версия для печати
ИБ для частников: важен ли только антивирус?

ИБ для частников: важен ли только антивирус?

Антивирусное программное обеспечение было и остается одним из самых популярных типов софта в России, в то время как за рубежом такие решения давно идут в третьей-четвертой волне по востребованности. Отечественные пользователи, похоже, все еще надеются таким образом найти «серебряную пулю».

Безопасность конечного пользователя – это не только отсутствие на его компьютере вредоносного ПО, замедляющего производительность или крадущего данные. Это некий комплекс мер, которые должны быть предприняты для повышения уровня соблюдения общих принципов поведения в Сети и локально. Помимо традиционных средств защиты, которые находят и удаляют вирусы, трояны и черви, спам, а в последнее время – и руткиты, и концептуальные вредоносные программы, в частный сектор перешли из корпоративной среды межсетевые экраны, системы блокировки мошеннических операций (антифишинг) и решения по управлению доступом (пресловутые «родительские экраны»). Из всех этих трех дополнительных компонентов защиты наиболее актуальными стали продукты для антифишинга.

Оценка рынка киберпреступности России по основным направлениям

Тренд

Доля от общего объема рынка, %

Сумма, млн долл.

Интернет-мошенничество
Мошенничество в системах интернет-банкинга 21,3 490
Обналичивание денежных средств 16 367
Фишинг 2,4 55
Хищение электронных денег 1,3 30
Итого: 41 942
Спам
Спам 24 553
Медикаменты и различная контрафактная продукция 6,2 142
"Поддельное" ПО 5,9 135
Итого: 36,1 830
Внутренний рынок (С2С)
Продажа трафика 6,6 153
Продажа эксплойтов 1,8 41
Продажа загрузок 1,2 27
Анонимизация 0,4 9
Итого: 10 230
DDos-атаки
DDos-атаки 5,6 130
Итого: 5,6 130
Иное
Иное 7,3 168
Итого: 7,3 168

Источник: Group-IB, 2012

Российская компания Group-IB объявила результаты очередного исследования, посвященного состоянию «русского» рынка компьютерных преступлений. По оценкам аналитиков за 2011 г. «русские» хакеры, находясь территориально в различных регионах и совершая атаки по всему миру, заработали около $4,5 млрд. Эта сумма включает и доходы российского сегмента.

Анализ активности компьютерных преступников в 2011 г., проведенный аналитиками CERT-GIB, позволяет оценивать рынок киберпреступности в России в $2,3 млрд, что говорит о практически двукратном росте относительно прошлого года. Между тем, финансовые показатели мирового рынка компьютерной преступности в 2011 г. эксперты Group-IB оценивают в $12,5 млрд.

Интернет-банкинг как кошелек для карманника

Россия находится в списке стран, лидирующих по количеству и масштабу атак, связанных с кражами в системах дистанционного банковского обслуживания. Средний ущерб юрлица-клиента российского банка от успешной атаки на такие системы дистанционного банковского обслуживания составляет 300-400 тыс. руб. Для частного пользователя этот показатель несколько ниже - около 50-100 тыс. руб. Причем страдают в основном клиенты, которые используют мобильный банкинг на основе SMS-команд: на рынке есть масса приложений под мобильные телефоны, которые могут перехватывать временные пароли и подделывать отправку комбинаций для снятия и перевода средств со счета. Также в зоне риска все клиенты зарплатных проектов – у них часто нет доступа к своим счетам и не подключены услуги SMS-информирования.

В среднем в день происходит порядка 50 атак, причем за два последних года их рост принял вид экспоненты. В итоге общая сумма попыток незаконных списаний составляет 10-20 млн руб. на каждый крупный и средний банк ежемесячно. По обобщенному мнению экспертного банковского и околобанковского сообщества ежемесячный ущерб от атак на все системы ДБО можно оценить в 450–500 млн. руб. Пиковый дневной ущерб по всем банкам достигал 90 млн. руб.

Официальной статистики на рынке пока нет, поскольку вся информация о хищениях в ДБО закрыта и не покидает пределов банка. После выхода новых указаний Центробанка банки обяжут ее предоставлять. Также на ситуацию повлияет закон «О национальной платежной системе» (НПС), вступающий в силу с 1 января 2013 г. Одна из его статей обязывает банки информировать клиентов об операциях со счетом, а в случае перевода денежных средств без подтверждения компанией банк должен будет возместить ущерб.

Атакам подвергаются клиенты ДБО практически каждого российского банка. Для юридических лиц, как правило, такие суммы являются неприятными, но не критическими потерями, поэтому до обращения в полицию часто дело не доходит, либо после обращения в полицию пострадавшие компании, видя бесперспективность надежд вернуть похищенное, оставляют попытки. Для физических лиц кражи в районе до 100 тыс рублей не всегда заметны (проблема в низкой культуре кредитно-финансового обслуживания и крайне невысоком количестве подключенных программ страхования банковских карт – на всю Россию они работают только у 1% пользователей). А банки не всегда готовы возвращать средства. Аргументация их довольно проста – клиент сам вводил данные карты, авторизовывая свою операцию. Кроме того, в договоре с банком прописываются требования по защите рабочих мест у клиента, выполнить которые может только зрелый с точки зрения информационной безопасности пользователь.

Троянский конь

Большинство проблем с интернет-банкингом связано с распространением специальных шпионских программ, плохо обнаруживаемых антивирусным ПО и никак не определяемых антишпионскими приложениями. Троянские программы пишутся мошенниками под конкретные системы ДБО и, более того, под конкретную установку в том или ином банке. Заражение компьютеров клиентов банка происходит с помощью фишинговых писем, через социальные сети или инфицированные страницы популярных сайтов. Атаковать серверную часть системы ДБО в самих банках сложнее, в среднем такие организации обращают на ИБ больше внимания, чем их клиенты, но здесь возможны разные ситуации.

В 2010 г. жертвами хищений в системах интернет-банкинга были в основном юридические лица, тогда как 2011 г. стал годом всплеска хищений у физических лиц. Для данного вида хищений злоумышленники активно использовали техники веб-инжектов, а также троянские программы, перенаправляющие пользователя на фишинговый ресурс. В результате только за последний квартал 2011 г. жертвами таких троянских программ стали десятки тысяч физических лиц, а общая сумма похищенных у них средств составила $73,5 млн, отмечается в отчете Group-IB.

Примечательно, что банковский фишинг в прошлом году не получил особого распространения. После ликвидации группы фишеров в Москве в первом квартале 2011 г., использование такого рода атак практически не встречалось. Однако в конце лета эту схему опробовала другая группа. В результате ее деятельности ежедневно появляются как минимум 1–2 фишинговых ресурса, нацеленных на клиентов нескольких крупнейших банков.

Начиная с конца 2010 г. количество DDoS-атак на банки после хищений больших сумм резко сократилось. Эта же тенденция продолжилась и в 2011 г. Она связана с тем, что проведение DDoS-атак стало служить сигналом для служб безопасности банков. В результате мошеннические операции быстро обнаруживались и блокировались, пояснили в Group-IB.

Новой тенденцией в 2011 г. стали атаки по протоколу HTTPS, в предыдущие годы встречавшиеся достаточно редко. При проведении данного вида атак для достижения результата (отказ в обслуживании) необходим минимум ресурсов. При этом оборудование для фильтрации и отражения подобного вида атак имеет высокую стоимость и поэтому редко встречается в наличии у хостеров и интернет-провайдеров, отметили в компании.

Сегодня на черном рынке (форумы, закрытые торрент-сети, чаты) присутствует достаточное количество умельцев, которые разрабатывают и продают специальные программы (в том числе и на основе открытого кода), которые атакуют клиентов ДБО с использованием известных уязвимостей. Ряд злоумышленников предоставляет услуги перехвата данных, защищенных, в том числе, с помощью аппаратных ключей защиты. В этом случае злоумышленники способны выводить средства на свои счета, несанкционированно (и скрытно от владельца) подписывая документы ЭЦП от имени клиента. Пока число таких атак и ущерб от них не настолько велики, чтобы банки начали прицельно с ними бороться, но их количество будет расти.

По мнению экспертов Group-IB, в основном этот рост обусловлен улучшением функциональности вредоносных программ, ориентированных на банковские системы, и формированием еще более устойчивых преступных групп. В результате в декабре 2011 г. крупнейшая «банковская» бот-сеть насчитывала около 2 млн компьютеров. Самыми крупными банковскими бот-сетями, которые успешно работали против российских банков, стали бот-сети, построенные на следующих вредоносных программах (расположены в порядке убывания в размере бот-сети): Carberp, Hodprot, Shiz, Lurk, Spy.Ranbyus и Qhost.

Усиление мер защиты со стороны производителей систем ДБО и банков привело к тому, что злоумышленники начали активно экспериментировать со средствами удаленного доступа для проведения мошеннических операций прямо с компьютеров жертв. Наиболее успешными стали именно те преступные группы, в чьих руках оказался наиболее стабильный и удобный инструмент удаленного доступа. В целом для удаленного доступа злоумышленники использовали такие средства, как TeamViewer, Hamachi, Mipko. Однако наибольшее распространение получил троян, который предоставлял доступ по протоколу Microsoft Remote Desktop.

С осени 2011 г. киберпреступники стали активно использовать функциональные возможности автоматической подмены реквизитов платежного поручения в момент подписания документа и его отправки, а также полностью автоматизированного процесса формирования и отправки мошеннического платежного поручения вредоносной программой. Это позволяют избежать необходимости удаленного подключения либо копирования информации с пользовательского компьютера для обхода средств защиты (виртуальные клавиатуры, PIN-коды, VPN-туннели, сетевая фильтрация). На текущий момент среди всех вредоносных программ, которые используются против клиентов российских банков, такой функциональностью обладает только «банковская» троянская программа Carberp, сообщили в Group-IB.

Проблемы встали в полный рост

Проблемами для частных пользователей в свете захлестнувшего отрасль воровства с банковских счетов и смежных атак стало практически полное бессилие со стороны банков. Они не могут расследовать такие случаи из-за территориальной распределенности атаки.  А вендоры софта не могут определять такие приложения. Так, по данным MR GEffitas, по состоянию на октябрь 2012 года на рынке существовало всего 4 программных продукта (решений класса InternetSecurity), которые могли бы противостоять краже финансовой информации с зараженного компьютера. Примечательно, что российскому пользователю известно только об одном из них – Kaspersky Internet Security 2012 (три других – не везде доступный в России Avast Internet Security, популярный только у очень продвинутой аудитории Comodo Internet Security и мало известный Emsisoft Anti-Malware).

В целом специалисты Group-IB выделяют следующие общие тенденции развития рынка компьютерных преступлений в 2011 г.: консолидация участников рынка — выражается в формировании ряда крупных киберпреступных группировок, функционирующих на постоянной основе, в итоге происходит отход от традиционной модели, которая основывалась на принципах дезорганизации, в пользу создания организованных групп с централизованной системой управления; укрепление взаимосвязей между основными группировками — заключается во взаимовыгодном обмене скомпрометированными данными, предоставлении бот-сетей, схем обналичивании, таким образом, возникают инциденты, в которых были задействованы сразу несколько киберпреступных групп, что создает определенные трудности при расследовании; проникновение на рынок участников с низким уровнем технического образования — компьютерные преступления перестают быть уделом «технарей», так как требуют, в первую очередь, не специальных знаний, а капиталовложений; рост и расширение внутреннего рынка (охватывает так называемые услуги Cybercrime to Cybercrime (С2C), предоставляемые на платной основе специализированными группами хакеров) — помимо традиционного роста объемов рынка, 2011 г. характеризуется становлением нового направления — ИТ-аутсорсинг взлома. В этом отношении ИБ для частных пользователей должны быть полностью перестроены под сложившиеся новые условия.

Анатолий Ковалевский

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS