В России на 85% снизилась киберпреступность против банков

ПО Безопасность Стратегия безопасности ИТ в банках
, Текст: Валерия Шмырова

В России за год было отмечено сокращение объема киберпреступлений против банков на 85% до 510 млн руб. В сегменте троянов для ПК спад составил 89%, троянов для Android — 43%, а в сфере фишинга — 65%. На подъеме только социальная инженерия. Российские группировки начали больше интересоваться целями за рубежом, а не не родине.


Спад по всем направлениям

Киберпреступления против банков и их клиентов в России резко пошли на спад: за второе полугодие 2018 г. и первое полугодие 2019 г. их объем в деньгах составил 510 млн руб., что на 85% меньше, чем за предыдущий год, когда таких преступлений было совершено на 3,2 млрд руб. Об этом сообщает ИБ-компания Group-IB, обнародовавшая глобальный отчет о высокотехнологичных преступлениях Hi-Tech Crime Trends 2019.

Если отдельно говорить о хищениях, произведенных с помощью троянов для ПК, в этом сегменте объем ущерба уменьшился на 89% до 62 млн руб. Такие преступления традиционно характерны для России, но на данный момент русскоязычные хакеры уже не создают новые десктопные трояны. Хищениями с помощью троянов для ПК в России сейчас занимаются всего две группировки — Buhtrap2 и RTM, причем активна в течение года была только вторая.

Сегмент хищений с помощью троянов для Android продемонстрировал годовой спад на 43% до 110 млн. руб. Трояны, которые раньше использовались наиболее широко, вышли из употребления: за год перестали проявлять активность 22 трояна, а создано было всего 7 новых. Количество группировок в этом сегменте сократилось в России с восьми до пяти. Одновременно средний размер кражи вырос с 7 тыс. до 11 тыс. руб., поскольку оставшиеся группировки начали использовать вместо SMS переводы card2card.

Объем преступлений в сфере финансового фишинга сократился на 65% до 87 млн руб. Из этого сегмента за истекший период ушли 15 группировок, поэтому активных групп сейчас всего 11. Средний объем средств, украденных у одного пользователя, также снизился.

Поскольку перечисленные выше типы атак стали приносить меньше денег, преступники начали чаще прибегать к другим методам — например, к социальной инженерии, которая таким образом стала самой распространенной киберугрозой для пользователей банков в России. С конца 2018 г. в стране наблюдается волна вишинга — телефонного мошенничества. Банки занимаются поведенческим анализом действий пользователей для выявления подозрительной активности, но это делают только крупные банки, поэтому вишингу прогнозируют высокую динамику в будущем.

Кража данных банковских карт

Объем преступлений в сфере кражи данных банковских карт вырос на 33% и до 56 млрд. руб. Количество карт, данные о которых утекли в интернет, увеличилось на 38% — с 27,1 до 43,8 млн. Примерно 80% рынка приходится на дампы, то есть содержимое магнитных полос карт. За год исследователи нашли 31,2 млн дампов, выставленных на продажу, это на 46% больше, чем за предыдущий год. Продажа текстовых данных, таких как номер карты, CVV и срок действия, показала рост на 19%. Было зафиксировано увеличение средней цены текстовых данных с $9 до $14, а вот средняя цена дампа упала с $33 до $22.

groupibbanks600.jpg
В России сократился объем киберпреступлений против банков

Дешевле всего стоят данные карт американских банков: средняя цена составляет $8-10 за актуальные текстовые данные и $16-24 за дампы. Данные о картах европейский банков традиционно стоят дорого: $18-21 за текст и $100-120 за дамп. Российские карты в крупных точках продажи встречаются редко, но если встречаются, цена на них средняя. Цена дампа за год выросла с $48 до $71, а цена текста упала с $15 до $12. Максимальная цена за дамп карты российского банка в 2018 г. составила $170, а в 2019 г. подскочила до $500.

Существенно выросла популярность использования JS-снифферов — JavaScript-инструментов, с помощью которых осуществляется кража данных банковских карт на веб-сайтах, в первую очередь текстовых. В течение года было обнаружено 38 семейств JS-снифферов, в настоящий момент их уже больше, чем банковских троянов. По использованию JS-снифферов лидируют США, на втором месте находится Великобритания. Применение JS-снифферов опасно в основном для тех стран, где мало распространен XML-протокол 3D Secure.

Также текстовые данные карт мошенники узнают с помощью фишинга. Этот сегмент становится более конкурентным, появляются новые тенденции. Например, преступники взяли на вооружение панели для управления веб-инжектами и автозаливом, до этого применявшиеся только в преступлениях с использованием троянов. Разработчики фишинг-китов стали больше заботиться о самозащите. Для этого они используют блокировку подсетей вендоров по безопасности и хостинг компаний, а также отдают фишинговый контент только с IP-адресов региона, в котором находится пользователь. Кроме того, используется перенаправление на легитимные сайты и проверка аномальных user-agent.

Активность группировок

Потери от целевых атак на российские банки со стороны финансово мотивированных хакерских группировок снизились в 14 раз до 93 млн руб. Средняя сумма кражи в результате целевых атак на банки в России сократилась со 118 до 31 млн руб.

Распределение киберпреступлений в финансовом секторе по сегментам

Лидерами в сегменте киберпреступлений против банков считаются русскоязычные группировки Cobalt, Silence и MoneyTaker, а также северо-корейская Lazarus и новая группа SilentCards из Кении. Из них только Cobalt, Silence и MoneyTaker имеют в своем распоряжении трояны, с помощью которых можно управлять диспенсером банкомата и выводить деньги. В течение года атаками через банкоматы занималась только Silence, атаками через карточный процессинг — Silence и SilentCards, а через SWIFT — Lazarus, причем последняя сумела совершить два успешных хищения в Индии и на Мальте общей стоимостью $16 млн.

Lazarus единственная использует метод хищения FastCash, известный с конца 2018 г., но впервые опробованный в Азии еще в 2016 г. Silence стали меньше внимания уделять своим фишинговым рассылкам и теперь покупают доступ в целевые банки у коллег — например, у группы ТА505. Из всех пяти группировок SilentCards хуже всех подготовлена технически и пока успешно атакует только африканские банки.

В течение года Cobalt и Silence по одному разу нападали на российские банки, а MoneyTaker — два раза. Первые две группировки теперь больше интересуются целями за рубежом, что очень сокращает ущерб для российского финансового сектора. В дальнейшем все три русскоязычные группировки, вероятно, продолжат атаки на зарубежные цели. Локально в своем регионе будет действовать только SilentCards.

Деньги будут выводиться с помощью атак на систему карточного процессинга и троянов для банкоматов. На SWIFT группировки будут нацеливаться намного реже, только Lazarus будет совершать хищения через SWIFT и ATM Switch. Исследователи считают, что для уничтожение следов после успешных атак хакеры будут выводить из строя инфраструктуру.