Председатель Центрального банка РФ Эльвира Набиуллина и заместитель министра внутренних дел РФ Андрей Храпов во время панельной дискуссии «Противостояние кибермошенничеству: консолидация усилий» в рамках форума «Кибербезопасности в финансах» в Екатеринбурге
Против взлома есть приемы. Как российские финансы защищаются от кибертерроризма
19 Февраля 2025 в 15:17
С 19 по 21 февраля в Екатеринбурге проходит Уральский форум «Кибербезопасность в финансах» – мероприятие, где обсуждаются вызовы в области информационной безопасности и перспективы развития киберустойчивости финансовых организаций. Главным спикером форума стала глава Банка России Эльвира Набиуллина.
Одна из самых острых тем: глава Центробанка обратила внимание на то, что многие банки занижают уровень мошенничества в финансовой сфере. Они не передают в базу данных обращения обманутых клиентов, что приводит к занижению реальных масштабов проблемы. По оценке ЦБ, уровень мошенничества занижается в 10 раз. В 2024 году только 85% банков корректно сообщали о случаях мошенничества, что указывает на необходимость улучшения отчетности и взаимодействия с регулятором.
– Мы выявили, что некоторые банки занижали число кибермошенников. Представители одного из крупных банков говорили: ну люди же сами переводили, как мы можем этому препятствовать? Мы будем бороться строже. К концу текущего квартала все банки должны устранить уязвимости и обеспечить безопасность своих клиентов.
Вообще, банки часто не уделяют достаточного внимания управлению киберрисками. По данным ЦБ, даже в 2019 году все проверенные банки имели проблемы с кибербезопасностью, что связано с недостатком квалифицированных специалистов и слабым контролем со стороны руководства.
Методы борьбы
Со своей стороны, Центральный банк РФ объявил о планах по упрощению процедуры подачи заявлений от клиентов, пострадавших от мошеннических действий в банковской сфере. С октября текущего года кредитные организации будут обязаны внедрить специальную кнопку в мобильные приложения, позволяющую клиентам подавать заявления о мошеннических операциях онлайн и получать справки для обращения в полицию, не выходя из дома.
Кроме того, через мобильное приложение клиенты смогут отвечать на запросы банка о характере подозрительных операций, если такие запросы поступили из Министерства внутренних дел. Это нововведение коснется банков, через которые проходит основной объем платежей, включая крупные системно значимые кредитные организации.
Также с 25 июля прошлого года вступил в силу закон, уточняющий определение операции без добровольного согласия клиента. Теперь под это понятие подпадают денежные переводы, совершенные под влиянием обмана или злоупотребления доверием. С этого момента банки начали отчитываться о подобных операциях по обновленной форме.
Количество таких операций в 2024 году увеличилось на 2,7%, достигнув 1,2 млн. Однако банки за этот год вернули клиентам 9,9% от общего объема операций без добровольного согласия, что составило 2,7 млрд рублей. А предотвратили таких операций на сумму 13,5 трлн рублей, что на 154% больше, чем в 2023 году. Злоумышленникам не удалось совершить 72,17 млн мошеннических операций, что на 99,7% больше, чем годом ранее.
Между тем, наибольшее количество мошеннических операций в прошлом году было совершено с использованием платежных карт (821,87 тыс.), а также с помощью дистанционного банковского обслуживания (102,2 тыс.). При этом наибольший объем похищенных средств пришелся на дистанционные операции (9,6 млрд рублей).
С 25 июля 2024 года банки обязаны приостанавливать переводы на два дня, если информация о получателе денег содержится в базе данных Банка России о случаях и попытках мошеннических операций. Если банк совершит перевод до истечения «периода охлаждения», он должен вернуть средства клиенту в течение 30 дней. Объем возмещенных средств по этому механизму уже составил 1,23 млн рублей.
Банк России также направил операторам связи 171,9 тыс. номеров телефонов, используемых для хищения средств. В прошлом году было заблокировано 5893 страницы и 30 приложений в социальных сетях и интернете, которые использовались для фишинга и безлицензионной деятельности.
В фокусе внимания главы государства
В начале февраля Владимир Путин издал указ о разработке дополнительных мер, направленных на защиту граждан от телефонных мошенничеств, совершаемых с территории Украины. Также президент поручил усилить меры по блокировке подозрительных номеров, используемых для мошеннических звонков.
Ранее Роскомнадзор допустил возможность блокировки звонков из-за рубежа в мессенджерах. Ведомство подтвердило, что наблюдается значительное количество мошеннических звонков, особенно из-за рубежа, как в сетях российских операторов связи, так и в иностранных мессенджерах.
Кроме того, в России предложили использовать биометрические данные для выявления мошенников. Векторы голосов злоумышленников будут храниться в единой базе данных, что позволит искусственному интеллекту оперативно выявлять звонки мошенников.
В 2024 году злоумышленники похитили рекордные 27,5 млрд рублей у клиентов банков, что на 74% больше, чем годом ранее. При этом 72,17 миллиона попыток кражи денег были предотвращены. Кроме того, ЦБ получил более 750 сообщений о кибератаках на финансовые компании. Основными типами атак были DDoS-атаки (325 случаев), использование вредоносного программного обеспечения (109 случаев) и компрометация учетных данных (121 случай). Хакеры также активно использовали атаки на поставщиков банков для получения доступа к их системам.
Запреты против взлома
16 февраля председатель Государственной Думы Вячеслав Володин направил в профильный комитет законопроект, направленный на защиту россиян от телефонного и интернет-мошенничества, для рассмотрения в приоритетном порядке.
Законопроект направлен на создание государственных информационных систем по противодействию преступлениям, совершаемым с использованием информационно-телекоммуникационных технологий. Также он предусматривает ряд мер, направленных на защиту россиян от злоумышленников. В частности, сотрудникам государственных органов, банков и операторов будет запрещено общаться с клиентами через мессенджеры.
Кром того, теперь предусмотрена возможность онлайн-обмена информацией между государственными органами, банками и цифровыми платформами. Автоматический мониторинг позволит оперативно выявлять подозрительные действия, блокировать их и уведомлять правоохранительные органы о потенциальных преступлениях.
В случае принятия закона в России может быть введена маркировка звонков для определения их источника.
Утечки данных и социальная инженерия
Нельзя не отметить следующий нюанс: утечки конфиденциальных данных стали самым частым последствием кибератак на финансовые организации (71% случаев). Эти данные использовались для целевых атак на граждан, что привело к росту хищений.
Мошенники активно применяли методы социальной инженерии, включая дипфейки и сгенерированный ИИ-контент, чтобы обмануть пользователей. Например, имитировали голосовые сообщения и видеозвонки, чтобы получить доступ к данным и средствам.
Также инструментами мошенников становятся фишинговые сайты (58% от всех заблокированных ресурсов), финансовые пирамиды (23%) и мошеннические ресурсы, связанные с безлицензионной деятельностью на рынке ценных бумаг (16%).
В 50% успешных кибератак злоумышленникам удавалось получить доступ к конфиденциальным данным, что приводило к их утечке. 28% финансовых компаний сталкивались с нарушением работы онлайн-сервисов.
В некоторых случаях хакеры продавали доступ к скомпрометированным системам другим злоумышленникам, что усугубляет ситуацию.
В ответ на растущие угрозы банки продолжают инвестировать в кибербезопасность. В 2024 году объем средств, выделенных на эти цели, вырос на 12% и достиг 12 млрд рублей.
Центробанк анализирует
Банк России опубликовал большой обзор о современных вызовах в сфере кибербезопасности. В нем говорится, что в условиях глобализации и цифровизации финансовых услуг атаки на финансовые организации становятся все более изощренными. Методы атак эволюционируют, переходя от традиционных хищений к более сложным и многоуровневым схемам.
В 2024 году основными целями атак стали не только материальные активы, но и подрыв доверия к финансовым организациям через манипуляцию данными и информационное давление. Злоумышленники стремятся дестабилизировать бизнес, создать общественный резонанс, оказывать давление на сотрудников и блокировать доступ к данным.
Атаки на финансовую инфраструктуру включают несколько этапов: подготовка инфраструктуры, проникновение и эксплуатация уязвимостей, закрепление в системе, организация скрытого канала вывода данных и их монетизация. Современные методы все чаще включают элементы информационного воздействия и манипуляции человеческим фактором.
Основные типы атак
- Подготовка инфраструктуры. Злоумышленники создают инфраструктуру для сокрытия своих действий. Это могут быть арендованные серверы, компрометация уязвимых серверов, использование VPN и мобильных прокси.
- Проникновение и эксплуатация уязвимостей. На этом этапе злоумышленники проникают в информационную систему, используя слабые пароли, уязвимости в веб-приложениях и старых версиях серверных систем.
- Закрепление в инфраструктуре и организация скрытого канала вывода данных. После успешного проникновения устанавливаются механизмы для сохранения доступа и минимизации обнаружения. Организуются скрытые каналы для вывода данных с использованием методов шифрования и обфускации трафика.
- Монетизация и извлечение данных. На последнем этапе злоумышленники извлекают данные и монетизируют их, продавая украденную информацию, используя ее для дальнейших атак или шантажа.
Банк России отмечает, что в прошлом году наиболее распространенными типами вредоносного ПО были Trojan.Agensla.gen и Trojan-PSW.MSIL.Stealer.gen, которые используются для кражи учетных данных и удаленного управления зараженными устройствами. Также увеличилась активность ВПО типа Trojan-Ransom, который позволяет шифровать данные на зараженных устройствах и требовать выкуп для их расшифровки. ЦБ связывает эту активность с появлением в открытом доступе кодов вирусов-шифровальщиков крупных киберпреступных группировок.
Также в прошлом году в стране наблюдалось распространения вируса SpyNote, который позволяет мошенникам получать доступ к телефонам жертв и совершать кражи со счетов. Вирус маскируется под безобидные программы и предоставляет злоумышленникам возможность наблюдать за устройством жертвы, видеть пароли и SMS-сообщения, а также получать доступ к банковским приложениям. По данным ЦБ, около 40–50% случаев хищений со счетов в последние полгода происходят именно таким образом. По данным «Лаборатории Касперского», количество атак с использованием SpyNote в России в 2024 году выросло почти в девять раз по сравнению с прошлым годом. Это означает, что сотни тысяч пользователей могут столкнуться с угрозой потери своих средств.
Наиболее популярным способом получения первоначального доступа в системы компаний финансовой сферы в 2024 году стала компрометация подрядных организаций. ФинЦЕРТ выявил 17 инцидентов у организаций, предоставляющих ИТ-услуги более чем 70 компаниям финансового сектора, включая системно значимые кредитные организации.
Эксперты ЦБ прогнозируют, что в 2025 году злоумышленники продолжат использовать различные инструменты и методы для скрытого проникновения, создания условий для длительного присутствия и разрушения информационных инфраструктур компаний. Они будут стремиться оставаться в системах как можно дольше, чтобы изучить инфраструктуру и собрать конфиденциальную информацию. В связи с этим ожидается увеличение времени между моментом компрометации системы и ее обнаружением службами информационной безопасности.
Кроме того, в 2025 году сохранится проблема атрибуции и обнаружения следов злоумышленников. Они будут использовать скомпрометированные серверы, VPN и мобильные прокси для маскировки своих атак. Это усложнит задачу правоохранительных органов и служб безопасности по выявлению и привлечению к ответственности киберпреступников.
В условиях растущих угроз кибербезопасности финансовым организациям необходимо усилить меры по защите своих информационных систем. Это включает в себя регулярное обновление программного обеспечения, обучение сотрудников правилам кибергигиены, внедрение систем мониторинга и реагирования на инциденты, а также сотрудничество с внешними экспертами и организациями, занимающимися кибербезопасностью.