Хакеры рассылали в банки вредоносные письма от имени ЦБ
Письма содержали в себе предупреждение об атаке на банкВо вторник десятки российских банков подверглись целевой атаке: на электронные адреса их сотрудников рассылались вредоносные письма, сообщает «Лаборатория Касперского».
По ее данным, особенностью этой атаки стало то, что киберпреступники впервые выдавали себя за FinCert. Он был создан при ЦБ летом прошлого года и регулярно делает рассылки, предупреждая банки об инцидентах в сфере информационной безопасности.
Атака началась 15 марта примерно в полдень по московскому времени, следует из данных «Лаборатории Касперского», злоумышленники рассылали письма не наугад, а использовали специальную базу, возможно, составленную из материалов отраслевых конференций или банковских служебных документов. Рассылка была адресной: каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю.
Письма содержали в себе предупреждение о возможной атаке на банк. В имени файла-вложения «Возможная компрометация АРМ КБР. doc» цифровой код совпадает с используемой настоящим FinCert номенклатурой уведомлений об атаках, пишет главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев в своем блоге. По его словам, это свидетельствует о том, что атакующие хорошо знакомы с информационными рассылками FinCert, которые относительно закрыты и недоступны широкой публике.
Банки достаточно быстро среагировали на инцидент и предупредили друг друга, однако совершенно точно часть сотрудников, отвечающих за информационную безопасность, открыли эти письма и, вероятнее всего, злоумышленники смогли попасть в системы банков, говорит гендиректор Digital Security Илья Медведовский. Понесли ли банки финансовые потери от этой атаки, будет понятно позднее, объясняет он, поскольку злоумышленникам нужно время, чтобы закрепиться в системе и вывести средства.
"Рассылка была купирована. Сама рассылка была подделкой под рассылку FinCert и имела явные признаки, по которым это можно обнаружить. Информации об ущербе не поступало. FinCert продолжит свои рассылки, снабжая их электронной подписью. Вместе с тем в тех банках, где вложенный вредоносный файл был запущен, целесообразно задуматься о профессиональной компетенции специалистов информационной безопасности», – сообщили в пресс-службе ЦБ.