На российские банки сегодня была совершена масштабная кибератака от имени ЦБ — всего фишинговые письма получили больше полусотни организаций. Сколько из них попались на крючок хакеров — неизвестно. Фишинговые письма — мина замедленного действия, вывод денег из банков может начаться и спустя месяцы после атаки, предупреждают эксперты.
- О том, что российские банки сегодня стали объектом большой хакерской атаки, сообщили эксперты компании Group-IB и подтвердила «Лаборатория Касперского». Атака шла в форме рассылки фишинговых писем, а ее особенность заключалась в том, что электронные письма отправлялись под видом официальных сообщений ЦБ. В них получателям предлагалось ознакомиться с постановлением регулятора и «незамедлительно приступить к исполнению приказа». Сам Банк России подтвердил эту информацию.
- Получателями писем, по данным Group-IB, стали как минимум 52 банка в России и не меньше пяти за границей — это только те, о которых известно, а общее число пострадавших банков может превысить сотню. Как минимум три банка из атакованных входят в топ-30. А данные по прошлым рассылкам позволяют предположить, что получателями писем могли стать и крупнейшие российские банки, говорит Рустам Миркасымов, эксперт по кибербезопасности Group-IB. Впрочем, он считает маловероятным, что мог пострадать кто-то из лидеров рынка: их системы безопасности обычно блокируют вредоносные программы.
- За сегодняшней атакой могла стоять группировка Silence, а в конце октября похожую атаку осуществили хакеры из группы MoneyTaker, пишет компания.
- Сколько банков попались на удочку хакеров — непонятно. ЦБ утверждает, что банки были предупреждены, но у Group-IB есть информация по крайней мере о двух случаях, когда сотрудники банков открывали письма с вредоносными программами.
- Что может произойти с пострадавшими банками? Злоумышленники могут вывести деньги через банкоматы зараженного банка, отправив деньги на свои карты, или через систему межбанковских переводов, говорит Миркасымов.
- Сравнить атаку можно с миной замедленного действия, добавляет он: если она удалась, банк может узнать об этом не сразу — Silence обычно требуется около трех месяцев для того, чтобы подготовиться к выводу денег со счетов, у MoneyTaker этот период — 3–4 недели.
Что мне с этого?
Непосредственно клиентов банка подобные атаки не затрагивают: деньги выводятся не с их счетов, а со счетов банка. Но «дыры в безопасности» банка могут стать одной из причин отзыва лицензии. Например, у «Пир банка» она была отозвана через несколько месяцев после того, как он стал жертвой группировки MoneyTaker. Впрочем, в официальном сообщении ЦБ хакерская атака в качестве причины не упоминалась.
Ирина Малкова, Владимир Моторин