Что такое финансовый вирус

Обновлено: 27.03.2024

— Можете обозначить уровень угрозы банковских мобильных вирусов для России?

В целом Россия всегда была в топе стран по доле пользователей, атакованных различными финансовыми угрозами. В наших ежеквартальных отчетах Россия редко опускалась ниже 10-й строчки и не раз попадала в топ-3. Так что финансовые угрозы для нашей страны — очень актуальная история.

приложение мобильного банка


— Правило, согласно которому русскоговорящие хакеры не работают по России, в случае с банковскими вирусами не работает?

— Я не могу ничего сказать насчет этого правила. Возможно, оно есть. И если так, то оно не мешает многим так называемым русскоговорящим разработчикам вредоносов распространять по России финансовые угрозы. Принадлежность к языковой группе мы предполагаем по коду троянцев — в нем встречаются русские слова и характерные ошибки в них.

— Почему они рискуют и не боятся попасться спецслужбам?

— Нельзя сказать, что они совсем не боятся. Но рискуют. Возможно, это связано с тем, что жертва в виде отдельно взятого человека может быть не так заметна для правоохранительных органов, как жертва в виде какой-нибудь большой компании. Именно поэтому злоумышленникам очень интересно атаковать мобильных пользователей.


Всё зависит от суммы ущерба. Если она незначительная, то уголовное дело не будут заводить. Чтобы сумма стала значительной, надо оформлять коллективный иск. Для этого надо собрать жертв. А сделать это непросто. Мобильные угрозы до сих пор активны и продолжают развиваться, потому что очень тяжело найти пострадавших и самих злоумышленников.

При этом одна группа может орудовать десять лет подряд и за это время украсть очень много денег. Сумму, возможно, сопоставимую с ущербом от атаки на большую компанию.

— Опишите механизм работы банковского вируса.

Обычно это происходит так: троянец сидит на устройстве и ждет, пока жертва запустит банковское приложение. Как только это случилось, происходит перекрытие: поверх окна банковского приложения накладывается окно вредоносной программы, в котором загружается веб-страница. Она содержит логотип банка, приложение которого, как думает жертва, она открыла, и форму ввода логина. Жертва видит это и ничего не подозревает, потому что всё очень похоже на то, что человек увидел бы, откройся интерфейс реального банковского приложения. Дальше жертва вводит учетные данные, и в этот момент они попадают к мошенникам.

мобильный телефон в руке у девушки


— И как данными распоряжаются киберпреступники?

Получив учетные данные, злоумышленники выжидают какое-то время, а потом уже с другого устройства авторизуются в банковском сервисе от лица жертвы. В ответ на попытку входа с другого устройства банк, конечно, присылает на смартфон жертвы код подтверждения по SMS или через push-уведомление. Но это не спасает, поскольку троянец всё еще сидит в устройстве жертвы, перехватывает код и пересылает мошеннику. Дальше он получает доступ к банковскому счету жертвы и переводит деньги на сумму, не превышающую лимит, установленный банком.

— Есть ли какие-нибудь иные схемы?

— Описанная выше схема требует от злоумышленников глубоко вовлечения. Приходится ждать, пока жертва совершит необходимые действия. Потом нужно поддерживать актуальность веб-страниц, которые заменяют интерфейс банковских приложений. В некоторых случаях мошенники располагают заготовками для сотни разных кредитных организаций. Всё это требует ресурсов. А им, наоборот, хочется снизить уровень своего участия в работе троянца после заражения устройства: хочется, чтобы троянец всё делал сам. И такие вирусы уже есть. Но пока их немного: только пара зловредов обладают таким функционалом.


— У них такой же принцип работы — с подлогом интерфейса?

хакер


— А как хакеры получают информацию о кнопках из банковских приложений?

— Вирус вообще всё делает за хакеров?


— Почему до сих пор таких угроз была обнаружена только, как вы сказали, парочка?

— И вы считаете, что в скором времени именно таких мобильных вирусов станет много?

— Да. Во-первых, адаптация вируса к банковским приложениям мне не кажется очень сложной. До тех пор пока банки не станут активно с ними бороться. Во-вторых, именно среди банковских троянцев на Android популярна сервисная модель распространения. По ней вирус перестает быть эксклюзивом одного хакера, а продается в даркнете всем желающим. На рынок вирус попадает либо по решению самого разработчика, либо чаще всего вследствие утечки исходного кода.

мобильный телефон в руках


Я думаю, что вирусы вроде Gustuff со временем станут очень востребованными на черном рынке. То, что от злоумышленников ничего не требуется — достаточно только заразить, — может быть очень привлекательно для мошенников. Особенно тех, которые не так сильно подкованы в техническом плане. Все киберпреступники в этом точно заинтересованы.

— Есть ли эффективный способ противодействия таким вирусам?


— Пользователи Android или iOS больше рискуют столкнуться с банковскими троянцами?

Однозначно Android. 99,9% мобильных финансовых угроз ориентированы именно на Android. Во многом потому, что Android позволяет устанавливать приложения не только из официального магазина. А именно из сторонних источников — с вредоносных сайтов — пользователи обычно и скачивают вирусы.

Есть и другие причины. Приложения для Android, как правило, пишутся на Java — это самый популярный язык программирования, который изучают даже в школах. Таким образом вирус под Android может написать почти кто угодно. А программирование под iOS долгое время велось на Objective-С. Это сложный в освоении язык, который требует от разработчика высокой компетенции.

В конце концов Android занимает большую долю мирового рынка смартфонов. То есть у Android-вирусов априори больше выборка потенциальных жертв.

Android


С их помощью мошенники могут получить доступ к личным страницам, а затем рассылать с них спам или требовать выкуп

— Сброс настроек смартфона до заводских установок поможет избавиться от вируса?

— По идее — да. Но я бы не стал надеяться, что исчезнут вообще все следы. Специфика памяти гаджетов такова, что все предыдущие файлы удаляются, только если их перезаписать. Но сброс настроек этого не делает. К слову, именно поэтому я не рекомендую продавать свои старые смартфоны. При должной сноровке из них можно вытащить интересную информацию даже после отката до заводских установок.

— Банковские троянцы — это самая актуальная мобильная угроза для массового пользователя?

Я бы еще отметил сомнительные рекламные модули, которые встраиваются в приложения. Последнее время мы замечаем, что они собирают много личной информации и отправляют ее на непонятные серверы. По идее, они могут и закачивать на устройства вредоносные файлы. В таком случае едва ли спасет даже модерация Google Play или App Store. Потому что сегодня модуль работает с правильными серверами, а завтра — с неправильными.

Омерзительная шестерка

ILOVEYOU

Первым экспонатом кунсткамеры китайского художника стал вирус с романтическим названием ILOVEYOU, также известный как LoveLetter. Вирус был разослан по электронной почте с Филиппин в ночь на 5 мая 2000 года.

123


WannaCry

Прогремевший на весь мир вирус-шифровальщик WannaCry ожидаемо вошел в коллекцию Го О Дуна. Массовая эпидемия началась 12 мая 2017 года. Вирус атаковал компьютеры под управлением Windows, шифровал все файлы пользователя и требовал выкуп в биткоинах за расшифровку. Жертвы вымогателей пополняли биткоин-кошельки в надежде вернуть свои файлы, но чаще всего впустую.

123


Менее чем за неделю были заражены до 300 тыс. компьютеров по меньшей мере в 150 странах, сообщала информационная служба McClatchy со ссылкой на американских экспертов.
Вирус блокировал работу множества организаций и предприятий: больниц, аэропортов, банков, заводов. В частности, вирус поразил серверы национальной системы здравоохранения Великобритании, чем причинил ущерб на £92 млн (около $120 млн), по данным британского министерства здравоохранения и социальной защиты. В ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. На прием к врачам оказались отменены 19 тыс. записей.

WannaCry до сих пор продолжает периодически заражать компьютеры, хотя уже и в меньших масштабах, отметили в Techcrunch. Согласно данным на сайте аукциона, общий ущерб от действия вируса приблизился к $4 млрд.

BlackEnergy 2

123


Вирус BlackEnergy 2 создали на базе довольно простого троянца BlackEnergy, который применялся злоумышленниками с 2007 года для проведения DDoS-атак. Однако новая версия была значительно модернизирована и теперь представляет собой набор инструментов для самых разных деструктивных задач. Например, программа может уничтожить жесткий диск, перезаписав всю информацию на нем случайным массивом данных.

MyDoom

По данным компании mi2g, ущерб от деятельности MyDoom на вторую половину 2 февраля 2004 года оценивался в $39 млрд. Сюда вошли задержки онлайн-платежей, потери пропускной способности сетей, восстановление работоспособности инфицированных систем и т.д.

SoBig

123

Червь SoBig распространялся через электронную почту как вирусный спам. Днем рождения вируса считается 9 января 2003 года. Чтобы заразиться, пользователь самостоятельно запускал зараженный файл. Вредоносное ПО значительно замедляло работу компьютера и пересылало себя дальше по почте. SoBig затронул сотни тысяч компьютеров и нанес ущерб мировой экономике более чем на $37 млрд.

DarkTequila


Штирлиц и хакеры

Главная опасность — собственные сотрудники, которые приходят каждый день в офис, садятся за свои компьютеры и уже имеют доступ к конфиденциальной информации. Их задача становится максимально простой — вывести эту информацию наружу и передать своим сообщникам. Учитывая современный уровень развития технологий — это и быстрые интернет-каналы, и миниатюрные флешки большого объема, мессенджеры, — задача максимально упрощается.


Теперь новый вирус, коронавирус, который, как и все предыдущие зародился в Китае, распространяется быстро, от человека к человеку. Уже два города в Китае с общим населением 18 млн человек полностью заблокированы и изолированы. Однако общий испуг и нервозность пока никак не отражается на настроениях инвесторов. Индексы в США, Европе и других странах находятся вблизи исторических максимумов.

На рынке уже давно сформировалось мнение, согласно которому, если ФРС США вкачивает ликвидность, через репо или операции количественного смягчения (QE), то тренд ясен – все будет расти как на дрожжах, надо расслабиться и получать удовольствия от мега-бычьего рынка. В общем, начиная с 2009 года так оно и было.

Новая волна роста на рынке началась в сентябре прошлого года, когда американскому ЦБ пришлось вмешаться в критическую ситуацию на межбанке. Сначала запустили репо-овернайт, потом срочное репо, а потом и покупку краткосрочных казначейских облигаций. Увеличили объемы операций перед новым 2020 годом и пролонгировали программы до середины февраля. Вроде бы все гладко и никаких проблем, при любой финансовой опасности придет ФРС и спасет банки, хедж фонды, всех инвесторов. Выхода у них другого нет.

За последние три торговых дня в США резко вырос объем операций обратного репо. Последние месяцы, по данным ФРБ Нью-Йорка, средний ежедневный объем редко превышал пару млрд долл, и вот, начиная с 17 января объемы начали резко расти: в пятницу 16 млрд, во вторник 13 млрд, в среду было 15. Конечно, пока операции репо в четыре раза больше этих цифр, средний объем в начале года составлял от 50 до 80 млрд долл. Однако сигнал уже есть, теперь нужно проследить зависимости и периодичность спроса на операции обратного репо.

В советской школе нас учили, что вечный двигатель изобрести нельзя. Однако желающих поспорить с природой всегда было очень много. Сейчас этим занимается ФРС, по сути, пытается сконструировать вечный инвестиционный двигатель. А что инвесторы? А инвесторы, как три японские обезьяны, пораженные вирусом ликвидности - ничего не видят, ничего не слышат и не хотят ничего говорить.

Денис Бурлаков, генеральный директор финтех-компании RBK.money и фаундер IT-компании Osnova

Принцип работы вымогателей, распространяющих вирусы этого типа, прост. На компьютер компании или учреждения попадает троян, который получает доступ к файлам на жестком диске и шифрует информацию, делая ее недоступной пользователю. После чего злоумышленники требуют выкуп за расшифровку данных, а иногда и за то, чтобы не слить их в публичное поле.

Компания Group-IB в конце 2020 года оценивала ущерб от вирусов-шифровальщиков во всем мире в 1 млрд долларов в год. По факту ущерб может быть еще больше, потому что пострадавшие компании, мягко говоря, не стремятся афишировать подробности своих промахов.

Разработка вирусов-шифровальщиков поставлена на поток — сейчас это целая индустрия. Вирусы становятся мультиплатформенными — недавно появились вирусы для Linux, а эта операционная система, к слову, активно используется в электронике. Еще в даркнете существует такая услуга, как покупка шифровальщика. Злоумышленники приобретают у разработчиков вредоносное ПО и после успешной атаки и последующей дешифровки делятся с ними полученными от пострадавшей компании деньгами.

В целом обеспокоенность Банка России, даже с учетом того, что в 2019—2020 годах атаки не нанесли ущерба российскому банковскому сектору, объяснима. А если учесть, что сейчас многие компании развиваются по модели финансовых групп и экосистем, пристальное внимание регулятора к теме кибербезопасности становится вполне закономерным.

Точки уязвимости

В финансовых организациях и банковских группах существует несколько потенциально проблемных мест, которые могут стать объектами атаки со стороны злоумышленников. Первая — сами компании, входящие в группу. Часто это различные онлайн- и офлайн-сервисы из других, нефинансовых отраслей. У каждой из таких компаний свои подходы к обеспечению кибербезопасности, при этом все они взаимодействуют между собой через общую информационную систему. Чем больше количество интеграций, тем выше риски — через системы компаний, входящих в группу, злоумышленники могут получить доступ к системам головной компании. Если говорить про банковские экосистемы, то к системам головного банка группы.

Вторая проблемная точка — подрядные организации, которые выполняют некие работы для банка или для одной из компаний группы. Здесь ситуация аналогичная: многие подрядчики взаимодействуют с компаниями по удаленным каналам, единые стандарты кибербезопасности на них распространить сложнее, чем на компании экосистемы, поэтому здесь тоже возникает потенциальный риск атаки.

Третья и, наверное, самая сложно контролируемая точка риска — это сотрудники центральной компании финансовой группы плюс сотрудники всех других компаний группы, а также подрядчиков. Хакеры пишут вирусы, придумывают новые лазейки, у них появляются новые технические возможности, но человеческий фактор по-прежнему остается в топе потенциальных уязвимостей. Особенно остро стоит этот вопрос сейчас, когда многие компании перевели сотрудников на полную или частичную удаленную работу. Рядовой пользователь может не соблюдать политики безопасности, использовать рабочий компьютер или смартфон для личных целей, заходить с него на неслужебные ресурсы, открывать сомнительные письма и т. д. Или, например, упомянуть в соцсетях, что работает в крупной финансовой компании, и тем самым дать повод злоумышленникам выбрать его компьютер как потенциальный канал атаки.

Как защититься

В периоды активного роста финансовой группы и появления новых компаний в ее периметре необходимо прогонять все интеграции между компаниями через специалистов по инфобезопасности, чтобы они дали свое заключение и помогли разработчикам защитить слабые места. Важно, чтобы все компании группы были одинаково защищены и соблюдали единые стандарты кибербезопасности, потому что степень защищенности всегда измеряется по самому слабому звену в цепочке. То же самое относится и к интеграциям с подрядчиками. В крупных компаниях этот момент иногда становится формальной процедурой — современный рынок диктует высокую скорость принятия решений, и информационная безопасность может отходить на второй план. Но вряд ли такой подход можно назвать правильным. Создание единой информационной системы для нескольких компаний можно сравнить с выпуском продукта: в процессе разработки появляются новые фичи, а вместе с ними могут появляться и новые уязвимости, поэтому тестирование финального продукта специалистами по информационной и кибербезопасности жизненно необходимо.

Важно строить IT-инфраструктуру по принципам риск-ориентированного подхода, просчитывать потенциальные риски атак и принимать меры по их предотвращению. И чем больше в финансовой группе становится участников обмена данными, тем тщательнее должен быть этот процесс. Плюс необходимо наращивать собственные компетенции в кибербезопасности и по возможности стремиться к тому, чтобы делать эту работу силами собственных внутренних служб. Да, это будет стоит достаточно больших ресурсов, и чем больше группа компаний, тем дороже это обойдется. Но безопасность никогда не бывает дешевой, особенно если речь идет о защите данных в финансовой организации. Важно понимать, что потенциальный ущерб от хакерских атак гораздо больше.

При всех этих рисках сегодня нельзя сказать, что банковские экосистемы испытывают глобальные проблемы с безопасностью. Напротив, у крупных компаний обычно большой штат высококлассных специалистов. Главное — вопрос кибербезопасности нужно всегда держать на первом месте.

Мнение автора может не совпадать с мнением редакции

\n \n\t\t\t \n\t\t\t \n\t\t \n\t","content":"\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

Читайте также: