FinCERT: с чем его едят?

FinCERT: с чем его едят? Сертификаты

Что в отчете?

ФинЦЕРТ регулярно анализирует данные по мошенническим операциям по счетам граждан и атакам на банки. На этот раз дал срез ситуации с ИБ внутри и вокруг финсектора за 2021 и 2020 годы. Оценивали атаки на банки и их клиентов – организации и физических лиц.

По сути, отчет всеобъемлющий и позволяет сделать универсальные выводы о схемах мошенников: они всегда завязаны на деньгах, куда бы ни целились.

Для банков

Традиционно это одна из самых защищенных отраслей, здесь все в порядке с оснащенностью ИБ-инструментами (например, по нашим данным DLP против внутреннего мошенничества есть в 59% организаций, почти вдвое больше, чем в среднем по всем отраслям).

И качество защиты растет. Способствуют высокие риски и пристальный контроль регулятора. В итоге традиционные атаки здесь уже не проходят – ФинЦЕРТ отмечает спад массовых фишинговых рассылок, их результативности, так что мошенникам они стали невыгодны.

Понятно, что атаки не кончились, а лишь сместили вектор. Теперь ситуация, как ее описывает ФинЦЕРТ выглядит так:

Всего за два года насчитали 2881 вирусную атаку на банки, реальная цифра может быть в разы выше.

Как атаковали клиентов. физлица.

А вот атаки на обычных пользователей не претерпели значительных изменений, здесь по-прежнему «рулит» социнженерия. За два года число таких атак выросло на 88%. И против этого лома пока нет приема.

Топ угроз для рядовых юзеров выглядит так:

  1. Мошеннические звонки. 84% всех атак мошенники проворачивают по телефону, в 98% случаев звонят «из банка». Схемы не меняются, разве что злоумышленники стали чаще играть на теме безопасности (жертву пугают «утечкой данных» или «кражей средств со счета», в 41% случаев звонящий представляется безопасником, в последнее время еще и сотрудником полиции). И вот тут самое интересное.

    Базы для обзвона мошенники берут из утечек. ФинЦЕРТ указывает на четкую корреляцию! В октябре 2021 года случился пик утечек данных, а спустя пару месяцев – выросло число фишинговых атак (см. заглавную картинку).

    Хотя ФинЦЕРТ отчитывается, что велел операторам связи заблокировать 26 397 мошеннических номеров, понятно, что это капля в море.

  2. Фишинговые сайты на актуальную тему. Мошенники активно эксплуатируют «горячие» инфоповоды и плодят фейковые домены – это видно на теме COVID-19, социальных выплат, роста популярности сервисов доставки (мы наглядно демонстрировали эту тенденцию в нашем собственном отчете о типах мошенничеств с доменами и самых актуальных информационных поводах, которые использовали злоумышленники).

    Эти сайты заражают вредоносным ПО или крадут деньги и данные через формы регистрации.

    Фишинговые домены долго не живут, по данным ЦБ от обнаружения до блокировки проходит от 3 часов до 3 дней. Но этого оказывается достаточно, чтобы успеть провернуть задуманное. Кроме того, мошенники действуют оперативно: штампуют сайты, как горячие пирожки, продвигают в поисковой выдаче, и в итоге только за время локдауна их аудитория суммарно составляла 100 тыс. пользователей в сутки.

  3. Доски объявлений. ЦБ заметил, что на «Юле» и «Авито» не все ладно – общее количество псевдосделок не посчитали, зато выяснили, что в 83% случаев мошенники стараются выманить жертву за пределы площадки (в СМС, мессенджеры) для обсуждения покупки/продажи товара. И уже здесь выманивают деньги.

В результате только за 2021 год ФинЦЕРТ насчитал 576 566 операций по счетам без согласия клиента на общую сумму в 6426,5 млн руб. 69% из этого числа пришлось на «разводы»: когда люди сами сообщали мошенникам платежные данные или переводили им средства.

Про сертификаты:  6 побуждающих методов, которые помогут продать клиентам подарочные карты во время праздников — Poster

Как атаковали клиентов. юрлица

Популярностью пользуется следующая схема атак на юрлица. Чтобы добраться до счетов компании, злоумышленники используют удаленный доступ – модифицированное ПО типа «невидимый TeamViewer». Оно получило название RTM (сокращение от Remote Transaction Manager, обнаруженного в коде ВПО), за ним и группировка, активнее всех практикующая способ.

Вариантов несколько:

  1. Внедрение ПО для удаленного администрирования с дополнительной библиотекой, которая скрывает программу в трее. Иногда использовались программы, ранее установленные самими пользователями. Через них хакеры получают возможность напрямую осуществлять переводы со счета организации, пользуясь доступом к платежному клиенту под видом легитимного пользователя. Учитывая распространение легальных версий такого ПО в период удаленки, под угрозой любая организация.

  2. Встраивание специального модуля в процесс веб-браузера. Через «закладку» (например, плагин к браузеру) хакеры могут подменить платежные поручения, пока пользователь пытается провести платеж от имени организации в веб-версии банковского клиента.

  3. Копирование сертификатов доступа в систему дистанционного банковского обслуживания, если они хранились на обычном носителе вместо защищенного токена. Затем остается только получить пароли к ДБО с помощью кейлоггера или WebBrowserPassView – и у злоумышленников полный доступ к счетам компании. Атака самая бронебойная, поскольку позволяет в дальнейшем проводить операции в неконтролируемом пространстве – с других машин и IP-адресов. Но сложная в реализации, а потому менее распространенная.

RTM распространяли в основном по почте.

Как быть?

ЦБ отчитывается, что ведет информкампанию по борьбе с мошенниками. Внутри кредитно-финансовой сферы это, кстати, неплохо работает, ФинЦЕРТ регулярно оповещает банки о новых угрозах и собирает отчеты по инцидентам ИБ – результат налицо. Вне ее все ограничивается агитками в СМИ и плакатами в бюджетных учреждениях.

Вряд ли это очень эффективно. К примеру, как-то так получилось, что лишь из отчета я узнал об их информационном ресурсе для финансового ликбеза “Финансовая культура”. Оказывается, на нем есть неплохой раздел про мошенников. А теперь риторический вопрос: как много людей знает об этом ресурсе?

При этом ЦБ признает: при атаке мошенников поможет только бдительность. А если она подвела – помощи жертве ждать неоткуда. В подавляющем большинстве случаев банки не возвращают деньги – ведь если жертва назвала мошенникам CVV или код из СМС, то нарушила условия договора.

Решить проблему, похоже, и правда может только массовый ИБ-ликбез. ЦБ пока обучает профессионалов – недавно прошел курс по кибербезопасности для правоохранителей, разбирали, как расследовать и предотвращать киберпреступления. Дальше в планах обучение для ИБ-специалистов банков и других компаний.

Мы заходим с другого конца: рассказываем сотрудникам госорганизаций и бизнеса, откуда ждать подвоха, чему не верить и как спасать деньги и данные, в случае чего. Остается со сдержанным оптимизмом надеяться, что повторение – мать учения, и если у пользователей не разовьется «слепота невнимания» на предупреждения о мошенниках, то выработается привычка им не доверять.

Финцерт и банки: обмен стал проще

Федеральный закон от 27 июня 2021 года № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств», Федеральный закон от 26 июля 2021 года №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и новая редакция Положения Банка России № 382-П от 9 июня 2021 года стали важными вехами развития нормативно-правовой базы информационной безопасности финансовой сферы.

Про сертификаты:  Часто задаваемые вопросы | Техподдерка Маркировка Товаров РФ

УСТРАНЕНИЕ ПРОБЕЛОВ

Три года назад серьёзный всплеск хищений денежных средств со счетов физических и юридических лиц выявил ряд пробелов в сфере безопасности электронных платежей. Оказалось, что у банков нет ни четкого понимания, с чем и с кем им нужно бороться, ни юридического инструментария для такой борьбы. Сотрудники некоторых банков договаривались между собой об обмене данными об участниках схем хищений денежных средств («дропперах»), однако формально это было вне правового поля. Более того – участникам такого обмена могли угрожать санкции за разглашение конфиденциальной информации. Но даже если банки шли на такой риск и благодаря полученной от коллег информации обнаруживали сомнительные транзакции – правовые основы определения, приостановки и возврата таких платежей также отсутствовали.

Эту проблему решило принятие трех взаимодополняющих правовых документов, которые не только создали нормативную основу для легализации обмена данными об инцидентах в электронных платёжных системах, но и установили прямую обязанность кредитных организаций предоставлять такие данные в Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере ЦБ РФ (ФинЦЕРТ). Налаженный информационный обмен с ФинЦЕРТ, в свою очередь, создает основу для упрощения выполнения банками требований закона о безопасности критической информационной инфраструктуры (КИИ) РФ, который обязывает банки как субъекты КИИ предоставлять информацию об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

Сейчас Банк России и ФСБ России разрабатывают нормативные документы, которые позволят ФинЦЕРТ выполнять функции ведомственного («отраслевого») центра ГОССОПКА в финансовой сфере, а участникам отрасли – избежать двойной отчётности в вопросах безопасности КИИ.

ЧТО ИМЕННО ИЗМЕНИЛОСЬ?

Первое и главное – поправки в закон «О национальной платежной системе», введенные 167-ФЗ, обязывают банки, платежные системы и операторов услуг платежной инфраструктуры информировать ЦБ обо всех случаях или попытках совершения несанкционированных переводов. Также новый закон легализует и формализует обмен сведениями об операциях, о счетах и вкладах, в отношении которых были зафиксированы случаи и (или) попытки осуществления переводов денежных средств без согласия клиента (в том числе с точки зрения нераспространения на него режима банковской тайны). Указанные данные кредитные организации должны предоставлять в Банк России, который, в свою очередь, будет проводить экспертизу полученных данных и в зависимости от ее результатов доводить информацию об угрозе до участников информационного обмена.

Второй блок нововведений касается предоставления в ЦБ технических данных, описывающих характеристики компьютерных атак, в формате, удобном для ГОССОПКА.

После принятия нового закона, в его развитие, Банком России будут изданы подзаконные нормативные акты, модернизирован стандарт обмена информацией с ФинЦЕРТом. Это откроет возможность работы в расширенном, более эффективном формате.

В 382-П ранее была уже установлена обязанность для ОПДС, ОПС, ОУПИ по выполнению требований к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагирования на них. Новая редакция Положения обязывает их также сообщать регулятору о намерении раскрыть информацию об инцидентах на своих официальных сайтах, в пресс-релизах или на пресс-конференциях как минимум за один рабочий день.

АСОИ

Чтобы упростить для банков процесс формирования и предоставления увеличившегося объема отчетности, ФинЦЕРТ запустил автоматизированную систему обработки инцидентов (АСОИ), в рамках которой будет создана общая база данных о данных счетов «дропперов» «Фид-Антифрод». В будущем пользоваться ею смогут остальные финансовые организации, для которых предоставление такой информации также будет становиться обязательным.

К АСОИ уже подключены все кредитные и многие некредитные организации (НКО, РНКО), имеющие лицензию, а также ряд иных организаций, являвшихся ранее участниками обмена информацией с ФинЦЕРТ.

Про сертификаты:  Договор купли-продажи квартиры: как оформить ДКП и для чего он нужен

Изменения в законодательстве, а также замена слабо защищенного канала взаимодействия (электронной почты) на сервис личных кабинетов АСОИ ФинЦЕРТ, обладающий персонифицированным доступом и криптографической защитой канала связи, уже привели к существенному увеличению (более чем в два раза) потока сообщений о событиях и инцидентах, получаемому ФинЦЕРТ.

Из чего состоит АСОИ? АСОИ ФинЦЕРТ 1-ой очереди состоит из информационного портала, сервиса личных кабинетов, специализированных технологических подсистем и защищенной инфраструктуры, что позволяет реализовать процессы:

–      получения данных от Участника (информации об инцидентах в организации и её клиентах, выявленных уязвимостях, угрозах, данных о раскрытии информации, запросах);

–      передачи информации участнику и его оперативному информированию об актуальных угрозах ИБ в КФС (в том числе путем направления соответствующих бюллетеней);

–      оперативного взаимодействия между участником и ФинЦЕРТ по соответствующим инцидентам и запросам;

–      мониторинга атак на организации КФС;

–      поддержки взаимодействия ФинЦЕРТ с регистраторами и хостерами по инициации разделегирования/блокировки мошеннических и вредоносных ресурсов.

АСОИ ФинЦЕРТ поддерживает получение информации как в унаследованном формате (файлы формата xlsx (формыINT, EXT и PUB) для передачи данных участников информационного обмена, содержащие информацию об инцидентах[1]), так и в современном формате (файлы формата json).

Прием информации от УИО в АСОИ ФинЦЕРТ может быть осуществлен следующими путями:

–        заполнения интерактивных форм в личном кабинете;

–        передачи информации в виде json-файлов, оформленных в соответствии с проектом стандарта «Технология подготовки, направления и формы электронных сообщений для информационного обмена с Банком России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации»[2] в личном кабинете (автоматизированный пакетный режим) или по e-mail (резервный канал);

–        передачи информации в xlsx-файлах, соответствующих формам INT, EXT и PUB[3] в личном кабинете (автоматизированный пакетный режим) или по e-mail (резервный канал).

В целях выполнения норм Федерального закона от 27.06.2021 № 167-ФЗ (в части создания базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента и обеспечения возможности получения кредитными организациями данных из этой базы), на инфраструктурно-технологической платформе АСОИ ФинЦЕРТ Банком России создается АС «Фид-АнтиФрод». Прототип данной системы введен в эксплуатацию 27.09.2021 и реализует ряд базовых функций, обеспечивающих получение необходимой информации, взаимодействие с участниками информационного обмена по получению необходимой информации и формирование базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

[1] Порядок заполнения информации об инцидентах приведен во Временном регламенте передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (http://my-sertif.ru/StaticHtml/File/14408/inforegl_23.pdf ) Формы INT, EXT и PUB опубликованы на сайте Банка России в разделе ФинЦЕРТ https://my-sertif.ru/fincert/, данные формы являются унаследованными и после перехода на стандарт «Технология подготовки, направления и формы электронных сообщений для информационного обмена с Банком России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации» они будут отменены.

[2] По состоянию на октябрь 2021 проект стандарта завершает процедуру его оформления.

[3] Порядок заполнения информации об инцидентах приведен во Временном регламенте передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (http://my-sertif.ru/StaticHtml/File/14408/inforegl_23.pdf). Формы INT, EXT и PUB опубликованы на сайте Банка России в разделе ФинЦЕРТ (https://my-sertif.ru/fincert/), данные формы являются унаследованными и после перехода на стандарт «Технология подготовки, направления и формы электронных сообщений для информационного обмена с Банком России о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации» они будут отменены.

Оцените статью
Мой сертификат
Добавить комментарий