Кража денег со счетов предприятия – как не попасться на удочку мошенников

Номер: 124

2020 год заставил нас выучить такие новые слова, как «фишинг», «вишинг» и даже «скимер» (не путать со «скримером»). Следуя принципу «Предупреждён – значит вооружён», мы обратились к начальнику управления информационной безопасности Белгазпромбанка Александру Латушко, который в доступной форме (от предпосылок к мерам защиты), в виде лаконичных постулатов рассказал о том, как избежать кражи денег со счетов предприятия.

Предпосылки

Все компании (от ИП до корпораций) пользуются услугами управления счетами предприятия через системы банковского обеспечения (СДБО).

Доступ к СДБО осуществляется через Интернет.

Интернет повсеместен.

Счета юридических лиц привлекательнее для мошенников. На них аккумулируются значительные средства, превосходящие остатки на счетах физических лиц.

Для справки:

  • Количество интернет-пользователей в мире выросло до 4,54 миллиарда, что на 7% больше прошлогоднего значения (+ 298 миллионов новых пользователей в сравнении с данными на январь 2019 года).
  • В январе 2020 года в мире насчитывалось 3,80 миллиарда пользователей социальных сетей, аудитория соцмедиа выросла на 9% по сравнению с 2019 годом (это 321 миллион новых пользователей за год).
  • Сегодня более 5,19 миллиарда человек пользуются мобильными телефонами — прирост на 124 миллиона (2,4%) за последний год.

Clipboard 1.jpg

 Цифровые технологии во всем мире в 2020 году

 

Уязвимости

Сайты, программы, люди – уязвимы для кибератак.

Разные компании тратят различные бюджеты на киберзащиту.

Люди имеют «врожденные» уязвимости, обусловленные доверием или жаждой наживы.

Clipboard 2.jpg

Clipboard 3.jpg


Средства

Огромное количество информации доступно большому количеству людей. Инструментарий для кибератак на порядок дешевле дохода от успешных кибератак. Количество исполнителей растет. Соответственно, стоимость кибератак падает. Ввиду огромного числа потенциальных жертв – сложность может быть выбрана атакующим. 

Расценки пользовательских данных на рынке киберпреступников:

Clipboard 6.jpg

 

Результат

В настоящее время четко видно расслоение компаний по степени построения систем защиты. С одной стороны - это телекоммуникационные компании, банки, разветвленные/распределенные корпорации, для которых ИТ – это ключевая составляющая бизнеса. С другой стороны предприятия, реализующие защитные меры из-за регуляторных требований или по остаточному принципу. Для них ИТ – не критичен, но вспомогателен.

Кибермошенники, следуя по принципу наименьшего сопротивления, атакуют часто как раз вторых, получая выгоду за счет количества «взломов».

В общем случае последовательность пути такова:

1. Кибергруппировка заказывает программу/шпион (RAT — аббревиатура англ. Remote Access Trojan, в переводе — «Троян удаленного доступа» или «средство удалённого управления»), которая некоторое время не обнаруживается антивирусным программным обеспечением, и предназначена для предоставления удаленного доступа к компьютеру, на котором установлена.

2. Разработчик осуществляет разработку RAT в соответствии с заданием (разработчик может быть вполне легален).

3. RAT передается «фишерам». Фишеры осуществляют доставку данного ПО на ПК жертвы. Варианты доставки: с помощью электронного письма (на рисунке ниже), с помощью направления жертвы на поддельный сайт.

Clipboard 4.jpg 

Clipboard 5.jpg

4. Жертва, при недостаточном уровне защищенности (при низком уровне средств защиты жертвы стоимость RAT может не превышать нескольких десятков у.е. и существенно дорожать, если у жертвы используются хотя бы простые антивирусы) и низком уровне обучения в области информационной безопасности (необходима сложная подготовка письма, чтобы его открыл и выполнил обученный работник жертвы) осуществляет запуск RAT на своем ПК.

5. Кибергруппировка получает под свой контроль компьютер жертвы и изучает ИТ-инфраструктуру компании, постепенно продвигаясь к ПК (повторяя шаг 3-4 уже от имени коллеги), с которого есть доступ к СДБО.

6. На компьютере с СДБО мошенник ожидает и записывает действия работника жертвы, понимая, как тот совершает платежи. Так же записываются все пароли.

7. При наступлении нужного момента мошенник блокирует работу пользователя жертвы (показывается какая-нибудь картинка на весь экран – «Идет обновление системы. Не выключайте ПК») и в это время совершаются переводы в СДБО. При этом мошенник использует подсмотренные пароли, в платежах указываются назначения, ранее использованные работником, а суммы также в рамках обычных. Единственное отличие – счет получателя (может быть счетом расчетной банковской карты сообщника\подставного лица).

8. Банк видит поручения от жертвы, проверяет их подлинность, но т.к. использованы правильные пароли и ключи – обязан выполнить поступившее поручение.

9. Кибергруппировка осуществляет дальнейшие переводы и обналичивание поступивших средств.

P.S. Используя аналогичный путь, кибергруппировки могут использовать другие инструменты\вредоносное ПО и зарабатывать, требуя выкуп: за возвращение украденной информации или за возвращение паролей, которые были сменены, или за расшифровку компьютеров.


Меры защиты

НЕОБХОДИМО: использовать сбалансированную, отвечающую имеющимся рискам систему киберзащиты: антивирус, персональный межсетевой экран, обновлять программы и операционную систему, резервировать критичную информацию и т.д.. Нельзя полагаться только на системы защиты третьей стороны, провайдера или банка.

НЕОБХОДИМО: обучать работников предприятия правильному использованию критичных ресурсов (Интернет, почта, сменные носители).

НЕОБХОДИМО: обучать работников правильным действиям в кризисных ситуациях («выдерни электронный ключ, если ПК ведет себя неправильно», «отключи сетевой провод, если курсор двигается сам», «позвони в банк, если видишь черновик платежа, который не делал»).