Как рассказал представитель компании, во время тестов специалисты имитировали 18 атак: в восьми случаях атака на банк совершалась извне (лжехакеры использовали только общедоступные данные), а в десяти – изнутри (специалист находился в здании банка и имел доступ к розетке, Wi-Fi-сети и т.д., либо получал доступ к данным сотрудника банка). При этом методы социальной инженерии в этом исследовании не применялись. Также в пояснениях уточняется, что в трех случаях демонстрация возможности хищения денег из банка была дополнительной целью атаки, и во всех трех случаях она была достигнута.
Атаки извне
В отчете Positive Technologies говорится, что учебные атаки извне позволили проникнуть в локальную сеть семи банков из восьми. При этом уровень защищенности шести банков от таких атак специалисты оценили как крайне низкий, одного банка как низкий и лишь один банк получил оценку выше среднего. Кроме того, в одном случае специалисты обнаружили следы настоящей атаки, которую в банке не заметили.
В большинстве случаев (44%) хакеры могут попадать во внутреннюю сеть банка через уязвимость веб-приложений. Для этого достаточно получить доступ к личному кабинету клиента банка. В 25% случаев хакеры попадали во внутреннюю сеть банка с помощью подбора учетной записи сотрудника организации для удаленного управления, еще в 25% использовали недостатки конфигурации с уязвимостями программного обеспечения, в оставшихся 6% – недостатки в ПО или вирусы, против которых еще не разработаны защитные механизмы (т.н. уязвимости нулевого дня).
Атаки изнутри
Атаки изнутри стали успешным продолжением атак извне в семи случаях из десяти. Большинство успешных атак (49%) удалось реализовать с помощью легитимных действий в системах, которые позволяли получать несанкционированный доступ или нужные данные. В 14% случаев использовался подбор учетных данных сотрудников банка, в 13% – архитектурные особенности операционной системы. В результате специалистам удавалось получить доступ к банкоматам, рабочим станциям топ-менеджеров, серверам карточного процессинга и центрам управления антивирусной защитой.
Тем не менее в Positive Technologies признали, что большинство выявленных векторов для атак изнутри были сложны в реализации (девять из них характеризуются высокой сложностью, пять – средней, а еще пять – низкой).
"Для проведения сложной атаки злоумышленнику необходимо обладать высокой квалификацией и понимать, как обойти различные системы защиты. При этом в восьми банках существовал одновременно и альтернативный способ атаки, более простой в реализации, для которого нарушителю достаточно было бы обладать базовыми навыками, использовать общедоступные инструменты и эксплойты (программы, использующие уязвимости в ПО)", – говорится в отчете.
Слабые пароли
В исследовании отдельно отмечается, что большинство успешно подобранных при атаках снаружи и изнутри паролей были слишком простыми: при атаках извне половину из них составляли различные комбинации месяца или времени года с цифрами, обозначающими год, например, Fduecn2019 (латинский набор слова "август"), на втором месте по распространенности оказались пароли типа 123456 и Qwerty1213. Что же касается атак изнутри, то во внутренней инфраструктуре каждого второго банка использовались различные словарные комбинации для паролей, например, admin123, или пароли, состоящие из соседних клавиш (QAZ2wsx и подобные), а часто пароли повторялись. Так, в одном из банков лжехакеры взломали более 500 учетных записей с паролем qwerty123 для доменных учетных записей.
По мнению главы Лаборатории компьютерной криминалистики компании Group-IB Валерия Баулина, в 2019 году уровень готовности банков к инцидентам в сфере кибербезопасности вырос. Баулин отметил, что отрасль "старается работать на опережение, используя инструменты раннего предупреждения кибератак", и речь идет как о технологической инфраструктуре, так и об уровне компетенции сотрудников. Из-за этого русскоязычные хакеры все чаще выбирают для атак иностранные банки.