Кибератака на Tesco Bank 2016
Кибератака на Tesco Bank 2016 — инцидент в сфере информационной безопасности, произошедший в ноябре 2016 года, в результате которого злоумышленники похитили средства с банковских счетов клиентов британского банка Tesco Bank. Атака считается одной из крупнейших в истории британского розничного банкинга и привела к ущербу в размере около 2,5 миллиона фунтов стерлингов, а также к значительным репутационным и регуляторным последствиям для финансового учреждения.
Предпосылки
Tesco Bank — дочерняя компания британской розничной сети Tesco, предоставляющая финансовые услуги, включая текущие счета, кредитные карты, ипотеку и страхование. На момент инцидента банк обслуживал около 7 миллионов клиентов. В 2016 году Tesco Bank активно развивал цифровые каналы обслуживания, что делало его уязвимым для кибератак, характерных для финансового сектора. Предшествующие инциденты в других банках (например, атака на JPMorgan Chase в 2014 году) показали, что злоумышленники всё чаще нацеливаются на системы онлайн-банкинга.
Хронология событий
5–6 ноября 2016 года
В ночь с 5 на 6 ноября 2016 года клиенты Tesco Bank начали массово сообщать о несанкционированных транзакциях с их текущих счетов. Злоумышленники осуществляли мелкие, но многочисленные переводы (от 0,01 до 600 фунтов стерлингов) на счета в других банках, в том числе за пределами Великобритании. По данным Управления по финансовому регулированию и надзору Великобритании (FCA), атака затронула 9 058 счетов, с 8 847 из которых были похищены средства. Общая сумма ущерба составила 2,5 миллиона фунтов стерлингов.
Реакция банка
6 ноября 2016 года Tesco Bank приостановил все операции по текущим счетам в интернет-банкинге и мобильном приложении, а также временно заблокировал возможность совершения онлайн-транзакций. Банк заявил, что работает совместно с Национальным агентством по борьбе с преступностью (NCA) и Центром кибербезопасности Великобритании (NCSC). Клиентам, пострадавшим от атаки, было обещано полное возмещение убытков. В течение нескольких дней банк восстановил доступ к счетам, однако некоторые клиенты жаловались на задержки в возврате средств.
Расследование
Расследование инцидента проводили FCA, NCA и NCSC. В 2018 году FCA опубликовало отчёт, в котором установило, что Tesco Bank нарушил Принцип 6 правил FCA (честное отношение к клиентам) и Принцип 3 (управление и контроль). В частности, регулятор отметил, что банк не смог своевременно выявить и предотвратить атаку, а также не имел адекватных механизмов защиты от мошенничества. В 2018 году Tesco Bank был оштрафован на 16,4 миллиона фунтов стерлингов за недостатки в системах безопасности.
Технические аспекты атаки
Метод атаки
Точный вектор атаки не был раскрыт публично, однако по данным расследования, злоумышленники использовали комбинацию методов:
- Кража учётных данных: вероятно, через фишинг или утечки данных из сторонних сервисов.
- Автоматизированные транзакции: с помощью ботов, которые генерировали множество мелких переводов.
- Использование уязвимостей в системе онлайн-банкинга: возможно, через подмену сессий или атаки типа «человек посередине» (MITM).
Объект атаки
Атака была направлена на текущие счета клиентов, а не на кредитные карты или сберегательные счета. Злоумышленники не получали доступ к конфиденциальным данным (паролям, PIN-кодам, номерам карт), а лишь осуществляли несанкционированные переводы. Это указывает на то, что атака была нацелена на процессинговые системы, а не на базы данных.
Последствия
Финансовые последствия
- Прямой ущерб: 2,5 миллиона фунтов стерлингов, возмещённых клиентам.
- Штраф FCA: 16,4 миллиона фунтов стерлингов (снижен с 33,6 миллиона за сотрудничество).
- Репутационные издержки: снижение доверия клиентов, падение акций материнской компании Tesco на 2% в день объявления об атаке.
Регуляторные последствия
Инцидент привлёк внимание британских и европейских регуляторов к вопросам кибербезопасности в финансовом секторе. В 2018 году вступил в силу Общий регламент по защите данных (GDPR), который ужесточил требования к защите персональных данных. Кроме того, FCA усилило надзор за системами управления рисками в банках.
Влияние на отрасль
Атака на Tesco Bank стала прецедентом, показавшим, что даже крупные банки с развитыми системами безопасности могут быть уязвимы для целенаправленных кибератак. После инцидента многие британские банки пересмотрели свои политики безопасности, внедрили многофакторную аутентификацию и усилили мониторинг подозрительных транзакций.
Критика и уроки
Критика действий Tesco Bank
- Медленная реакция: банк не смог оперативно заблокировать подозрительные транзакции, что позволило злоумышленникам вывести средства в течение нескольких часов.
- Недостаточная защита: FCA отметила, что Tesco Bank не имел адекватных систем для обнаружения аномалий в транзакциях.
- Проблемы с коммуникацией: некоторые клиенты жаловались на отсутствие своевременной информации о статусе их счетов.
Уроки для отрасли
- Необходимость проактивного мониторинга: системы обнаружения мошенничества должны работать в реальном времени.
- Многофакторная аутентификация: внедрение дополнительных факторов проверки (например, одноразовые коды) снижает риск кражи учётных данных.
- Регулярное тестирование на проникновение: банки должны проводить «красные команды» для выявления уязвимостей.
- План реагирования на инциденты: чёткие процедуры для быстрого блокирования атак и уведомления клиентов.
Сравнение с другими атаками
Атака на Tesco Bank 2016 года сопоставима с другими крупными инцидентами в финансовом секторе:
- Атака на JPMorgan Chase (2014): утечка данных 76 миллионов клиентов, но без прямого хищения средств.
- Атака на Bangladesh Bank (2016): хищение 81 миллиона долларов через систему SWIFT, но с использованием внутренних уязвимостей.
- Атака на Capital One (2019): утечка данных 106 миллионов клиентов, но без непосредственного доступа к счетам.
В отличие от этих инцидентов, атака на Tesco Bank была направлена именно на хищение средств с текущих счетов, а не на кражу данных.
Интересные факты
- Атака произошла в выходные дни, когда банковские службы безопасности работали в сокращённом режиме.
- Злоумышленники использовали счета в других британских банках для получения похищенных средств, что затруднило их отслеживание.
- Tesco Bank потратил около 1 миллиона фунтов стерлингов на консультации по кибербезопасности после инцидента.
- Ни один из злоумышленников не был публично идентифицирован или привлечён к ответственности.
Источники
- Отчёт Управления по финансовому регулированию и надзору Великобритании (FCA) о нарушении Принципов 3 и 6 (2018).
- Материалы Национального агентства по борьбе с преступностью (NCA) по делу о кибератаке на Tesco Bank.
- Публикации Центра кибербезопасности Великобритании (NCSC) о методах защиты от автоматизированных атак.
- Статьи в британских деловых изданиях (Financial Times, The Guardian, BBC News) за ноябрь 2016 года.
- Аналитические отчёты компаний в сфере кибербезопасности (Kaspersky, Symantec) о тенденциях в атаках на финансовый сектор в 2016 году.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →