18:00 прямой эфир «Верным курсом» Олег Богданов, Александр Кареевский и Алексей Бобровский подводят макроэкономические итоги недели

ВЕСТИ

Прямой Эфир

    Прогнозы

      В России ущерб от высокотехнологичных преступлений в финансовой сфере за год упал на 85%

      Москва, 29 ноября - "Вести.Экономика".Group-IB, международная компания, специализирующаяся на предотвращении кибератак, представила глобальный отчет о высокотехнологичных преступлениях Hi-Tech Crime Trends 2019. Сокращение в России ущерба от всех видов киберпреступлений с использованием вредоносных программ, направленных как напрямую на банки, так и их клиентов, составило рекордные 85%.

      Объем хищений упал почти до 510 млн руб. за период H2 2018 — H1 2019 против 3,2 млрд руб. в предыдущем периоде. На фоне исхода финансово мотивированных группировок из зоны "РУ", сокращения числа Android-троянов и групп, занимающихся фишингом, в России растет количество преступлений против клиентов банков с использованием социальной инженерии и телефонного мошенничества.

      Целевые атаки на банки: смена фокуса
      Команда Group-IB Threat Intelligence выделяет 5 групп, которые успешно проводят целевые атаки на банки и представляют реальную угрозу финансовому сектору в мире. Среди них "русскоязычная тройка" — Cobalt, Silence и MoneyTaker, а также северо-корейская Lazarus (Северная Корея) и новая группа SilentCards из Кении. По-прежнему только Cobalt, Silence и MoneyTaker обладают троянами, которые позволяют управлять диспенсером банкомата и выводить деньги. При этом за исследуемый период через банкоматы атаковали только хакеры Silence, через карточный процессинг - Silence и SilentCards, через SWIFT - Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму $16 млн).

      Только северокорейская APT-группа применяет метод хищения FastCash. Он стал известен в конце 2018 г., хотя впервые был использован в Азии еще в 2016 г. За всеми атаками этого типа стоит группа Lazarus. Silence снизили активность по собственным фишинговым рассылкам и начали приобретать доступ в целевые банки у других хакерских групп, в частности у ТА505. На данный момент SilentCards является наименее технически подготовленной среди указанных групп и пока успешно совершает целевые атаки только на банки в Африке.

      В отношении российских банков Cobalt и Silence провели по одной атаке за исследуемый период, MoneyTaker - две. Первые две русскоязычные группы переключили свой фокус на иностранные цели, что привело к многократному сокращению ущерба по "РУ". Согласно отчету Group-IB до 93 млн руб, то есть почти в 14 раз (!), сократились потери от целевых атак на банки в России со стороны финансово мотивированных группировок. По сравнению с прошлым периодом средняя сумма хищения от целевых атак на банки в России упала со 118 млн до 31 млн руб.

      По прогнозам Group-IB, "русскоязычная тройка" продолжит географическую экспансию вне "РУ". Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов. Предположительно, SilentCards пока останется локальной группой, атакующей банки в своем регионе.

      Угрозы для клиентов банков: торжество социалки
      Оценивая рынок высокотехнологичных преступлений в России, эксперты Group-IB выделяют несколько сегментов, в каждом из которых фиксируется снижение. По хищениям с помощью троянов для ПК, "родиной" которых всегда была Россия, ущерб сократился на 89% и составил 62 млн руб. Русскоязычные хакеры перестали создавать новые десктопные трояны. Осталось всего две группы, которые похищают деньги в России с помощью троянов для ПК — Buhtrap2 и RTM. Активность проявляет только последняя.

      Трояны под мобильные Android-устройства исчезают медленнее, но хищения с помощью этого типа вредоносного ПО также на спаде: ущерб в этом сегменте составил 110 млн руб., что на 43% ниже аналогичного показателя в прошлом периоде. Количество групп, использующих Android-трояны в России, сократилось с 8 до 5: при этом со сцены ушли "тяжеловесы" — трояны, на счету которых наибольшее количество мошеннических транзакций. Оставшиеся группы отказались от СМС-канала для хищений, его заменил метод перевода card2card, что привело к увеличению среднего размера хищения с 7 тыс. до 11 тыс. руб. В целом за истекший период 22 трояна вышли из употребления, им на смену были созданы всего 7 новых.

      Ущерб от финансового фишинга в России упал на 65% до уровня 87 млн руб. На общую цифру повлияло как сокращение количества активных групп, так и уменьшение "среднего чека" атаки. Снижение финансовой выгоды привело к выходу из игры 15 групп, зарабатывавших на фишинговых атаках. Активных осталось 11.

      Снижение экономической эффективности от этих типов атак вынуждает мошенников искать новые способы заработка на данных банковских карт. В итоге мошенничество с использованием приемов социальной инженерии вышло на первое место по степени распространения угрозы в России. Прежде всего речь идет о телефонном мошенничестве — вишинге, который начиная с конца 2018 г. буквально захлестнул банковский рынок. Поведенческий анализ пользовательских сессий для выявления подозрительной активности в системах ДБО по-прежнему является прерогативой крупных банков. Именно поэтому в России именно этот вид атак на клиентов банков сохранит высокую динамику.

      Утечки и компрометация карт: кардинг на подъеме
      Объем рынка кардинга за исследуемый период вырос на 33% и составил более 56 млрд руб. ($879 680 072). Количество скомпрометированных карт, выложенных на андеграундные форумы, возросло 38% с 27,1 млн до 43,8 млн относительно прошлого периода. Дампы (содержимое магнитных полос карт) составляют 80% рынка кардинга. За исследуемый период было обнаружено 31,2 млн дампов в продаже, что на 46% выше, чем в прошлом году. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъеме: их рост составил 19%. Средняя цена на текстовые данные поднялась с $9 до $14, при этом снизилась средняя цена дампа — с $33 до $22.

      Наиболее низкая цена выставляется, как правило, на скомпрометированные данные американских банков, они в среднем идут по $8-10 за свежие текстовые данные карты и $16-24 за дампы. Традиционно высокий прайс на карты европейский банков: $18-21 за текст, $100-120 за дамп. Российские карты остаются редкостью в крупных кардшопах, большинство из которых не работает по "РУ". Карты российских банков обычно находятся в среднем ценовом диапазоне, при этом с прошлого периода значительно выросла средняя цена за дамп – с $48 до $71 (4 500 руб.) и немного снизилась цена за текст - с $15 до $12 (760 руб.). При этом максимальная цена за дамп карты российского банка в 2018 г. достигала $170 (10 тыс. руб.), а в 2019 г. поднялась до отметки $500 (32 тыс. руб.).

      Новым трендом, работающим на увеличение объема текстовых данных банковских карт в продаже, стали JS-снифферы. В этом году эксперты Group-IB выявили минимум 38 разных семейств JS-снифферов, их количество растет и уже превышает число банковских троянов. По масштабам компрометации с помощью JS-снифферов первую позицию занимают США, а вторую — Великобритания. Эта угроза будет актуальна в первую очередь для стран, где не распространена система 3D Secure.

      Фишинг остается долгоиграющим методом о получения мошенниками текстовых данных о банковских картах пользователей. Конкуренция в этом сегменте растет: атакующие стали использовать панели для управления веб-инжектами и автозаливом, которые раньше были прерогативой банковских троянов. Разработчики фишинг-китов начали больше внимания уделять самозащите: они используют блокировку подсетей вендоров по безопасности, хостинг компаний, отдают фишинговый контент только с IP-адресов региона, где находятся их жертвы, перенаправляют на легитимные сайты, проверяют аномальные user-agent.
      

      Новости партнеров

      Тест. Вторая мировая война. Знаете ли вы ее предысторию?

      1 сентября 1939 года, ровно 80 лет назад, началась Вторая мировая война. Сегодня исторический ревизионизм набирает обороты. Россию все чаще не зовут на торжественные мероприятия, в честь каких либо памятных дат, связанных с войной.

      Форма обратной связи

      Отправить

      Форма обратной связи

      Отправить