Вернуться

Тест на проникновение в банке топ-20 в России по размеру активов

сотрудников попались на удочку фишинга и отдали учетные данные

Проблема

За 2024 год число кибератак на банки увеличилось в 2 раза. При этом финансовый сектор занял 3-е место в рейтинге самых атакуемых отраслей.
Для любого банка защита информации является одной из самых важных задач, поскольку проникновение злоумышленника в сеть влечет за собой утечку конфиденциальных данных, ставит под угрозу контрагентов прямые финансовые потери и долговременный ущерб репутации.

Особенность

Клиент ежедневно обеспечивает проведение более миллиона финансовых операций, которые попадают под защиту закона о банковской тайне (статья 857 ГК РФ).

Также клиент должен выполнять требования Банка России: проведение тестов на проникновение является обязательным при расчете Банком России ставки по нормам резервирования.

Запрос

Поиск и анализ «чувствительной» информации о Клиенте по открытым источникам, которая может способствовать проведению кибератаки (OSINT)
Оценка эффективности имеющихся СЗИ и ПО и возможности их использования злоумышленником
Проверка инфраструктуры на наличие уязвимостей, которые хакеры могут использовать в векторе атаки
Тестирование на проникновение веб-приложений, внешнего периметра и внутренней сети по схеме black box, в т.ч. с использованием методов социальной инженерии

Что было сделано белыми хакерами Simplity:

Установили основные домены, составили список ресурсов, обнаружили в открытом доступе список эл.почт сотрудников и конфигурационные файлы
Провели анализ инфраструктуры – обнаружили уязвимые версии ПО приложений и служб информационной системы, ошибки конфигурации, недостатки в управлении доступом, позволяющих задействовать их в векторе атаки
Подтвердили возможность преодоления периметра и закрепления злоумышленника в сети с помощью ВПО
С помощью фишинга заполучили 4% доменных учетных записей из списка рассылки в рамках пентеста и выявили высокий, но недостаточный уровень бдительности сотрудников
Подобрали пароль к 0,1% учетных записей методом брутфорса
Установили, что текущих настроек СЗИ и ПО недостаточно для полноценной защиты
Выявили уязвимость на веб-ресурсе Клиента – отсутствие проверки вводимых данных, которая позволяет вставить свой код и получить валидные учетные данные
Продемонстрировали возможность утечки конфиденциальной информации о сотрудниках и клиентах банка, и захвата существенной части инфраструктуры Клиента
Подтвердили потенциальную возможность реализации недопустимых событий, как остановка бизнес-процессов, нарушение коммуникации между филиалами, удаление существенных данных с использованием в векторе атаки скомпроментированных учетных записей, локальных и
Подготовили рекомендации по парольной политике и внедрению двухфакторной аутентификации
Подготовили пакет необходимых изменений в инфраструктуре клиента с целью повышения уровня защищенности

4% - это много или мало?

На первый взгляд цифра выглядит небольшой. Но если говорить о 4% сотрудников компании из выборки, которые ввели учетные данные в форму фишинговой рассылки и предоставили потенциальным злоумышленникам доступ в инфраструктуру банка, то налицо существенная угроза безопасности.

Для получения злоумышленником доступа в сеть достаточно всего 1 учетной записи.

Для борьбы с любыми способами утраты учетных данных (будь то утечки или социотехнические уловки киберпреступников) команда Simplity рекомендует двухфакторную аутентификацию.

Что дает второй фактор компаниям предлагаем узнать из кейсов:

Результат

Клиент в деталях узнал возможные «маршруты» злоумышленников к критическим сервисам и данным
Клиент работает над устранением обнаруженных уязвимостей для реализации векторов атак
Клиент перестроил систему информационной защиты в соответствии с рекомендациями
Клиент рассматривает внедрение дополнительных средств защиты на внешнем и внутреннем периметрах
Клиент получил представление о реакции сотрудников на социотехнические атаки и план повышения их устойчивости

Сотрудничать
с Simplity