Умар Гебенов: «Злоумышленники вскрывают банки фишингом. Сотрудники - самое слабое ИБ-звено»

8 часов назад

Фишинг остается одним из самых распространенных инструментов киберпреступников. Злоумышленники создают страницы, практически неотличимые от официальных сервисов банков, маркетплейсов или государственных порталов, и убеждают человека самостоятельно ввести логин, пароль или платежные данные. Как противостоять этому виду атак, который приобретает все новые формы, в интервью журналу RUБEЖ рассказывает Умар Гебенов, ведущий дата-инженер компании CICADA8.

RUБЕЖ: Почему банковская отрасль остается одной из главных целей злоумышленников?

Умар Гебенов: Ответ очевиден: на банковских счетах лежат деньги граждан и организаций, а успешная фишинговая атака позволяет получить доступ к личному кабинету клиента или провести мошеннические операции с его средствами.

При этом масштабы последствий могут сильно различаться. В наиболее распространенном сценарии страдает клиент банка, однако фишинг перестал быть инструментом мошенничества исключительно против частных лиц. Все чаще злоумышленники используют поддельные страницы корпоративных сервисов для компрометации сотрудников финансовых организаций.

Если жертвой становится администратор, разработчик или другой сотрудник с расширенными полномочиями, последствия могут выходить далеко за пределы единичного финансового ущерба и затрагивать внутренние системы банка, клиентские данные и критически важные бизнес-процессы

Кроме того, преступники сегодня стараются действовать максимально незаметно. Например, вместо одной крупной операции могут выполнять серию небольших списаний, которые реже привлекают внимание антифрод-систем. В результате ущерб может быть обнаружен не сразу.

По данным ряда исследований, включая отчеты Positive Technologies, точечный фишинг через электронную почту и сообщения используется более чем в половине успешных атак на финансовые организации. Это подтверждает, что злоумышленники продолжают делать ставку именно на человека как на самое уязвимое звено.

Возникают и более сложные схемы. Например, преступники могут сначала установить контакт с жертвой на легитимной площадке — маркетплейсе или сервисе объявлений, — а уже затем перевести общение в мессенджер и отправить фишинговую ссылку для оплаты или получения средств.

- Насколько серьезной угрозой становятся сегодня дипфейки?

У. Гебенов: Это уже вполне реальная угроза. Один из показательных сценариев в нашей практике был связан с использованием образа бывшего руководителя крупного российского банка. На мошенническом сайте размещалось сгенерированное видео, где он якобы рассказывал о новом инвестиционном проекте с гарантированной доходностью.

Более того, от его имени звучали обещания лично компенсировать убытки инвесторов в случае неудачи. Для неподготовленного пользователя такой контент выглядит убедительно, поскольку сочетает узнаваемую публичную фигуру, профессионально оформленный сайт и реалистичное видеообращение.

Мы также наблюдали мошеннические ресурсы, где злоумышленники использовали фрагменты новостных сюжетов. В одних случаях генерировалось новое видео с участием известных персон, в других — оригинальная видеозапись сохранялась, но полностью заменялась звуковая дорожка. В результате ведущие новостей якобы рассказывали о государственных программах выплат или инвестиционных возможностях, связанных с крупными промышленными компаниями.

Такие схемы особенно опасны, поскольку пользователь видит привычный формат новостного контента и изначально воспринимает его как достоверный источник информации.

- Как противодействовать дипфейкам?

У. Гебенов: Здесь необходим комплексный подход.

Во-первых, важно активно информировать клиентов о существующих схемах мошенничества и регулярно напоминать, какие адреса и каналы коммуникации являются официальными.

Во-вторых, банкам необходимы полноценные антифишинговые решения, работающие не только на этапе блокировки, но и на этапе постоянного мониторинга интернет-пространства.

Важная особенность таких систем заключается в том, что они постоянно обучаются на новых сценариях атак. По мере появления новых схем мошенничества автоматически обновляются правила обнаружения, что позволяет находить даже ранее неизвестные фишинговые ресурсы.

- Насколько распространен фишинг в отношении сотрудников банков?

У. Гебенов: Достаточно широко. Финансовые организации традиционно входят в число наиболее атакуемых отраслей мира. Для получения доступа к внутренним системам злоумышленники нередко создают поддельные страницы корпоративных сервисов и рассылают ссылки сотрудникам. Поэтому банки уделяют большое внимание обучению персонала. Во многих организациях проводятся регулярные учебные фишинговые кампании.

Если сотрудник переходит по ссылке или открывает вредоносное вложение, система сразу уведомляет его об ошибке и направляет на дополнительное обучение. Тем не менее полностью исключить влияние человеческого фактора невозможно. Даже хорошо подготовленный специалист может ошибиться в условиях высокой нагрузки или стресса.

Типовой сценарий выглядит достаточно просто. Сотрудник получает письмо или сообщение со ссылкой на страницу, визуально неотличимую от корпоративного сервиса банка: системы документооборота, почтового портала или внутреннего рабочего кабинета.

Если пользователь вводит учетные данные, они немедленно попадают к злоумышленникам. В зависимости от уровня доступа конкретного сотрудника последствия могут варьироваться от компрометации одной учетной записи до получения доступа к внутренним системам организации.

- Почему фишинговые кампании становятся все более сложными?

У. Гебенов: Злоумышленники повышают свой профессионализм, развивают практические навыки. Если раньше мошеннические сайты часто размещались на подозрительных серверах, то сегодня они активно используют популярные облачные платформы и известные хостинги. Это усложняет их обнаружение и блокировку.

Кроме того, мы наблюдаем появление схем повторной монетизации жертв. Человек сначала становится жертвой фиктивной инвестиционной платформы, а спустя некоторое время получает предложение вернуть утраченные средства через якобы специализированный сервис. Пользователь повторно вводит банковские данные, полагая, что получает возврат средств, однако фактически происходит еще одно списание.

Такой подход показывает, насколько эффективно мошенники используют доверие человека к уже начатому процессу.

— Как компании должны реагировать на выявление клонов своих ресурсов в интернете?

У. Гебенов: Скорость реакции имеет принципиальное значение. Чем дольше мошеннический ресурс остается доступным, тем больше пользователей могут стать его жертвами. Поэтому после обнаружения клона компания должна сразу запускать процедуру его блокировки.

Первый шаг — направить официальные обращения регистратору доменного имени и хостинг-провайдеру, подробно описав признаки мошенничества и факты незаконного использования бренда. В большинстве случаев именно от оперативности такого взаимодействия зависит скорость удаления ресурса.

Однако ручное реагирование уже не всегда эффективно. Сегодня злоумышленники способны регистрировать десятки новых доменов и быстро разворачивать зеркала заблокированных сайтов. Поэтому крупным организациям, особенно банкам, необходимы специализированные антифишинговые решения, которые в автоматическом режиме отслеживают появление ресурсов, визуально или технически похожих на официальный сайт компании.

Современные платформы анализируют доменные имена, структуру страниц, элементы фирменного стиля, сертификаты безопасности и другие технические признаки. При обнаружении подозрительного ресурса система может автоматически инициировать процедуры проверки и блокировки, а также передавать информацию профильным организациям.

В России одним из важных механизмов противодействия является взаимодействие с НКЦКИ, что позволяет оперативно ограничивать доступ к выявленным мошенническим доменам на территории страны.

— Какие признаки помогут пользователям отличить легитимную выплату от мошеннической схемы?

У. Гебенов: Главный признак легитимной выплаты в том, что пользователю не нужно совершать дополнительные действия через сторонние ресурсы. Если речь идет о государственных выплатах, компенсациях или начислениях от банка, информация о них, как правило, появляется в официальном личном кабинете — например, на портале государственных услуг или в мобильном приложении банка.

Поводом для настороженности должны стать сообщения о необходимости срочно перейти по ссылке, подтвердить получение выплаты на стороннем сайте, ввести данные банковской карты или оплатить комиссию за перевод средств. Легитимные выплаты не требуют предварительных платежей со стороны получателя.

На практике злоумышленники активно используют темы социальных выплат, компенсаций, инвестиционных программ и различных акций от имени крупных организаций. Мы регулярно сталкиваемся с мошенническими ресурсами, где пользователю обещают денежное вознаграждение за участие в опросе, получение бонуса ко дню рождения банка или доступ к якобы новой государственной программе поддержки.

- Почему пользователи продолжают попадаться на фишинг, несмотря на постоянные предупреждения?

У. Гебенов: Проблема не в недостатке предупреждений. Современные поддельные сайты зачастую практически невозможно отличить от настоящих визуально.

Кроме того, многие пользователи совершают финансовые операции на ходу — в транспорте, между рабочими задачами или в условиях дефицита времени. В таких ситуациях люди редко внимательно изучают адресную строку и другие признаки подлинности ресурса.

- Какие новые угрозы могут появиться в банковском секторе в ближайшие годы?

У. Гебенов: Мы увидим больше дипфейков, больше реалистичных ИИ-операторов и больше персонализированных атак, основанных на анализе данных о потенциальной жертве.

Технологии будут делать мошеннические ресурсы все более убедительными. Поэтому главным направлением развития защиты станет не только совершенствование технических средств безопасности, но и повышение устойчивости пользователей к методам социальной инженерии.

Ранее на портале RUБЕЖ опубликована экспертная статья «Расследования инцидентов в российском ритейле: видеонаблюдение, СКУД и ИБ» от Дмитрия Борощук, преподавателя по OSINT, криминалиста, исследователя в области кибербезопасности, руководителя агентства BeholderIsHere Consulting.