти сведения в WAF для блокировки запросов на своей стороне». Дмитрий также отметил распределение ролей между классами решений. Он объяснил, что решения класса antibot отвечают на вопрос «Кто?», и их главная задача – определить, с кем имеет дело система: с реальным человеком или с ботом, или эмулятором поведения человека. Решения класса WAF отвечают на вопрос «Как?», каким именно способом злоумышленник пытается осуществить атаку, какие методы и векторы он использует. И, наконец, антифрод-системы отвечают на вопросы «Зачем?» и «Почему?»: они анализируют логику действий, мотивы и целесообразность рассматриваемой операции. Дмитрий особо подчеркнул, что для его банка момент принятия окончательного решения совпадает с нажатием пользователем кнопки «Оплатить». Он считает, что если искать границу ответственности между инфраструктурной защитой и решениями класса антифрод, то она может находиться именно в этом месте.

Руководитель департамента информационной безопасности банка «Кубань Кредит» Олег Волков предложил свой взгляд на проблему. Он заявил, что его банк вообще не строит никаких границ между разными классами решений. По словам эксперта, их WAF работает вместе с антифрод-системой в единой связке. Кроме того, они используют SIEM-систему для контроля трафика в момент проведения атаки на дистанционное банковское обслуживание. Эксперт подчеркнул, что банк принимает комплекс мер, объединяя и инфраструктурную безопасность, и антифрод-систему.

Цифровой рубль как локомотив: как регулятор заставил банки по-новому защищать клиентские устройства

Директор по развитию бизнеса и работе с партнёрами компании «КРИПТО-ПРО» Павел Луцик, характеризуя нормативные требования к средствам защиты электронных сообщений в системах ДБО, начал с общего наблюдения о финансовой сфере. Он отметил, что она исторически является самой зарегулированной с точки зрения требований по информационной безопасности. При этом эксперт сделал важное уточнение: эти требования долгое время относились скорее к серверной инфраструктурной части и начали появляться ещё в прошлом веке. Однако, по его словам, что касается клиентской части – тех самых клиентских устройств в большом количестве, планшетов и смартфонов, с помощью которых пользователи заходят в мобильный банкинг, – то требования здесь начали появляться относительно недавно. Эксперт выразил удовлетворение тем, что они наконец появились, и назвал первый росток – цифровой рубль, который привнёс много полезного, в том числе в части средств защиты и ДБО в целом. Так, возникли требования к клиентской части: появился программный модуль Банка России, который сейчас банки внедряют в свои мобильные приложения, выбирая один из нескольких вариантов. Вторым шагом, уже на примере цифрового рубля, у регуляторов появились требования к защите безналичных платежей. Павел Луцик упомянул, что много сейчас говорится о Положении Банка России 851-П, которое обязывает банки обеспечивать целостность электронных сообщений, связанных с проведением безналичных платежей. «Здесь тоже необходимо обеспечивать целостность и аутентификацию отправителя, а в некоторых случаях требуется построение PKI-инфраструктуры и создание удостоверяющего центра. Это направление сейчас активно развивается», – подчеркнул он. Причём эксперт зафиксировал важное изменение в восприятии законодательства: если раньше оно воспринималось как нечто обязывающее и даже негативное, то сейчас оно выступает драйвером, который оказывается очень полезным в перспективе.

Третье направление, которое Павел Луцик счёл необходимым отметить, и о котором, по его наблюдениям, не так часто говорят в контексте ДБО – это биометрия. Он объяснил, что многое сейчас делается для сокращения и облегчения клиентского пути, и биометрия является одним из инструментов, который позволяет этого достичь. Эксперт признал, что многие относятся к этому направлению скептически и не хотят сдавать свои биометрические данные. Однако он привёл обнадеживающую статистику: каждый год количество соотечественников, желающих сдать биометрию и получать услуги с её помощью, растёт.

«Законодательство сейчас хорошо двигает вперёд всю сферу информационной безопасности в целом и, в частности, всё, что касается защиты ДБО – цифровой рубль, защиту безналичных платежей и биометрию», – резюмировал эксперт

Директор по работе с финансовым сектором компании SafeTech Ирина Чурикова, развивая тему, добавила важный аспект о том, как финансовый сектор регулируется Банком России. Она рассказала, что происходит гармонизация всех требований таким образом, чтобы выстроилась стандартная линия определённого уровня информационной безопасности для всех организаций. По её словам, ЦБ своими требованиями вводит общий уровень ИБ, который должны поддерживать все финансовые организации. Эксперт подчеркнула, что это становится достаточно просто, когда регулятор даёт время на анализ и возможность выбрать средства из доступных вариантов.

«Когда общая система защиты ИБ всех клиентов сводится к тому, что каждая кредитная организация должна поддерживать определённый уровень, тогда этот уровень можно назвать зрелым», – отметила Ирина Чурикова

Зрелость российских средств защиты ДБО и ниши с острым дефицитом качественных продуктов

Вице-президент по информационной безопасности банка «ДОМ.РФ» Дмитрий Никишов в своей оценке зрелости российских средств защиты ДБО начал с позитивного: по его мнению, есть сегменты, где технологический суверенитет ощущается очень чётко, например, российские производители занимают уверенные позиции в антифрод-платформах и решениях класса WAF, особой отметки также заслуживают достижения в отечественных криптографических средствах и удостоверяющих центрах. Эксперт подчеркнул ценность достигнутого мирового уровня зрелости отечественных решений и работу вендоров в этом направлении: цифровые продукты в РФ являются одними из наиболее технологичных в мире, их активное развитие требует соразмерной защиты. При этом Дмитрий обратил внимание на развитие новых технологий, таких как API, и на некоторое отставание от них средств защиты, которые ещё не успели набрать популярности в нашей стране. Он выразил надежду увидеть развитие разработки таких продуктов, поскольку прогресс не стоит на месте, и новые технологии активно наращивают популярность, в том числе в продуктах финансового рынка.

Директор по развитию бизнеса и работе с партнёрами компании «КРИПТО-ПРО» Павел Луцик, присоединяясь к обсуждению, выразил благодарность регуляторам. Он повторил уже высказанную ранее мысль о том, что законодательство в какой-то момент перестало рассматриваться как обуза и начало реально помогать, и привёл конкретный пример. Эксперт рассказал о платёжных криптографических модулях, которые используются во всех банках для обеспечения криптографической защиты в рамках платёжной системы «Мир». Он пояснил, что в мире и в России до 2022 года монополистом таких систем была компания Thales. Однако благодаря регуляторам требования к российским системам появились ещё раньше, и тогда многие не понимали, зачем эти требования нужны, если в РФ и в мире используются модули компании Thales. Павел Луцик сообщил, что его компания как разработчик СКЗИ под эти требования разработала соответствующий платёжный HSM-модуль, который в 2023 году был сертифицирован исключительно благодаря тому, что регуляторы заранее об этом позаботились. Он подчеркнул, что если бы этого не произошло, то последствия были бы негативными, потому что Thales ушёл с российского рынка в 2022 году.

«То, что в России прекрасные антивирусы и СКЗИ, во многом является заслугой регуляторов, которые своевременно разрабатывают требования, в соответствии с которыми появляются хорошие решения, не просто сертифицированные, но реально работающие», – резюмировал эксперт.

Руководитель департамента информационной безопасности банка «Кубань Кредит» Олег Волков предложил свою оценку ситуации. Он заявил, что, поскольку финансовый сектор России является самым атакуемым в мире, отечественные банки смогли многому научиться. Волков выделил несколько основных классов решений: система аутентификации и авторизации, криптографическая защита и аналитические системы антифрода. В этих областях, по его убеждению, нам равных нет. Он также отметил обилие средств защиты и заявил, что имеющиеся на рынке средства защиты информации вполне закрывают все насущные потребности. Однако затем эксперт сместил фокус на проблемные зоны. Волков акцентировал внимание на инфраструктурной безопасности и признал, что здесь у него и его коллег много нареканий. Он объяснил, что без инфраструктурной безопасности защищать на логическом уровне систему ДБО крайне сложно. По словам Волкова, банкам нужно защищать прежде всего периметр, чтобы системы ДБО функционировали как нужно. Он перечислил, чего крайне не хватает: качественных систем межсетевого экранирования, а именно межсетевых экранов следующего поколения, а также аналитических систем, в частности систем контроля рисков в сети. Здесь, по оценке Волкова, российские решения явно не дотягивают до западных аналогов. Кроме того, он добавил, что не хватает антивирусов, чтобы выстроить эшелонированную защиту.

Заместитель генерального директора по развитию бизнеса компании WMX («Вебмониторэкс») Владимир Гриднев, завершая обсуждение, согласился с коллегами: есть классы решений, которые хороши, и есть классы, которые пока не дотягивают до западных. При этом, по его мнению, отечественные ИБ-продукты обладают высоким качеством обнаружения и блокировки атак, однако остаются достаточно сложными и непонятными с точки зрения удобства эксплуатации. Эксперт напомнил, что одна из ключевых проблем в информационной безопасности сегодня – это кадры. Поэтому, по его словам, крайне важно, чтобы решение было простым в эксплуатации. Гриднев аргументировал это тем, что отправить человека на обучение на два месяца к одному вендору, потом к другому, потом к третьему просто невозможно – столько людей нет. Он призвал российских вендоров работать над улучшением пользовательского опыта, чтобы продукты было проще использовать и легче интегрировать. 

Полная версия видеоподкаста доступна по ссылке.  

Текст: Оксана Дяченко

Материал также опубликован в печатной версии Национального банковского журнала (апрель 2026)