Банки всегда были излюбленной мишенью преступников всех мастей. С развитием Интернета и появлением банковских веб-сайтов к ним добавились еще и киберзлоумышленники, которые атакуют финансовые организации уже в виртуальном пространстве. Одним из самых распространенных сегодня инструментов киберзлодеев являются DDoS-атаки, которые позволяют сделать сайт недоступным для пользователей, ставя тем самым под угрозу функционирование ряда процессов и операций, что, в свою очередь, может привести уже к прямым финансовым потерям из-за простоя сервисов.

К сожалению, DDoS сегодня является легко доступным инструментом в арсенале киберпреступников. Организация атак подобного рода достаточно проста в техническом плане и не требует больших финансовых вложений – стоимость создания ботнета, с помощью которого чаще всего и осуществляется атака, довольно невелика, а Интернет пестрит предложениями о продаже уже готовых и реально работающих ботнетов. Все это приводит к тому, что за относительно небольшие деньги практически любой человек может получить готовый инструмент для совершения атаки.

Для банков и финансовых организаций опасность DDoS-атак более чем актуальна, поскольку, как уже говорилось, этот сектор традиционно является для киберпреступников лакомым куском. О высокой заинтересованности злоумышленников в выводе из строя веб-ресурсов банков может свидетельствовать хотя бы та настойчивость, с которой они продолжают атаковать банковские сайты на протяжении длительного времени.

Ярким тому подтверждением служит одна из самых крупных и продолжительных по времени DDoS-кампаний, направленных на банковские ресурсы, которой стала операция «Абабиль», охватившая американский финансовый сектор. Первые атаки начались в сентябре 2012 года и с некоторыми промежутками продолжались на протяжении 2013 года. За время активной деятельности киберпреступников веб-сайты 15-ти крупнейших американских банков были недоступны совокупно 249 часов. Для сравнения: год назад суммарный простой тех же объектов за тот же период составил 140 часов. Это мощнейшее DDoS-наступление на сферу банковских услуг до сих пор периодически, несколько раз в квартал, продолжает досаждать клиентам и службам безопасности банков. В феврале 2013 года атакующие взяли тайм-аут, а затем вновь пошли на приступ. В марте DDoS-атаке подвергся веб-сервис JPMorgan Chase, в результате чего у некоторых клиентов возникли проблемы с доступом. В том же месяце аналогичные нападения были совершены на сайты Wells Fargo и American Express, а в начале апреля злоумышленники вновь попытались вывести из строя онлайн-ресурс Wells Fargo. При этом организаторы кампании «Абабиль» демонстрируют не только высокий технический уровень и хорошее знание способов защиты от DDoS, но также наличие большого потенциала. Применяемая ими техника позволяет в разы увеличивать мощность атаки при весьма ограниченной базе, однако эксперты сходятся во мнении, что злоумышленники пускают в ход лишь часть своих резервов.

Российские банки, разумеется, также регулярно становятся жертвами разных киберпреступников. Одна из известных историй произошла в начале октября 2013 года. Волна DDoS-атак, за организацией которых стояла хакерская группировка Anonymous Caucasus, затронула сразу пять крупнейших банков страны: Сбербанк, Альфа-банк, Газпромбанк, ВТБ и Центробанк России. На протяжении недели «Лаборатория Касперского» фиксировала последовательные и достаточно продолжительные атаки на веб-порталы банков, которые обычно начинались в первой половине дня и в ряде случаев продолжалась в течение суток. Поскольку некоторые банки на момент атак были клиентами «Лаборатории Касперского», а еще часть оперативно обратилась к экспертам компании, серьезных сбоев в работе веб-сайтов удалось избежать. Так, банки-клиенты «Лаборатории Касперского» использовали для своей защиты сервис Kaspersky DDoS Prevention, принцип защиты в котором сводится к тому, что весь «мусорный» трафик атаки, приводящий к недоступности ресурса, проходит через распределенные центры фильтрации, где и отсекается. Таким образом, защищаемый ресурс получает лишь легитимные запросы пользователей и способен продолжать работу даже во время атаки.

В целом угрозы, которые для банков создает DDoS, можно разделить на 3 основные категории. Во-первых, подобные атаки ведут к недоступности веб-площадки. И проблема здесь не только в том, что сайт банально «не открывается». Во многих банках все сервисные механизмы, в том числе онлайн-банкинг и клиент-банк и уж тем более информационные сервисы о новых продуктах и предложениях доступны именно через сайт. В связи с этим недоступность сайта для любого пользователя автоматически означает недоступность большинства сервисов. Вполне возможно, например, было бы взаимодействовать с банком с помощью системы смс-банкинга, но клиент, заходя в Интернет и видя неработающий сайт, приходит к выводу, что банк вообще не работает. Рядовой пользователь не видит разницы между простой недоступностью сайта и взломом самых важных банковских систем, которые управляют его сбережениями; в его понимании такая ситуация означает только одно – аккаунт взломан и кто-то получил доступ к его деньгам. Разумеется, взволнованный клиент теряет определенную долю лояльности и доверия к банку.

С другой стороны, помимо нанесения урона репутации DDoS-атака может привести к снижению числа транзакций и, как следствие, потерям в обороте банка. Сегодня в России больше половины платежных карт стали активными, т.е. люди не просто снимают деньги из банкоматов, но часто используют карты для совершения платежей напрямую. А все платежи по картам так или иначе происходят через Интернет: платежные терминалы, банкоматы, системы онлайн-банкинга, а также клиент-банк для работы с юридическими лицами – все они используют Интернет. Именно поэтому недоступность Сети и веб-ресурсов для банка фактически означает потерю связи с внешним миром: пока продолжается DDoS-атака и ресурсы остаются недоступными, банк не может обработать запросы на проведение транзакций.

Помимо затруднения взаимодействия банка с клиентами, DDoS-атака также может привести к потере связи с отделениями и филиалами в других географических регионах. В соответствии с требованиями регуляторов при территориально распределенной структуре взаимодействие центрального офиса банка и его дополнительных отделений осуществляется по защищенным VPN-каналам. А значительная часть этих каналов использует протокол UDP – в частности в России этими технологиями пользуются крупнейшие банки страны. В случае мощной DDoS-атаки, использующей коэффициент усиления (например, при атаке типа DNS Amplification), протокол UDP оказывается самым уязвимым, и поэтому канал быстро «замусоривается». Самым очевидным и действенным методом борьбы тут является «отрезание» UDP на атакуемый IP-адрес. Но в этом случае трафик перестает доставляться не только на адрес центрального офиса банка, ставшего жертвой атаки, но и на всю группу адресов, которая связывает географически распределенную структуру организации. Кроме того, если в адресном пространстве банка существовали какие-то сервисы по UDP-протоколу, они перестают функционировать при такой агрессивной защите. Другими словами, использование UDP-протоколов при современных методах DDoS-атак чревато тем, что даже при корректной очистке трафика по данному протоколу нельзя гарантировать полную работоспособность VPN-туннеля. И от этого в большинстве случаев будет наблюдаться частичная или полная недоступность связи между офисами, т.е. всеми теми системами, которые используют подобные соединения.

Организаторы DDoS-атаки могут преследовать еще одну коварную цель – путем вывода из строя веб-ресурсов скрыть от банка и его клиентов незаконные транзакции. В ряде случаев отсутствие доступности тех или иных сервисов не позволяет провести процесс онлайн-верификации. К примеру, злоумышленники с помощью целенаправленной атаки похищают пароль к системе клиент-банка, и как только они видят, что на счете скопилось приличное количество денег, робот мгновенно снимает и переводит эти деньги на другой счет (как правило, это происходит в выходные), а сразу после этого организовывается DDoS-атака на несколько часов в качестве «прикрытия» этой незаконной операции. Этого вполне достаточно для того, чтобы ни сам банк, ни контрагент банка, которого атаковали, не мог бы через онлайн-службу проверить свой счет и отследить, что там происходит. Ну а после того, как проходит какое-то время, деньги найти уже почти невозможно. Такие атаки-«ширмы» были распространены в России несколько лет назад, но сейчас, к счастью, они достаточно редки в нашей стране, а вот на Украине, к примеру, до сих пор пользуются популярностью у злоумышленников.

Если говорить о типах DDoS-атак в техническом плане, то выделяют атаки сетевого уровня и уровня приложений. В первом случае целью является сетевая инфраструктура, когда происходит «забивание» канала мусорным трафиком или отказывает сетевое оборудование, потому что маршрутизаторы не справляются с гигантским потоком мелких пакетов. В случае же с атаками на приложения сетевая инфраструктура продолжает работать, но веб-сайт оказывается недоступен. На сегодняшний день такие атаки встречаются все реже, поскольку их организация требует больших усилий со стороны нападающих. Для атаки банков чаще всего преступники выбирают сетевые или комплексные атаки, которые дают больше шансов достичь поставленных целей при минимальных затратах.

Отдельно хотелось бы отметить, что мощность DDoS-атак в последнее время резко выросла, и это свидетельствует о том, что злоумышленники освоили более сложные приемы. Особенно часто киберпреступники задействуют более совершенные в техническом плане средства при атаках на слабо защищенные ресурсы: т.е. если веб-портал изначально имеет систему защиты от DDoS и не сдается под натиском небольшой атаки, злоумышленники просто увеличивают мощность до критических показателей, когда слабое защитное решение уже не способно адекватно противодействовать. Так, по данным «Лаборатории Касперского», во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, а в 2013 году планка поднялась до 2,3 Гб/с. При этом получившие в Рунете популярность атаки типа UDP Flood с использованием DNS Amplification (специального метода, имеющего «плечо» – коэффициент усиления) по мощности превышали даже 60 Гб/с. Помимо мощности выросла и продолжительность атак. Если в конце 2012 года специалисты «Лаборатории Касперского» установили, что средняя атака длилась 7 часов, то в 2013 году они отметили, что этот показатель вырос до 14 часов.

Для организации любой DDoS-атаки, а тем более мощной и длительной, преступники, как правило, заимствуют мощь тысяч зараженных вредоносными программами компьютеров, создающих ботнет. Противостоять им может только равная по силе специальная система обороны. Если же таковой у атакуемого банка нет, то недоступность ресурса и, следовательно, упомянутые выше потери от DDoS-атак неизбежны. Более того, серьезные киберинциденты дорого обходятся жертвам. По оценкам экспертов, на ликвидацию последствий современной DDoS-атаки организации тратят до 6,5 тыс. долларов в час — и это без учета упущенной выгоды за время простоя.