«Информационное агентство»

    Внутренний враг: инсайдеры – слабое звено банка - «Финансы»


    Внутренний враг: инсайдеры – слабое звено банка - «Финансы» исследования «СёрчИнформ», с начала 2017 года каждая четвертая кредитно-финансовая организация в России столкнулась с утечкой данных. Причем в 61% случаев конфиденциальную информацию пытались украсть рядовые сотрудники.

    Угроза смешанного типа


    Внешняя атака, особенно сложная, чаще всего невозможна без участия внутреннего сообщника с легальным доступом к корпоративной инфраструктуре. Чаще всего сотрудники помогают преступникам из меркантильных соображений. Однако пара «хакер – инсайдер» отнюдь не всегда образуется на добровольных началах. Злоумышленники прибегают к методам социальной инженерии, чтобы превратить сотрудника в невольного соучастника преступной схемы. Чаще всего используется фишинг: преступники обманом убеждают жертву перейти по ссылке или открыть вложение к письму, тем самым запустив вредоносное ПО. Кроме того, используется «подмена личности» – преступник действует якобы от имени партнера или известного жертве игрока. 


    Старый новый фишинг


    Два года назад в России стала набирать силу тенденция, в рамках которой киберпреступники атакуют сами банки, а не клиентов. Распространенный вариант атаки – письма с трояном. Пользователь открывает письмо и запускает зараженное вложение, злоумышленник проникает в сеть, получает доступ к корсчету и отправляет платежное поручение.


    Фишинг для взлома банковских систем использовала хакерская группировка Anunak, атаковавшая более 50 банков и пять платежных систем в России и странах бывшего СССР. За неполные два года преступники похитили около миллиарда рублей.


    Сбербанк разослал «учебное» фишинговое письмо от имени Германа Грефа, которое открыли 80% сотрудников

    Не так давно Сбербанк разослал «учебное» фишинговое письмо от имени Германа Грефа, которое открыли 80% сотрудников. Фокус на фишинге не случаен. Эта техника социального взлома давно известна и хорошо изучена, но все еще востребована у злоумышленников.


    Эксперты Google и Калифорнийского университета в Беркли представили итоги исследования, согласно которым фишинг возглавляет тройку наибольших угроз для пользователей. Авторы исследования изучили массив данных, включая учетные записи и пароли, украденные с помощью кейлоггеров, полученные методами фишинга и скомпрометированные в результате утечек. Исследователи пришли к выводу, что вероятность удачного взлома учетной записи жертвы фишинга в 400 раз выше, чем учетной записи случайного пользователя Google.


    Опасность фишинга еще и в том, что метод постоянно трансформируется. Команда PhishMe обратила внимание на новую технику атак – селфи с документами. Нестандартная фишинговая кампания была нацелена на пользователей PayPal. Архитекторы атаки вели жертв на поддельный сайт платежной системы и предлагали «верифицировать аккаунт»: предоставить адрес, реквизиты банковской карты и фотографии с удостоверением личности в руках.


    Жертвами и объектами манипуляций сотрудники становятся вне зависимости от уровня компьютерной грамотности или позиции в банке

    Жертвами социальной инженерии и объектами преступных манипуляций сотрудники становятся вне зависимости от уровня компьютерной грамотности или позиции в банке. Еще семь лет назад ИБ-специалист проанализировал базу спам-фильтра своей компании и обнаружил, что «письма счастья» охотно рассылали сотрудники различного ранга. Среди отправителей значились главный специалист отдела учета внутрибанковских операций, финансовый аналитик и замдиректора по экономике и финансам, а среди компаний – ВТБ 24, «Открытие», «ЛУКОЙЛ» и «Газпром». Безобидные, на первый взгляд, «письма счастья» несут скрытую угрозу. С их помощью социальные инженеры прощупывают почву: ищут потенциально ненадежных и легко поддающихся влиянию сотрудников.


    Открытая вербовка


    Если повлиять на сотрудника нелегко, в ход идут другие методы, с помощью которых мошенники превращают сотрудников банков в сообщников. Например, открытая вербовка. По словам заместителя начальника Главного управления безопасности и защиты информации Банка России Артема Сычева, преступников прежде всего интересуют банковские специалисты, которые в силу должностных полномочий влияют на принятие решений, в том числе и в сфере информационной безопасности.


    Согласно отчету о монетизации инсайдерской деятельности в «темном» Интернете, начиная с 2015 года в течение 12 месяцев объем переписки профессиональных мошенников с инсайдерами в «темной» Паутине удвоился. Пик пришелся на конец 2016 года. На досках объявлений ищут кассиров с доступом к данным банковских карт, сотрудников, готовых открыть доступ в IT-систему, или просят назвать имена коллег, которых можно шантажировать. На форумах активно обсуждают инсайдерскую торговлю.


    Профессиональный мошенник объясняет сотруднику алгоритм действий и обещает семизначную сумму

    В примерах переписок, приведенных в исследовании, профессиональный мошенник объясняет сотруднику алгоритм действий и обещает семизначную сумму за обеспечение долгосрочного доступа к компьютерам, через которые осуществляется управление учетными записями и обрабатываются банковские переводы.


    Легкость, с которой обычные пользователи попадают в «темный» Интернет, означает, что масштабы вербовки будут увеличиваться. Эксперты предупреждают о взрывном росте инсайдерских угроз в ближайшем будущем.


    Шантаж


    Вербовка сотрудников нередко сопровождается шантажом. Нацеленные на взлом банков мошенники в отличие от классических шантажистов требуют не денежный выкуп, а данные рабочей учетной записи или связку «логин – пароль» от корпоративного почтового ящика.


    Компромат мошенники ищут в ранее украденных базах данных и социальных сетях. В Интернете доступны десятки бесплатных парсеров для сбора информации из соцсети «ВКонтакте», включая непубличную личную информацию, лайки, комментарии, членство в закрытых группах, участие в голосованиях, аккаунты в других социальных сетях. Платные версии позволяют узнать еще больше, а стоят от нескольких сотен до нескольких тысяч рублей.


    Более изощренный способ заключается в том, чтобы «имплантировать» в ПК жертвы программу-шпион для сбора информации. Первый троян, использующий методы социальной инженерии для сбора компрометирующих сведений, обнаружили исследователи из Diskin Advanced Technologies в середине 2016 года. Вредоносное ПО распространялось через игровые площадки и сайты «для взрослых». Оказавшись на компьютере жертвы, троян в том числе включал веб-камеру, чтобы записывать видео без ведома пользователя.


    Страховка от инсайдеров


    Технические средства помогут взять под контроль каналы коммуникации: корпоративную почту, мессенджеры, съемные устройства хранения. Например, на возможную проблему укажет взрывной рост количества сообщений между двумя пользователями, не связанными рабочими отношениями. Сигналом тревоги для службы безопасности станут и попытки сотрудников получить доступ к конфиденциальной информации в обход правил, и регулярное присутствие на рабочем месте в нерабочие часы без веских причин.


    Сотрудники с финансовыми проблемами, алкогольной, наркотической или игровой зависимостью, нелояльным отношением к начальству легче поддаются манипуляциям

    Чтобы застраховаться от последствий социальной инженерии, ИБ-специалисты самостоятельно формируют так называемые группы риска. Сотрудники с финансовыми проблемами, алкогольной, наркотической или игровой зависимостью, нелояльным отношением к начальству легче поддаются манипуляциям, потому их действия требуют более тщательного контроля.


    В группу риска выделяют и сотрудников, посещающих специализированные ресурсы, например с инструкциями по обходу блокировок или руководством по использованию Tor. Маркерами подозрительного поведения служат поисковые запросы типа «как открыть удаленный доступ к ПК» или «как определить факт контроля».


    Помогают предвосхищать инциденты нетехнические средства, в первую очередь – обучение персонала правилам ИБ. Например, после экспериментальной фишинговой рассылки Сбербанк создал обучающую игру для сотрудников. И в течение года количество реагирующих на подобные сообщения снизилось до нескольких процентов.


    Все отчетливее видно, что самое слабое звено – человек

    В финансовой сфере подход к безопасности давно сформировался: банки не жалеют денег на защиту, используют передовые разработки с элементами искусственного интеллекта и машинного обучения, внимательно относятся к актуальным угрозам. Технологии совершенствуются, и обмануть машину становится все сложнее. На этом фоне все отчетливее видно, что самое слабое звено – человек.


    Проблема в том, что только 18% компаний (результаты опроса Gartner) реализуют стратегию защиты от внутренних угроз и обнаружения инсайдеров, вольных или невольных. Специалисты рекомендуют воспитывать культуру поведения пользователей, обучать сотрудников правилам информационной безопасности и настаивать на последовательном исполнении корпоративной политики.


    Во время обучения и тестирования системы на сопротивляемость «социальному взлому» важно учитывать одну важную деталь. «Просвещая» пользователей о методах работы хакеров, следует избегать разглашения внутренних ИБ-практик. Чем меньше сотрудник знает о способах защиты, тем защита эффективнее. Пользователю просто нечего будет сообщить злоумышленнику как добровольно, так и под давлением.







Лента Новостей
Смотреть все   «Все Новости Банков»

Курс валют ЦБ РФ31.08.2015
USD Курс Доллара00.00000.000
EURКурс Евро00.00000.000
GBPКурс Фунта00.00000.000
BYRКурс белорусского рубля00.00000.000
UAHКурс гривны00.00000.000
BrentНефть00.00000.000
Конвертер валют
Центрального банка РФ
RUBКурс валют
USDКурс валют
EURКурс валют
GBPКурс валют
BYRКурс валют
UAHКурс валют

Фото новости

Новости Банков Сегодня
«Московский Индустриальный Банк»  «Мособлбанк»  «Банк Санкт-Петербург»  «Промсвязьбанк»  «Новикомбанк»  «СМП Банк»  «Внешпромбанк»  «Банк Югра»  «Банк ГЛОБЭКС»  «Совкомбанк»  «ТРАСТ»  «Газпромбанк»  «Московский кредитный банк»  «Абсолют Банк»  «Банк Возрождение»  АО «Кредит Европа Банк»  «Татфондбанк»  «Российский Капитал»  «Национальный Клиринговый Центр»  «ФК Открытие»  «Запсибкомбанк»  «РосЕвроБанк»  «Пресс-служба ВТБ24»  «Автоградбанк»  «Промрегионбанк» 


Внутренний враг: инсайдеры – слабое звено банка - «Финансы»


Внутренний враг: инсайдеры – слабое звено банка - «Финансы» исследования «СёрчИнформ», с начала 2017 года каждая четвертая кредитно-финансовая организация в России столкнулась с утечкой данных. Причем в 61% случаев конфиденциальную информацию пытались украсть рядовые сотрудники.

Угроза смешанного типа


Внешняя атака, особенно сложная, чаще всего невозможна без участия внутреннего сообщника с легальным доступом к корпоративной инфраструктуре. Чаще всего сотрудники помогают преступникам из меркантильных соображений. Однако пара «хакер – инсайдер» отнюдь не всегда образуется на добровольных началах. Злоумышленники прибегают к методам социальной инженерии, чтобы превратить сотрудника в невольного соучастника преступной схемы. Чаще всего используется фишинг: преступники обманом убеждают жертву перейти по ссылке или открыть вложение к письму, тем самым запустив вредоносное ПО. Кроме того, используется «подмена личности» – преступник действует якобы от имени партнера или известного жертве игрока. 


Старый новый фишинг


Два года назад в России стала набирать силу тенденция, в рамках которой киберпреступники атакуют сами банки, а не клиентов. Распространенный вариант атаки – письма с трояном. Пользователь открывает письмо и запускает зараженное вложение, злоумышленник проникает в сеть, получает доступ к корсчету и отправляет платежное поручение.


Фишинг для взлома банковских систем использовала хакерская группировка Anunak, атаковавшая более 50 банков и пять платежных систем в России и странах бывшего СССР. За неполные два года преступники похитили около миллиарда рублей.


Сбербанк разослал «учебное» фишинговое письмо от имени Германа Грефа, которое открыли 80% сотрудников

Не так давно Сбербанк разослал «учебное» фишинговое письмо от имени Германа Грефа, которое открыли 80% сотрудников. Фокус на фишинге не случаен. Эта техника социального взлома давно известна и хорошо изучена, но все еще востребована у злоумышленников.


Эксперты Google и Калифорнийского университета в Беркли представили итоги исследования, согласно которым фишинг возглавляет тройку наибольших угроз для пользователей. Авторы исследования изучили массив данных, включая учетные записи и пароли, украденные с помощью кейлоггеров, полученные методами фишинга и скомпрометированные в результате утечек. Исследователи пришли к выводу, что вероятность удачного взлома учетной записи жертвы фишинга в 400 раз выше, чем учетной записи случайного пользователя Google.


Опасность фишинга еще и в том, что метод постоянно трансформируется. Команда PhishMe обратила внимание на новую технику атак – селфи с документами. Нестандартная фишинговая кампания была нацелена на пользователей PayPal. Архитекторы атаки вели жертв на поддельный сайт платежной системы и предлагали «верифицировать аккаунт»: предоставить адрес, реквизиты банковской карты и фотографии с удостоверением личности в руках.


Жертвами и объектами манипуляций сотрудники становятся вне зависимости от уровня компьютерной грамотности или позиции в банке

Жертвами социальной инженерии и объектами преступных манипуляций сотрудники становятся вне зависимости от уровня компьютерной грамотности или позиции в банке. Еще семь лет назад ИБ-специалист проанализировал базу спам-фильтра своей компании и обнаружил, что «письма счастья» охотно рассылали сотрудники различного ранга. Среди отправителей значились главный специалист отдела учета внутрибанковских операций, финансовый аналитик и замдиректора по экономике и финансам, а среди компаний – ВТБ 24, «Открытие», «ЛУКОЙЛ» и «Газпром». Безобидные, на первый взгляд, «письма счастья» несут скрытую угрозу. С их помощью социальные инженеры прощупывают почву: ищут потенциально ненадежных и легко поддающихся влиянию сотрудников.


Открытая вербовка


Если повлиять на сотрудника нелегко, в ход идут другие методы, с помощью которых мошенники превращают сотрудников банков в сообщников. Например, открытая вербовка. По словам заместителя начальника Главного управления безопасности и защиты информации Банка России Артема Сычева, преступников прежде всего интересуют банковские специалисты, которые в силу должностных полномочий влияют на принятие решений, в том числе и в сфере информационной безопасности.


Согласно отчету о монетизации инсайдерской деятельности в «темном» Интернете, начиная с 2015 года в течение 12 месяцев объем переписки профессиональных мошенников с инсайдерами в «темной» Паутине удвоился. Пик пришелся на конец 2016 года. На досках объявлений ищут кассиров с доступом к данным банковских карт, сотрудников, готовых открыть доступ в IT-систему, или просят назвать имена коллег, которых можно шантажировать. На форумах активно обсуждают инсайдерскую торговлю.


Профессиональный мошенник объясняет сотруднику алгоритм действий и обещает семизначную сумму

В примерах переписок, приведенных в исследовании, профессиональный мошенник объясняет сотруднику алгоритм действий и обещает семизначную сумму за обеспечение долгосрочного доступа к компьютерам, через которые осуществляется управление учетными записями и обрабатываются банковские переводы.


Легкость, с которой обычные пользователи попадают в «темный» Интернет, означает, что масштабы вербовки будут увеличиваться. Эксперты предупреждают о взрывном росте инсайдерских угроз в ближайшем будущем.


Шантаж


Вербовка сотрудников нередко сопровождается шантажом. Нацеленные на взлом банков мошенники в отличие от классических шантажистов требуют не денежный выкуп, а данные рабочей учетной записи или связку «логин – пароль» от корпоративного почтового ящика.


Компромат мошенники ищут в ранее украденных базах данных и социальных сетях. В Интернете доступны десятки бесплатных парсеров для сбора информации из соцсети «ВКонтакте», включая непубличную личную информацию, лайки, комментарии, членство в закрытых группах, участие в голосованиях, аккаунты в других социальных сетях. Платные версии позволяют узнать еще больше, а стоят от нескольких сотен до нескольких тысяч рублей.


Более изощренный способ заключается в том, чтобы «имплантировать» в ПК жертвы программу-шпион для сбора информации. Первый троян, использующий методы социальной инженерии для сбора компрометирующих сведений, обнаружили исследователи из Diskin Advanced Technologies в середине 2016 года. Вредоносное ПО распространялось через игровые площадки и сайты «для взрослых». Оказавшись на компьютере жертвы, троян в том числе включал веб-камеру, чтобы записывать видео без ведома пользователя.


Страховка от инсайдеров


Технические средства помогут взять под контроль каналы коммуникации: корпоративную почту, мессенджеры, съемные устройства хранения. Например, на возможную проблему укажет взрывной рост количества сообщений между двумя пользователями, не связанными рабочими отношениями. Сигналом тревоги для службы безопасности станут и попытки сотрудников получить доступ к конфиденциальной информации в обход правил, и регулярное присутствие на рабочем месте в нерабочие часы без веских причин.


Сотрудники с финансовыми проблемами, алкогольной, наркотической или игровой зависимостью, нелояльным отношением к начальству легче поддаются манипуляциям

Чтобы застраховаться от последствий социальной инженерии, ИБ-специалисты самостоятельно формируют так называемые группы риска. Сотрудники с финансовыми проблемами, алкогольной, наркотической или игровой зависимостью, нелояльным отношением к начальству легче поддаются манипуляциям, потому их действия требуют более тщательного контроля.


В группу риска выделяют и сотрудников, посещающих специализированные ресурсы, например с инструкциями по обходу блокировок или руководством по использованию Tor. Маркерами подозрительного поведения служат поисковые запросы типа «как открыть удаленный доступ к ПК» или «как определить факт контроля».


Помогают предвосхищать инциденты нетехнические средства, в первую очередь – обучение персонала правилам ИБ. Например, после экспериментальной фишинговой рассылки Сбербанк создал обучающую игру для сотрудников. И в течение года количество реагирующих на подобные сообщения снизилось до нескольких процентов.


Все отчетливее видно, что самое слабое звено – человек

В финансовой сфере подход к безопасности давно сформировался: банки не жалеют денег на защиту, используют передовые разработки с элементами искусственного интеллекта и машинного обучения, внимательно относятся к актуальным угрозам. Технологии совершенствуются, и обмануть машину становится все сложнее. На этом фоне все отчетливее видно, что самое слабое звено – человек.


Проблема в том, что только 18% компаний (результаты опроса Gartner) реализуют стратегию защиты от внутренних угроз и обнаружения инсайдеров, вольных или невольных. Специалисты рекомендуют воспитывать культуру поведения пользователей, обучать сотрудников правилам информационной безопасности и настаивать на последовательном исполнении корпоративной политики.


Во время обучения и тестирования системы на сопротивляемость «социальному взлому» важно учитывать одну важную деталь. «Просвещая» пользователей о методах работы хакеров, следует избегать разглашения внутренних ИБ-практик. Чем меньше сотрудник знает о способах защиты, тем защита эффективнее. Пользователю просто нечего будет сообщить злоумышленнику как добровольно, так и под давлением.