Хакеры внимательнее банкиров
Сотни российских банков во вторник подверглись хакерской атаке – на электронные адреса сотрудников рассылались вредоносные письма, сообщила «Лаборатория Касперского» и подтвердил ЦБ. По данным «Лаборатории Касперского», особенностью этой атаки стало то, что киберпреступники впервые выдавали себя за FinCert (см. врез).
Атака началась 15 марта примерно в полдень мск, следует из данных «Лаборатории Касперского», злоумышленники не рассылали письма наугад, а использовали специальную базу, возможно составленную из материалов отраслевых конференций или банковских служебных документов. Рассылка была адресной: каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю.
Письма содержали предупреждение о возможной атаке на банк. В имени файла-вложения «Возможная компрометация АРМ КБР.doc» цифровой код совпадает с используемой настоящим FinCert номенклатурой уведомлений об атаках, пишет главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев в своем блоге. По его словам, это свидетельствует о том, что атакующие хорошо знакомы с рассылками FinCert, которые относительно закрыты и недоступны широкой публике.
Подспорье регулятора
FinCert был создан при ЦБ летом 2015 г. и регулярно делает рассылки, предупреждая банки об инцидентах в сфере информационной безопасности. Совместными усилиями FinCert, банков и правоохранительных органов в 2016 г. удалось предотвратить хищение более 1 млрд руб.
«Этот инцидент доказывает два момента: деятельность FinCert интересна криминалу и они нас читают внимательнее, чем банки», – написал в своем аккаунте Twitter замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев.
В пресс-службе ЦБ заверили, что «рассылка была купирована», являлась подделкой и имела явные признаки, по которым это можно обнаружить. Информация об ущербе регулятору не поступала. FinCert продолжит свои рассылки, снабжая их электронной подписью, предупредил ЦБ.
В августе прошлого года ЦБ зафиксировал случаи рассылки email-сообщений от имени крупных банков, которые содержали недостоверную информацию о запуске национальной платежной системы «Мир». Атака была направлена не на банки, а на клиентов. Сообщения содержали описание возможностей системы и предложение получить карту «Мир», заполнив форму участника, находящуюся во вложении. Тогда подобные email-рассылки ЦБ расценивал как новый вид мошенничества.
Банки достаточно быстро среагировали на инцидент и предупредили друг друга, однако совершенно точно часть сотрудников, отвечающих за информационную безопасность, открыли эти письма и, вероятнее всего, злоумышленники смогли попасть в системы банков, говорит гендиректор Digital Security Илья Медведовский. Понесли ли банки финансовые потери от этой атаки, будет понятно позднее, объясняет он, поскольку злоумышленникам нужно время, чтобы закрепиться в системе и вывести средства.