Оглавление
За последние пару лет мы привыкли к тому, что Россия стала одной из самых атакуемых стран, а отечественный бизнес – желанной целью не только для целенаправленных, но и массовых кибератак. Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
Автор: Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
Фишинг, о котором мы даже не подозревали
Российские аналитики все чаще упоминают вэйлинг (whaling, китобойный промысел), но чем так опасны подобные атаки? В отличие от массово рассылаемых стандартных фишинговых писем хакеры практикуют персональные сообщения, нацеливаясь исключительно на топ-менеджмент: собственника компании, генерального директора, его заместителя, члена совета директоров или высокопоставленного менеджера. Задача – выманить у жертвы ценную финансовую или корпоративную информацию, к которой у них есть доступ. Ценность этих данных сполна компенсирует издержки на предварительный сбор максимально возможно доступной информации об объекте атаки (обычно из социальных сетей и других открытых источников).
Выделить вэйлинг как особый класс атак весьма непросто, поскольку больше 90% всех таких кибератак начинаются с классического фишинга. Причем традиционные методы защиты редко помогают предотвратить вэйлинг, так как он всегда нацелен на конкретного сотрудника и обычные спам-фильтры его попросту не замечают.
Кто делает ставку на вэйлинг?
Отдельные хакеры и высококвалифицированные группировки, в том числе близкие к государственным структурам, изначально ориентированы на получение значительной прибыли от целенаправленных атак. Как следствие, они потенциально готовы нести значительные издержки, подготавливая их тщательно и неторопливо. Само по себе резкое смещение вектора таких атак в сторону России пока еще не привело к стабильным финансовым результатам для злоумышленников, но это представляется лишь делом времени.
Не будем забывать и о том, что информация об атаках на крупный российский бизнес, а также госкомпании и госструктуры традиционно не является общедоступной. Сделаем дополнительную поправку на высокую квалификацию отечественных ИБ-специалистов, особенно занятых в защите значимых предприятий, в том числе КИИ с весьма жесткой регламентацией необходимых организационно-методических мероприятий. За последние годы они обеспечили защиту на уровне явно выше средней температуры по больнице, тем более от простых атак.
А вот менее подготовленные и только набирающиеся опыта хакеры, пользуясь готовыми и тиражируемыми инструментами, в последнее время как раз успешно работали по вполне традиционному сценарию быстрой массовой атаки по площадям, то есть атаковали весь спектр российских компаний, от крупного до среднего и малого бизнеса, а также всех доступных для атак юридических, да и физических, лиц.
По сходному сценарию использовали тот же инструментарий и более квалифицированные хакеры, попутно стараясь нащупать дополнительные уязвимости. Со временем стал проявляться интерес к переходу на атаки с более четким таргетированием. Они были реализованы во многом благодаря ранее используемым методикам индивидуализации фишинговых атак для конкретных VIP-клиентов. Это как раз и есть признаки вэйлинга как более сложного и продвинутого варианта фишинга. Апробированные наработки по нему можно легко адаптировать, не разрабатывая инструментарий с нуля.
Почему отечественный Private Banking так хорошо разбирается в вэйлинге?
Готовыми методиками, позволяющими эффективно защищаться от вэйлинга, сейчас располагают в первую очередь частные банкиры, представляющие не только западный, но и отечественный Private Banking. Вообще фокус обслуживания VIP-клиентов в последние годы стал сильно смещаться как раз в сторону ИБ. Поэтому об объединении усилий в рамках защиты от более продвинутого фишинга в нынешних условиях все чаще говорят на профильных конференциях и семинарах, а специалисты пытаются формализовать специфику российского вэйлинга, тем более что и сам российский Private Banking серьезно заинтересован в партнерском взаимодействии по этому вопросу с любыми компетентными сторонами, определяя это направление как одно из стратегически значимых для своего нынешнего развития.
Все дело в том, что самая выгодная мишень для вэйлинга – собственник средних промышленных предприятий еще с начала 2000-х гг. является давним и успешным клиентом российского Private Banking. Из потенциального VIP он эволюционировал в одного из наиболее приоритетных клиентов. Для эффективного привлечения и обслуживания такого собственника отечественный Private Banking перешел на управление не только его личным состоянием, но и его бизнесом, развившись в программу корпоративной лояльности.
Такой собственник централизованно замыкает на самого себя решение не только стратегических, но и оперативных вопросов, в лучшем случае – на ограниченный круг лиц, которые не обязательно являются профессионалами, но которым он доверяет. Несмотря на высокие внутренние издержки на поддержание подобной избыточной и неоптимальной организационно-управленческой структуры, в определенных случаях она вполне успешно обеспечивает устойчивость бизнеса. Прежде всего это проявляется при попытках враждебных поглощений, а также в кризисных ситуациях.
Начиная с 2009 г. почти непрерывная стагнация в российской экономике, усиленная введением первых санкций в 2014 г., привела к постоянному снижению маржинальности бизнеса и появлению устойчивого спроса на оптимизацию издержек на содержание организационно-управленческой структуры. Решения по организации эффективной комплексной киберзащиты внешнего и внутреннего периметра для всего капитала собственника оказывается вполне удачным способом наглядно продемонстрировать все возможности эффективного перехода к решениям оптимизации корпоративной структуры. Наиболее уязвимые места ИБ-периметра бизнеса как раз напрямую связаны с избыточностью и неоптимальностью его организационно-управленческой структуры, по сути формализуя векторы атак вэйлинга на российского VIP-клиента.
В конце концов, собственник склонен недооценивать уровень киберугроз, что открывает неплохие возможности для пентестинга внешнего периметра бизнеса с последующим переосмыслением его составных частей. И первый шаг для банкира здесь очевиден: необходимо найти в лице собственника партнера, который будет заинтересован в проведении оптимизации корпоративной структуры для выстраивания системы эффективной кибербезопасности. Привлечь для этого более специализированных внешних контрагентов из сферы ИБ Private Banking вполне способен, что он уже неоднократно демонстрировал ранее на примере не менее сложных задач по оптимизации, требующих высокой степени доверия со стороны собственника.
Заметим, что этот вполне приемлемый маркетинговый ход позволяет усилить доверие, чтобы в дальнейшем предложить собственнику решение потенциально более интересных и перспективных задач обеспечения тех же прав наследования, проведения правильной подготовки бизнеса к продаже и т.п. В конце концов, на частной и узкой задаче клиенту удалось продемонстрировать не столько возможности банка в построении для него системы ИБ, сколько то, что Private Banking может в дальнейшем так же успешно заниматься и оптимизацией корпоративной структуры бизнеса клиента.
Поэтому напрашивается второй шаг со стороны банкира, который вполне обоснованно претендует на роль основного провайдера долгосрочных услуг по такой оптимизации, которая и подразумевается в рамках этих насущных задач. Тем самым качественно усиливается лояльность текущих VIP-клиентов к их нынешнему подразделению Private Banking, причем последнее получает неплохой шанс привлечь на последующее полное обслуживание и новых VIP-клиентов, продемонстрировав, что на этих-то задачах уже кто-то вполне может эффективно заменить их основной банк.
Российский Private Banking – драйвер защиты от вэйлинга, спасибо ИИ!
Неудивительно, что наработки Private Banking сразу стали востребованными. При этом конкурентное преимущество получили в основном средние и нишевые российские банки. Они все время старались хоть как-то выделиться на фоне крупных, получив почти решающее преимущество на ИБ-продуктах. Ведь крупные банки часто предпочитали более традиционный консервативный подход в обслуживании и привлечении клиентов, не рискуя связываться хотя и с прорывными, но не до конца отработанными клиентскими технологиями! Более того, именно средние и нишевые банки, не располагая значительными средствами на внедрение новых технологий, смогли найти еще один прорывной сегмент, в котором низкий порог входа обеспечил им прекрасные стартовые условия, в том числе и для понимания того, в каком именно направлении фишинг (и более продвинутый вэйлинг) будет усложняться и совершенствоваться хакерами – искусственный интеллект, машинное обучение.
Весна 2023 г. ознаменовалась взрывным ростом популярности чат-ботов, которые уже к осени того же года стали использоваться практически повсеместно. Про ChatGPT тогда услышали все. В Private Banking наглядность и вовлечение оказались еще выше, тем более что кто-то из VIP-клиентов это уже успел попробовать сам или ему что-то подобное продемонстрировали в других предметных областях.
Ничего нового для Private Banking, впрочем, не появилось: всего лишь замена одной методики другой. К осени прошлого года, когда у Сбера и Яндекса появились отечественные аналоги GPTчатов, злоумышленники научились использовать продвинутые дипфейки. При этом не просто пересылается письмо от имени VIP-клиента с его аватаркой, а генерируется аудиоили даже видеозвонок с похожим изображением и голосом с подмененного номера телефона.
Теперь риски такой атаки для клиента стали более существенны. Ведь она может быть осуществлена простыми и доступными способами. И все это наглядно можно продемонстрировать на вполне понятных для клиента действиях, не слишком сильно залезая в дебри терминологии и ИБ-технологии, как требовалось раньше!
Опыт Private Banking, накопленный за годы противодействий фишингу и социальной инженерии, оказался как нельзя кстати: нужно лишь правильно подготовиться и заранее выявить потенциальные уязвимости, типичные для конкретного VIP-клиента, чтобы затем продемонстрировать их как очевидные и легко выявляемые!
И в результате VIP-клиенту становится уже не так просто игнорировать риски ИБ, непосредственно связанные с его корпоративной структурой, – эффективно минимизировать их может лишь подразделение Private Banking! Причем банкиры готовы сделать и следующий шаг – постараться тиражировать этот опыт на малый и средний бизнес (МСБ), на котором выстроена корпоративная структура VIP-клиента.
И в дальнейшей эволюции таких продаж на МСБ снова востребован опыт Private Banking. Надо только на первых порах вместе с менеджером-продавцом корпоративного блока посадить персонального менеджера Private Banking, пока не сможет перенять опыт. Или безопасника, но снова из Private Banking, который к тому же умеет донести свою мысль до клиента правильно, в понятных терминах. Ну и точно рядом не должен сидеть банковский безопасник или представитель вендора – их еще надо учить таким тонким приемам. Тем более не годятся небанковский специалист по ИИ, небанковский аналитик или ИТджун, которые в хайповых технологиях разбираются лучше всех!
И тогда остается всего один шаг до предложения апробированных технологий Private Banking в области ИБ другим целевым банковским клиентам – МСБ и менее состоятельной рознице. Именно это сейчас начинают реализовывать отдельные средние и нишевые российские банки, просто обязанные в нынешних условиях быть адаптивными к новым перспективным технологиям.
ITSec_articles