Positive Technologies выделила основные киберугрозы, с которыми может столкнуться финансовый сектор в ближайшем будущем. Среди них — кибератаки с использованием шифровальщиков, QR-кодов, эксплуатация уязвимостей API, DDoS-кампании, а также атаки на поставщиков и партнеров. К таким выводам эксперты пришли в результате анализа инцидентов безопасности и публичной информации об угрозах для банков и других кредитных учреждений.
Финансовая отрасль продолжает оставаться в пятерке самых атакуемых киберпреступниками секторов, по данным Positive Technologies за период 2024 год — I квартал 2025 года. В 67% успешных кибератак злоумышленники похищали данные и шантажировали жертву их уничтожением или раскрытием. Еще 26% инцидентов вызвали перебои в работе организаций, а 5% привели к хищению средств.
В 57% успешных кибератак на финансовые организации в 2024 году использовалась социальная инженерия, и, по мнению аналитиков, число подобных инцидентов продолжит расти. Киберпреступники будут использовать генеративные возможности искусственного интеллекта (ИИ) для создания убедительных рассылок, а сторона защиты будет применять ИИ для распознавания сгенерированного контента.
Значительные риски несет и активное внедрение программных интерфейсов (API): без должной защиты они могут стать еще одной точкой входа для киберпреступников. Усугубит проблему рост числа теневых, а значит незащищенных API, а также широкое внедрение ИИ в финансовой сфере. Согласно отчету Wallarm, за 2024 год количество уязвимых API с ИИ выросло в 10 раз.
Другой киберугрозой в 2025–2026 годах, по мнению исследователей, станет продолжающийся рост числа атак через подрядчиков и поставщиков. В поисках возможности проникнуть в инфраструктуру крупных финансовых компаний злоумышленники будут чаще атаковать менее защищенных партнеров. При этом малому и среднему бизнесу тоже будет нанесен ущерб — особенно если киберпреступники не смогут продвинуться к первоначальной цели.
Злоумышленники продолжают использовать легальные и популярные инструменты в мошеннических схемах. Например, участились атаки с использованием QR-кодов. Хакеры подменяют оригинальные изображения на мошеннические в общественных местах, а также обходят защиту эл. почты, используя сложность обнаружения QR-кодов в письмах. В перспективе мы ожидаем появление вредоносного ПО для подмены QR-кодов непосредственно на экране устройства при оплате. Поэтому уже сегодня необходимо внимательно относиться к QR-кодам и не переходить по тем, источник которых сомнителен. При этом эволюционируют и средства защиты. Например, компания может обезопасить себя от писем с вредоносными QR-кодами с помощью песочницы PT Sandbox, которая умеет находить их на изображениях в теле письма или во вложениях, извлекает содержащиеся в них ссылки и проверяет на вредоносность.
Роман Резников
Аналитик исследовательской группы Positive Technologies
Серьезную опасность также несет рынок «доступов как услуги» (access as a service): по данным Positive Technologies, почти каждое десятое (9%) сообщение в дарквебе о продаже доступов относится к финансовой отрасли. Проблема может обостриться на фоне активного применения злоумышленниками новых технологий и снижения порога входа в киберпреступность: новички, не способные самостоятельно развить атаку, будут продавать найденные доступы более опытным коллегам.
Кроме того, ожидается рост числа атак с использованием шифровальщиков. Уже сегодня вымогатели предлагают жертвам заплатить им сумму меньшую, чем потенциальный штраф за утечку данных. Вероятно, что в странах с оборотными штрафами — России, Бразилии и Китае — такие схемы будут встречаться все чаще.
По мнению аналитиков, сохранится высокая активность DDoS-кампаний против финансового сектора. В 2025 году хакеры продолжат создавать масштабные сети зараженных IoT-устройств и применять ИИ для проведения адаптирующихся под действия жертвы атак.
Для защиты от киберугроз финансовым организациям необходимо выстраивать комплексную кибербезопасность на основе современных продуктов: межсетевого экрана нового поколения (NGFW), например PT NGFW, для защиты от кибератак и настройки политик безопасности; межсетевого экрана уровня веб-приложений (web application firewall, WAF), в частности PT Application Firewall, для обнаружения и блокирования атак, включая угрозы из списка OWASP Top 10; SIEM-систем, например MaxPatrol SIEM, для обнаружения действий злоумышленников в инфраструктуре и на конечных устройствах, в том числе с помощью интеграции с решениями класса EDR (например, MaxPatrol EDR). Кроме того, для защиты от вредоносного программного обеспечения и обнаружения продвижения хакера внутри сети нужно использовать песочницы (PT Sandbox) и NTA- или NDR-системы (PT NAD).
