Эксперты Positive Technologies подсчитали, что стоимость расходов хакеров на атаку банковского сайта стартует с 45 тысяч долларов (почти 2,9 миллиона рублей). Но за последний год сумма, которую можно заработать при одной атаке, снизилась. Поэтому злоумышленники оптимизировали расходы. Как именно, разбирался «360». Эксперты Positive Technologies, отмечает «Коммерсант», выяснили, что стартовая стоимость хакерской атаки на банковские сайты составляет 45-55 тысяч долларов. В 30-40 тысяч обходятся легальные программы, которые используют злоумышленники. В частности, при помощи бага в ПО для проведения тестов на проникновение Cobalt Strike, использующейся российскими банками, хакеры похитили более миллиарда рублей. Примерно 10 тысяч долларов будет стоить программа для поиска уязвимостей. Остальные расходы складываются из подписок на сайты и инструменты для создания кодов с вирусами. После первой же успешной атаки все затраты окупаются. Но в последний год разовая сумма похищенных денег снизилась, поэтому киберпреступники вынуждены оптимизировать затраты. В частности, рассказал глава экспертного центра Positive Technologies Алексей Новиков, широко используют фишинговые рассылки. Ведь почти нет разницы, отправить одно письмо или тысячи. Также хакеры активно пользуются уязвимостями операционных систем, вместо покупки дорогого вредоносного ПО атакуют сайты из доверенных сетей и пользуются услугами аутсорсинговых групп хакеров, у каждой из которых своя специализация. «Существуют целые группы, специализирующиеся на предоставлении конкретных услуг — DDoS-атак, кардинга, написания вредоносного ПО, обналичивания денег, выведенных из банков и так далее. Привлечение таких аутсорсеров обходится значительно дешевле, чем если бы заказчик атаки создавал собственную группировку с аналогичными функциями», — рассказал операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC Антон Юдаков. Целевые атаки Техдиректор Qrator Labs Артем Гавриченков пояснил «360», что 45-55 тысяч долларов — это стоимость целенаправленной атаки на конкретный сайт банков. Как правило на тот, что «на слуху» либо обладает высокой защищенностью и серьезными финансовыми резервами. В других ситуациях затраты могут быть меньше. Так, цена часа DDoS-атаки может исчисляться лишь десятками долларов. «Если стоит цель атаковать организацию, у которой проблема с информационной безопасностью, стоимость подготовки будет ниже. Целевые атаки проводятся только на ряд организаций. Вполне вероятно, это Сбербанк, Qiwi, те, у которых с безопасностью более-менее нормально. Они подвергаются таким атакам годами, если не десятилетиями», — добавил Гавриченков, уточнив, что такие организации постоянно совершенствуют средства защиты, что приводит к подорожанию атак. Инструменты и оптимизация Хакер Сергей Вакулин подтвердил «360», что стоимость атак на банки в самом деле может составлять 45-55 тысяч долларов. Впрочем, она может быть выше или ниже — это будет зависеть от того, что умеет хакер и во сколько он оценивает свои услуги. В инструментарий злоумышленников, по его словам, входят вредоносное ПО, список e-mail банковских работников и DDoS-машины, отправляющие запросы на определенный сайт. «Существует фишинг. Сначала используется социальная инженерия, чтобы завлечь работника, отправляя ему письма на почту. А потом он кликает по картинке, например, красивого котика, и на его компьютер моментально загружается вирус», — добавил Вакулин. Разумеется, хакеры стремятся уменьшить свои расходы. Оплата атак не каждому по карману, и как только их стоимость растет, число «клиентов» уменьшается. Поэтому ценник стараются снизить, оптимизируя затраты. Помимо использования уязвимостей программного обеспечения и операционных систем хакеры нередко используют HTML/XSS/SQL-Injection. Это процедуры вшивания на интернет-страницы вредоносных кодов. С помощью XSS-уязвимости можно, например, сделать перенаправление на фишинговый сайт. «Еще XSS-уязвимость помогает раскрутить уязвимость до более опасной CSRF, когда хакеры получают возможность отправлять запросы. Например, пользователь будет заходить на сайт какого-то СМИ, читать статью, а у него будет автоматом отправляться запрос в банк», — пояснил эксперт. Обнаружить это можно, только заглянув в консоль браузера и проверив лог-файлы. Но это мало кто делает. Поэтому этот инструмент, не очень сложный и довольно дешевый, очень часто используют. А атаке подвергаются сайты со средней и большой аудиторией. Падение доходов Падение доходов от разовых атак Вакулин объяснил улучшением банковской защиты. Кроме того, хакерам, по его мнению, «надоедает их деятельность». Атака на коммерческие организации идет из-за определенных целей, а они не всегда оправдываются. «Например, международная группа Anonymous действует из-за политических и экономических целей. А получается, система безопасности банков растет, взламывать становится намного труднее, лазейки прикрывают», — сказал он. Гавриченков также счел, что падение доходов хакеров и большие траты на инструментарий связаны с ростом общего уровня безопасности банковской индустрии. Из-за этого старые инструменты начинают использовать не против крупных банков, а для взлома региональных. «В результате этого прибыль злоумышленников снизится, поскольку элементарно у регионального банка не украдешь столько же, сколько у Сбербанка. Плюс у него тоже будут какие-то средства защиты. Но так или иначе прибыль снизится, хотя инструментарий останется тот же и он может работать», — сказал он. В свою очередь Вакулин отметил, что злоумышленники не создают особых инновационных атакующих инструментов, потому что пока в интернете слишком много уже существующих уязвимостей, которые еще много лет будут актуальны. В частности, он сам всего за неделю обнаружил в сети четыре сайта с XSS-уязвимостями. «Если бы я был „черным“ хакером, мог бы раскрутить их до CSRF и стать богачом. Не придумывают ничего нового, потому что старое хорошо работает. Владельцы сайтов должны учиться на чужих ошибках, но они не учатся», — заключил он.
