- Специалисты Positive Technologies провели тестовые атаки на российские банки
- Выяснилось, что хакерам требуется от двух до пяти дней, чтобы проникнуть во внутреннюю сеть банка
- Исследование выявило высокую уязвимость веб-приложений банков
Российские банки плохо защищены от хакерских атак, показало исследование компании Positive Technologies. Компания выпустила отчет «Тестирование на проникновение в организациях кредитно-финансового сектора», в котором описала основные уязвимости банков.
Детали. Специалисты Positive Technologies провели 18 тестовых попыток проникновения во внутреннюю систему различных российских банков (10 банков из топ-50): восемь атак эксперты провели извне, а десять – изнутри. Целью тестов было получение доступа к контролю над ключевыми системами в банке. Уровень защищенности корпоративной инфраструктуры банков специалисты компании оценили как «крайне низкий».
Исследование показало, что в зависимости от вида атаки злоумышленник может получить доступ к банковской инфраструктуре в течение двух-пяти дней. В существующем известном ПО эксперты выявили уязвимости, против которых еще не разработаны защитные механизмы.
В одном из банков Positive Technologies обнаружила следы более ранних взломов, которые прошли незамеченными для службы безопасности.
Внешние атаки. При совершении внешних атак на основании общедоступных данных специалистам удалось получить доступ в семь из восьми тестируемых организаций. Для полного проникновения во внутреннюю инфраструктуру банка потребовалось в среднем пять дней.
Злоумышленник может приникнуть в систему банка с помощью нескольких способов, их максимальное количество одновременно – пять, говорится в отчете. В среднем требуется два шага для успешного завершения атаки, минимум – один, максимум – пять.
В зоне повышенного риска — веб-приложения банка, показало исследование. Злоумышленники либо подбирают пароли к существующим учетным записям, либо регистрируют нового пользователя в приложении.
В четырех компаниях специалистам удалось завладеть учетными записями сотрудников, в трех – получить контроль над веб-сервером, а в четырех – над веб-приложением. В трех организациях успешно завершилась атака на посетителей сайта.
Внутренние атаки. Во время еще десяти тестов специалисты совершили атаку изнутри, то есть находясь в банке и используя корпоративный Wi-Fi. Эксперты Positive Technologies смогли получить доступ к корпоративной инфраструктуре во всех десяти случаях. На это ушло в среднем два дня. В трех тестах специалисты ставили дополнительную цель – получить возможность похитить средства, ее удалось достигнуть во всех трех атаках.
Получить контроль изнутри сложнее, для этого требуется в среднем восемь шагов, минимум – два, максимум – пятнадцать. Злоумышленники могут получить доступ к базам данных, бизнес-системам и рабочим устройствам сотрудников, занимающих высокие позиции в банке. Банкоматы и центры управления антивирусной защитой тоже под угрозой.
При чем тут клиенты. Специалисты Positive Technologies отмечают, что зачастую пользователи сами виноваты, что их приложения взламывают. Они придумывают слишком простые пароли, поэтому хакерам несложно их подобрать. Так, 48% пользователей используют в качестве пароля даты, а еще 41% — сочетание букв и цифр на соседних клавишах. Это относится и к пользователям приложений, и к сотрудникам банков. Шансы хакеров увеличиваются, если пользователи используют один и тот же пароль для разных учетных записей и систем.
Также злоумышленники для взлома аккаунтов собирают информацию о банках и клиентах из открытых источников, таких как социальные сети и базы данных на черном рынке.
Экспертная оценка. В 2018 году, по оценкам Group-IB, 74% финансовых организаций не были готовы к кибератакам. В прошлом году ситуация стала меняться: банки усилили защиту и повысили степень готовности к инцидентам. В результате потери банков от атак к 2019 году снизились в 14 раз по сравнению с 2018 годом — до 93 млн рублей.
Group-IB видит положительный тренд по итогам 2019 года. «Можно сказать, что финансовая отрасль вступила в период взросления и старается работать на опережение, используя инструменты раннего предупреждения кибератак», — пояснил представитель компании. Он также отметил, что банки понимают важность процессов мониторинга, аудита и повышения квалификации сотрудников для предотвращения атак. «Это не разовые процессы, а постоянная, системная работа», — добавили в Group-IB.
Зачем вам об этом знать. Исследование Positive Technologies показало, что банковские системы плохо защищены как от внешних, так и от внутренних кибератак. Усиление мер безопасности и повышение уровня защищенности позволят банкам предотвратить действия преступников.
