Где купить троян, и прочие секреты киберпреступников

30 октября в России прошла крупнейшая конференция для риск-менеджеров Russia Risk Conference 2019, организаторами которой стали компании Conglomerat и PRMIA (Professional Risk Managers' International Association). В рамках конференции особое внимание было уделено группе киберрисков, раньше рассматриваемой в рамках операционных рисков. Значимость ее растет, убытки от киберрисков увеличиваются.
Антон Фишман, руководитель департамента системных решений Group-IB, осветил глобальные тренды киберпреступности для финансового сектора.

Так, по словам спикера, финансисты чаще других сфер подвергаются хакерским атакам и противостоят им не очень хорошо: 74% банков оказались не готовы к кибератакам, 29% были обнаружены активные заражения вредоносными программами, в 52% случаев выявлены следы совершения атак в прошлом.

Основные современные угрозы киберпространства следующие:

1. Киберпреступность. Монетизация и деньги – основной мотив киберпреступников. 98% всех преступлений совершается с целью заработать деньги (кражи, шантаж, вымогательство, мошенничество и т. д.), только 1% – преступления с целью кражи информации, еще 1% – кибертерроризм.

Распространенные схемы хищений здесь следующие: через СМС-банкинг, переводы с карты на карту, переводы через интернет-банкинг, перехват доступа к мобильному банкингу, поддельный мобильный банкинг, покупки с помощью Apple Pay. Причем наблюдается тотальная автоматизация хищения, буквально в один клик.

2. Android-трояны – основная угроза для клиентов банков. Большинство новых банковских Android-троянов созданы русскоговорящими разработчиками, в основе этого сильная математическая школа.

Даркнет – место, где можно купить и продать все что угодно, в том числе трояны, с подробным описанием, что и как они могут делать.

3. JS-снифферы – новая, глобальная угроза этого года. Атакуют сайты, интернет-магазины, e-commerce – любые площадки, где пользователи вводят свои данные. Специфика угрозы такова, что тысячи магазинов могут заражаться массово, всего через одну найденную уязвимость. Например, сейчас 67% интернет-магазинов на Magneto – преступник может один раз научиться и потом атаковать любые из них. По данным спикера, снифферами заражено минимум 2400 сайтов с суммарным суточным количеством посетителей 1,5 млн человек. Большинство из них в домене .сom. В российском домене угроза пока не сильно развита.

4. Фишинг – самая массовая угроза, о которой все знают, но все равно заражаются. Человеческий фактор, психологические трюки – всё разыгрывается как по нотам. В финансовой системе именно пользователи слабое звено, поэтому их чаще всего атакуют.

Жертв фишинга в 3 раза больше, чем жертв банковских троянов, 10-15% посетителей фишинговых сайтов вводят на них свои данные.

В 2018 году было получено 1,9 млн уникальных фишинговых ссылок, что на 85% почти в 2 раза больше, чем в 2017 году. 26% всего фишинга приходится на финансовый сектор. Причем Россия входит в ТОП-10 стран по финансовому фишингу – на 4 месте. Финансовый фишинг более всего развит в США – 48,5%.

5. Целевые атаки на сайты, компании. Причем они могут наносить ущерб целым брендам за счет дезинформации. Кибератака может длиться от нескольких минут до нескольких лет.

Для защиты от кибератак эксперты советуют проактивное выявление угроз, выявление фрода и аутентификацию пользователей и прочие опережающие разработки.