Деньги отбиваются от хакеров
За последние два дня крупные российские банки столкнулись с самой значительной по мощности и длительности DDoS-атакой. Это привело к тому, что клиенты банков в течение нескольких часов испытывали сложности с использованием мобильных приложений и сервисов. Банки используют против таких атак эшелонированную оборону, тем более что они чреваты не только потерей лояльности клиентов, но и регуляторными последствиями.
В последние два дня клиенты крупных российских банков испытывали длительные сложности с использованием их приложений и сервисов (см. “Ъ” от 23 июля и 24 июля). Согласно данным системы мониторинга Downdetector, 23 июля жалобы на работу сайтов и сервисов Газпромбанка, РСХБ, Райффайзенбанка и Росбанка начались в 13:00–14:00. Впрочем, уже в 14:40, по данным Frank RG, без сбоев заработало приложение РСХБ, в 16:40 — Росбанка. В 18:20 появилась возможность входа в приложение Райффайзенбанка. 24 июля, по данным Frank RG, жалобы клиентов на неполадки в работе приложений Газпромбанка и ВТБ стали поступать уже в 9:30. Со сложностями в работе приложений ближе к 11:30 столкнулись пользователи приложений Росбанка и Альфа-банка. Ближе к 13:00 сервисы и инфраструктура ВТБ заработали в штатном режиме. После в 16:00 об этом заявили и в Росбанке.
По словам экспертов, все перечисленные банки подверглись массированной DDoS-атаке.
Наличие DDoS-атаки признали в РСХБ. Банковский сектор подвергся DDoS-атаке, спланированной из-за рубежа, подтвердили в ВТБ. В остальных банках признавали лишь наличие сбоев или проведение технических работ. В Банке России признают, что финансовый сектор длительное время находится в условиях повышенных атак, периодически их интенсивность возрастает.
По словам экспертов, подобной DDoS-атаки на финансовый сектор по интенсивности и длительности не было с начала года. Атаковались одновременно более 400 IP-адресов у отдельных банков, а мощность атак достигала более 300 Гбит/с на все атакуемые IP-адреса одной кредитной организации, указывает заместитель гендиректора Servicepipe Даниил Щербаков. По данным Qrator Labs, атаки на банки продолжались более семи часов в формате постоянной нагрузки, в течение которых были пиковые моменты длительностью 15–20 минут с максимальными показателями трафика — 530 Гбит/с. В качестве целей фигурировали как отдельно сайты и сервисы мобильных приложений, так и диапазоны принадлежащих банкам IP-адресов в целом, уточняет менеджер продукта Qrator Labs Георгий Тарасов.
Вместе с тем реализация последних DDoS-атак в целом не отличается сложностью, отмечают эксперты.
«Стандартная DDoS-атака начинается с заражения сторонних устройств и формирования из них ботнета, после чего атакующий начинает управлять ботнетом и дает ему различные команды. Главная цель — перегрузить ресурсы целевой системы, чтобы она стала недоступной для легитимных пользователей»,— поясняют в DDoS-Guard.
Во многом системы защиты банков могут справиться с подобными атаками. Банки, как правило, используют эшелонированные системы защиты от DDoS, состоящие из набора рубежей, указывают эксперты. Сначала применяются «облачные сервисы фильтрации трафика, далее защита на уровне интернет-провайдера, а на входе в собственную сеть используются специализированные устройства для анализа и очистки трафика», поясняет господин Тарасов.
При этом у каждого из таких эшелонов есть свои слабые и сильные стороны. «Попытка пустить атаку через весь набор контрмер будет иметь невысокие шансы на успех»,— отмечает эксперт. Однако в инфраструктуре крупной организации помимо веб-сайта находятся сотни разных сервисов и компонентов, которым необходима связь с внешним миром, и не все из них могут быть закрыты одновременно всеми уровнями защиты. «Злоумышленники занимаются поиском таких точек входа для того, чтобы облегчить себе преодоление либо вообще миновать какие-то из рубежей защиты»,— указывает Георгий Тарасов.
Для банков подобные атаки могут обернуться финансовыми, репутационными потерями, а также нарушениями нормативных актов ЦБ.
О результативности атаки может сигнализировать недоступность банковских приложений, сайта, системы авторизации пользователей. Прежде всего, сбой в работе сервисов вызывает массовое недовольство клиентов — на это как раз и рассчитывают злоумышленники, а всплеск недовольства в соцсетях отражается на ресурсах отслеживания сбоев типа Downdetector как доказательство того, что атака достигла цели, отмечает директор по клиентскому сервису NGENIX Владимир Зайцев.
Как масштабная атака хакеров на НСПК вызвала перебои в работе СБП
Положение 787-П предусматривает, что у банка с активами более 500 млрд руб. длительность простоя или деградации сервисов должна быть не более двух часов, у менее крупных финансовых организаций деградация сервисов может наблюдаться более длительное время, отмечает господин Щербаков. При выявлении нарушений кредитными организациями требований нормативных актов регулятор вправе применить соответствующие меры надзорного реагирования, отмечают в ЦБ.