Киберпреступники "уводят" миллионы

Война on-line

Накануне выходных в Казани завершился IT&Security Forum 2011 - ежегодная мультивендорная конференция, посвященная созданию информационных инфраструктур и обеспечению их безопасности. Пятый по счету форум, по традиции организованный ОАО "ICL-КПО ВС" и ООО "НПО ВС", собрал более 350 участников. В течение двух дней IT-директора и ведущие специалисты российских предприятий банковской, телекоммуникационной и нефтегазовой отраслей посещали тематические секции и дискуссионные зоны, развернувшиеся в залах KORSTON Hotel & Mall Kazan. Интересных мероприятий было столько, что попасть на все оказалось физически невозможно, и в перерывах участники конференции напряженно изучали программу, решая, что предпочесть. Корреспондент "ВиД" выбрала практическую демонстрацию "Что могут российские хакеры?" и дискуссионную зону "Защита дистанционного банковского обслуживания". Тем более что тема ДБО на нынешнем форуме оказалась "гвоздевой".

Разговор о хакерстве носил общий характер, хотя прозвучало немало любопытных сведений, которые стоит взять на заметку. Причем не только пользователям, но и крупным компаниям. По сути, технический директор Positive Technologies Сергей Гордейчик обобщил информацию, прозвучавшую на Первом международном форуме по информационной безопасности Positive Hack Days (PHD), состоявшемся в Москве 19 мая. Форум носил практический характер. Десять команд из России, США, Индии и европейских стран защищали свои сети и взламывали сети противников. Организаторы заранее подготовили набор уязвимостей, встречающихся в современных информационных системах, а основной задачей участников было найти эти уязвимости и устранить их в своей инфраструктуре.

В результате выяснилось, например, что специалисты по информационной безопасности крупных компаний легко передают пароли, которые должны быть известны узкому кругу лиц, а в некоторых очень уважаемых компаниях пароли настолько просты, что о них можно догадаться. Среди современных хакерских тенденций - подделка цифровых подписей, использование уязвимостей нулевого дня и взлом с помощью "облачных" вычислений. "Облака" привлекают хакеров не только своей дешевизной, но и тем, что очень трудно найти источник атаки. В такой ситуации скандальная история с сайтом WiciLeaks перестает быть феноменом, считает Сергей Гордейчик.

После этого речь логично зашла о кибервойнах. Точечные атаки на крупные банки, высокотехнологичные компании и предприятия ТЭК, участившиеся в последнее время, могут быть делом рук как киберпреступников, так и каких-либо государств. Возможно также использование государствами организованной киберпреступности и даже профессиональных хакеров-одиночек. При этом правительства крайне неохотно вслух говорят о кибервойне из-за ее непредсказуемости, им гораздо спокойнее сохранять статус-кво. Тем не менее США уже заявили, что в случае масштабного нападения на свою IT-инфраструктуру оставляют за собой право ответить военной мощью.

Есть и еще одна проблема, касающаяся уже российского рынка. Многие отечественные вендоры негативно воспринимают сообщения о найденных уязвимостях (речь идет не о действиях хакеров, а об исследованиях компаний, профессионально занимающихся информационной безопасностью) и видят в подобной работе подвох. В итоге "дыры" в защите устраняются медленно, что дает киберпреступникам одно из главных преимуществ - время.

Безопасность денег стоит… денег

Более подробно о художествах российских киберпреступников говорили в дискуссионной зоне "Защита ДБО". Известно, что в России есть несколько мощных группировок мошенников, которые выходят "на дело" в сеть регулярно. За неделю крупные банки сталкиваются с 6-8 попытками похитить средства клиентов, к счастью, не всегда успешными. Если же попытка удается, со счета "уводят" от 150 тысяч до нескольких миллионов рублей. Причем техника злоумышленников с каждым годом усложняется. Если прежде они предпринимали атаку через Интернет, чтобы украсть электронно-цифровые подписи и пароли, то теперь атакуют для того, чтобы подменить платежный документ. Бухгалтеры, работающие с десятками, а то и сотнями документов, часто не замечают подмены и ставят цифровую подпись, после чего денежки утекают к хакерам. Жертвами подобных схем становятся и частные лица.

Борьбу с воровством в Интернете усложняет отсутствие регламентирующих документов (в первую очередь, от Центрального банка), основываясь на которых можно было бы задерживать сомнительные платежи. Как правило, киберпреступники обманным путем переводят деньги в другой банк, где их и обналичивают. В случае, если у первого банка есть подозрения в "уводе" средств, переговоры с коллегами о задержке платежей часто затягиваются, что позволяет хакерам забрать украденное и уйти от ответственности. Тем более что деньги обычно переводятся на другой конец страны или вообще за рубеж. Например, похищенные у клиентов российских банков средства часто обналичиваются на Украине, в Прибалтике, а то и в Польше.

Есть и психологическая проблема. Как отметил директор по развитию Positive Technologies Борис Симис, преступники активно используют социальную инженерию, добиваясь нужной реакции от клиентов банков. Допустим, курьер привозит клиенту диск (якобы от банка) с новым обновлением и просит установить его к определенному числу. В этом программном обеспечении скрыта троянская программа, которая потом позволит украсть деньги. Если клиент по какой-либо причине обновление не устанавливает, ему звонит девушка из "call-центра" и напоминает о том, что это необходимо сделать. К сожалению, многие серьезные люди (в том числе директора и главные бухгалтеры предприятий) "ведутся" на красиво упакованный обман. Иногда преступники используют другой вариант - dos-атаку. Клиенту, опять же с курьером, привозят письмо от "банка", которое ничем не отличается от подлинного. В письме сообщается, что с такого-то числа у банка будет новый адрес веб-сайта. В этот день на настоящий сайт банка совершается атака - и он выходит из строя. После этого клиент верит, что старый сайт действительно закрыт, заходит по новому адресу и прощается со своими деньгами.

Поставить заслон на пути киберпреступников мешает отсутствие тех, кто реально заинтересован в решении проблемы. Дело в том, что за серьезную защиту нужно платить, а ни банки, ни их клиенты раскошеливаться, как правило, не хотят. По мнению эксперта в области информационной безопасности компании Cisco Алексея Лукацкого, именно это обстоятельство не позволит в ближайшее время остановить вал мошенничеств. По большому счету защиту финансовых средств клиента должен обеспечить банк, но он, увы, к этому не готов. Это неминуемо приведет к увеличению ставок по кредитам, что снизит конкурентоспособность данной структуры на рынке. Например, специалисты Сбербанка подсчитали, что их банку придется увеличить ставки по кредитам на 2-4%, а этого достаточно, чтобы потенциальные заемщики напряглись. При этом опыт создания и внедрения решений, защищающих средства клиентов, есть. Так, международная платежная система Visa уже выпустила стандарты для разработчиков. Получается, что без жестких регламентаций ЦБ опять-таки не обойтись. Существует, кстати, и мировая практика страхования информационных рисков. Правда, она и за рубежом не очень распространена. В России же всего несколько таких случаев.

Есть и другая сторона медали - реакция правоохранительных органов на уже совершившиеся преступления. Она пока что явно недостаточная. Во многом это связано с лакунами в законодательстве. Правоохранительным органам требуется ясная схема борьбы с преступниками, орудующими в Интернете, а ее пока нет. Поэтому они крайне неохотно принимают заявления от банков, говоря, что раз украдены деньги клиента, то он и должен обращаться в полицию. Но реалии нашей жизни, увы, таковы, что у большинства фирм (особенно средних и мелких) есть некоторые проблемы с законом, обычно в части уплаты налогов, и привлекать внимание к своей деятельности они не хотят - предпочитают смириться с ущербом. Вот и получается замкнутый круг. Правда, в последнее время подобной плачевной ситуацией озаботилась Ассоциация российских банков, которая пытается привлечь к решению наболевшей проблемы МВД и ЦБ РФ.

Ответственность пользователя

Поле деятельности хакеров, конечно, гораздо шире, чем взаимоотношения банков и их клиентов, в которые преступники пытаются вклиниться. Воруют не только деньги - воруют информацию, являющуюся коммерческой тайной, от чего страдают многие компании и предприятия. Как рассказал "ВиД" руководитель группы консультантов по безопасности компании Check Point Software Technologies Антон Разумов, защититься от атак да и просто предотвратить проникновение вирусов в локальную сеть можно разными методами. Традиционный подход - защита периметра сети, но можно подойти к решению задачи более гибко. Например, больше внимания обращать на конкретных пользователей - кто и что делает в Интернете. Причем контролируются действия пользователя, а не IP-адрес. Это заставляет человека более ответственно подходить к посещению различных сайтов с рабочего компьютера. Особенно если пользователя изначально спрашивают, доступ к каким ресурсам необходим ему для работы, а потом анализируют, что он реально делал в глобальной сети.

Еще одна современная тенденция в области интернет-безопасности состоит в том, что безопасность должна следовать за клиентом. В первую очередь речь идет об удаленном доступе к ресурсам компании. Например, с рабочего компьютера пользователь имеет доступ абсолютно ко всем ресурсам и может совершать любые операции, с домашнего - доступ и возможности несколько ограничиваются, с мобильного устройства - еще более ограничиваются, пояснил Антон Разумов.