января
Российские банки подверглись массовой атаке хакеров: ФинЦЕРТ (подразделение ЦБ по кибербезопасности) на прошлой неделе разослал по банкам бюллетени о фишинговой рассылке группировки Silence. Интересна атака не только масштабом, но и тем, что рассылка шла с серверов в России, пишет «Коммерсант».
В рассылках от 16 января регулятор отмечает массовое распространение вредоносного ПО от имени несуществующих кредитных организаций — банков ICA, «Урал Развитие», «Финансовая перспектива», CCR, ЮКО, «БанкУралпром», а также якобы от организаторов финансового форума iFIN-2019.
Текущая рассылка выделяется по нескольким параметрам. Первый — охват. В частности, Сбербанк фиксировал получение фишинговых писем в течение нескольких дней, до 18 января включительно. «На средствах защиты по состоянию на 18 января зафиксированы и успешно заблокированы 1,5 тысячи вредоносных писем, имеющих отношение к рассылке Silence, — отметили в банке. — Рассылка продолжается, мы осуществляем усиленный контроль развития данной серии атак».
О получении и успешной блокировке писем из фишинговой рассылки говорят также в Газпромбанке, Райффайзенбанке и Московском Кредитном Банке, отмечая, что ни сотрудники, ни клиенты не пострадали.
В ЦБ изданию пояснили, что атака превышала стандартные масштабы, но «чрезвычайно большого объема» писем не было.
Во-вторых, в атаке использовалась качественная социальная инженерия, что нехарактерно для Silence. «Достаточно серьезно вкладываясь в инструменты, эта группировка обычно очень мало модифицирует и усложняет «социальный» вектор рассылки, используя типовые фишинговые уловки, — отметил операционный директор центра мониторинга и реагирования на кибератаки «Ростелеком-Solar» Антон Юдаков. — Однако на этот раз присутствовал крайне правдоподобный текст письма, идеально повторяющего официальное приглашение на профильную конференцию». По его словам, усовершенствованный социальный вектор существенно повышает результативность рассылки.
В-третьих, атака проведена с использованием серверов на территории РФ. В информационном бюллетене от 16 января ФинЦЕРТ указано, что для данной рассылки использовались, в частности, и домены из зоны .ru (fpbank.ru, bankurs.ru, ccrbank.ru). В ЦБ подтвердили газете, что в организации атаки были задействованы в числе прочего серверные мощности с IP-адресами в российской зоне Интернета.
Сейчас в Госдуме находится законопроект, который даст возможность ЦБ блокировать фишинговые сайты и сможет эффективнее защитить рынок от подобных атак. Но для этого проект необходимо доработать, в том числе с учетом опыта последних рассылок, отмечают эксперты.
