Европейские банки объединятся против новых способов хакерства

Волна киберпреступности в прошлом году прокатилась не только по Украине, но и по всему земному шару: если в 2009–2011 гг. ежегодные потери мировой экономики от нее оценивались на уровне $70–80 млрд, то в 2012 г. — в $114 млрд. Главными врагами финансистов стали не мелкие мошенники, исподтишка наблюдающие за карточными расчетами физлиц в магазинах либо считывающие данные о счетах при помощи специальных накладок в банкоматах (скимминговых устройств), а хакеры. Мастерство компьютерных злодеев выросло на голову, и они с легкостью грабили банковские счета в Европе и США.

Обычно хакеры нападали двумя способами. Первый и самый распространенный — это заражение компьютеров пользователей вредоносными программами, выявить которые стало значительно сложнее, чем когда бы то ни было. Например, в декабре 2012 г. американское ФБР смогло напасть на след киберпреступников только по сигналу и при помощи службы безопасности социальной сети Facebook. Совместными усилиями им удалось вывести на чистую воду 10 хакеров, заражавших ПК вирусом Yahos: тот позволял воровать информацию о кредитных картах, банковских счетах и другие конфиденциальные данные. Но это произошло уже после того, как он нанес вред 11 млн компьютеров и причинил ущерб более чем на $850 млн.

В том же декабре произошла еще одна крупная атака компьютерных злодеев — при помощи троянской программы Zeus. Та позволила взломать систему sms-идентификации для доступа к онлайн-банкингу порядка 30 европейских финучреждений (Германии, Италии, Испании, Нидерландов и др.). "Трояна" выявили не сразу из-за витиеватой схемы, изобретенной киберпреступниками: сначала в компьютеры жертв внедрялся вирус, поддерживаемый управляющими серверами хакеров, который при попытке входа в онлайновую банковскую систему запрашивал подтверждение номера мобильного телефона.

Затем клиенту предлагалось обновить на мобилке программное обеспечение якобы для обеспечения безопасности банковских транзакций. Но вместо обновления в аппарат устанавливалось ПО для перехвата sms-сообщений процедуры двухфакторной аутентификации. В итоге после получения кода банковской транзакции (TAN) со счетов организаций и физлиц на подставные счета автоматически переводились украденные средства. Пока службы безопасности европейских финучреждений успели выявить и среагировать на Zeus, с его помощью было ограблено около 30 тыс. счетов юридических и физических лиц на общую сумму $47 млн: в зависимости от видов счетов и остатков средств с них списывалось от 500 евро до 250 тыс. евро.

Менее популярным в 2012 г. оказался второй тип хакерских нападений: проведение DDoS-атак с использованием ботов (botnet). Он сводится не столько к краже данных о счетах, сколько к блокированию работы банковских сайтов и, соответственно, систем интернет-банкинга. Чаще всего таким нападкам подвергались американские банки. В октябре прошлого года это были Wells Fargo, J.P. Morgan, Bank of America и Citigroup (их клиенты продолжительное время не могли получить доступ к своим аккаунтам на сайтах и совершить нужные платежи), а в ноябре — Ally Financial, BB&T и Capital One Financial.

Большинство хакеров в минувшем году специализировались на сайтах финучреждений и компьютерах их клиентов, параллельно разворачивали свою деятельность и киберпреступники широкого профиля. Последние взламывали сайты крупных компаний (вне зависимости от их сферы деятельности), чтобы раздобыть данные о зарплатных картах их сотрудников. Ставка делалась на предприятия с многотысячным штатом, поскольку сведения впоследствии пачками перепродавались на черном рынке: там данные об одной карте стоят не менее $3,5. После такой перепродажи зарплатный пластик начинали безбожно потрошить.

Только в США за прошлый год о кибернападениях сообщили 760 американских организаций, среди которых консультанты PriceWaterhouseCoopers, интернет-магазин Amazon, сразу семь IT-гигантов (IBM, Intel, Yahoo, Cisco, Google, Facebook и Microsoft) и производитель электроники Sony. И это несмотря на то, что именно янки достаточно активно наращивали вложения в свою информационную безопасность: если в 2006 г. они вложили в данное направление лишь $61,5 млрд, то уже в 2010 г. — $100 млрд, а в 2012 г. — $130 млрд.

Главная беда банков и компаний по всему миру — это стремительный рост "профессионализма" компьютерных злодеев. Вторая проблема — нежелание атакованных организаций делиться информацией о взломах своих сайтов и счетов клиентов. Заботясь о своем имидже, они пытаются отбиваться от хакеров самостоятельно, но смогут так себя вести недолго, по крайней мере, в Европе. Неделю назад Еврокомиссия заявила о завершении разработки новых правил борьбы с киберпреступностью в Старом Свете.

По ним все европейские финучреждения и компании, сталкивающиеся с вредительством хакеров, будут обязаны сообщать об этих атаках местным властям, а те, в свою очередь, руководству ЕС. Во всех странах Евросоюза появятся группы оперативного реагирования, задачей которых станет моментальная реакция на взломы сайтов. Эксперты уверены, что такие начинания умерят пыл злых компьютерных гениев, хотя и признают, что произойдет это не сразу. Еврокомиссии еще придется пройти через множество согласительных процедур и ратифицировать новые правила в Европарламенте. По самым оптимистическим прогнозам, на соблюдение всех бюрократических правил может уйти около полутора-двух лет. Так что пока хакеры могут и дальше пользоваться слабостью системы.
Справка

DDoS (сокращение от англ. Distributed Denial of Service — распределенный отказ от обслуживания) — тип сетевой атаки, в рамках которой организуется масса запросов, с которыми атакуемый сайт заведомо не сможет справиться и будет вынужден отказать в обслуживании, то есть попросту перестанет загружаться.

Botnet (от robot и network) — компьютерная сеть, созданная из компьютеров со скрыто установленной программой, позволяющей злоумышленнику направлять значительное число запросов на определенный сайт, тем самым организуя DDoS-атаку. Обычно используются для нелегальной или неодобряемой деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании.

Источник: www.depo.ua