Код компьютерного инцидента
|
Наименование компьютерного инцидента
|
Возможные векторы инцидента
|
Критерий информирования
|
Код компьютерной атаки
|
Наименование компьютерной атаки
|
Возможные векторы атаки
|
Критерий информирования
|
[DoS]
|
Замедление работы ресурса в результате атаки типа "Отказ в обслуживании"
|
[INT] - направлено на объекты информатизации финансовой организации
|
Выявлен факт осуществления DoS-атаки (в процессе или завершившейся) с полным или частичным прерыванием доступности или деградацией сервиса, используемого для проведения банковских или финансовых операций
|
[DoS]
|
Компьютерная атака типа "Отказ в обслуживании"
|
[INT] - направлено на объекты информатизации финансовой организации
|
В течение отчетного периода были выявлены попытки осуществления DoS-атаки (в процессе или завершившейся), если профиль объема трафика превышает показатели, установленные внутренними регламентами организации (в случае отсутствия такого показателя, вырос более чем в пять раз от обычного значения) и контролируемый ресурс продолжает функционировать в штатном режиме без деградации в производительности.
|
Имеется информация об источниках вредоносной активности
|
[Application compromise]
|
Успешная эксплуатация уязвимости
|
[INT] - направлено на объекты информатизации финансовой организации
|
Зафиксирован факт успешной эксплуатации уязвимости на оборудовании или в программном обеспечении организации
|
[Exploit attempt]
|
Попытки эксплуатации уязвимости
|
[INT] - направлено на объекты информатизации финансовой организации
|
В течение отчетного периода были выявлены попытки эксплуатации уязвимостей на оборудовании или в программном обеспечении организации.
|
Имеется информация об источниках вредоносной активности, а также описание эксплуатируемых уязвимостей в системе описания уязвимостей или сформировано экспертное мнение участника об уязвимости, не описанной ни в одной системе описания уязвимостей
|
[Malware infection]
|
Заражение ВПО
|
[EXT] - направлено на клиента финансовой организации
|
Выявлен факт исполнения вредоносного кода на устройстве клиента, позволившее осуществить финансовую операцию без согласия клиента.
|
[Infection attempt]
|
Попытки внедрения модулей ВПО
|
[EXT] - направлено на клиента финансовой организации
|
В течение отчетного периода были выявлены ресурсы в сети Интернет, содержащие вредоносный код или информацию, позволяющую осуществить неправомерный доступ к информационным системам участников информационного обмена и их клиентов, используемым при предоставлении (получении) финансовых услуг, в том числе путем неправомерного доступа к конфиденциальной информации клиентов
|
Имеется образец вредоносного кода, его часть или подозрительный по мнению участника файл, который ранее не передавался в ФинЦЕРТ
|
[INT] - направлено на объекты информатизации финансовой организации
|
Выявлен факт исполнения вредоносного кода:
- на рабочих станциях, ноутбуках, планшетах сотрудников, на которых осуществляется исполнение функциональных обязанностей;
- на серверах и сетевом оборудовании организации;
- на устройствах самообслуживания, станциях POS-терминалов и ATM;
- на ином оборудовании организации, на котором возможно исполнение вредоносного кода и компрометация которого по мнению участника может привести к ущербу организации
|
[INT] - направлено на объекты информатизации финансовой организации
|
В течение отчетного периода был обнаружен вредоносный код:
- в теле сообщения электронной почты;
- на рабочих станциях, ноутбуках, планшетах сотрудников, на которых осуществляется исполнение функциональных обязанностей;
- на серверах и сетевом оборудовании организации;
- на устройствах самообслуживания, станциях POS-терминалов и ATM;
- на ином оборудовании организации, на котором возможно детектирование вредоносного кода и компрометация которого по мнению участника может привести к ущербу организации.
Имеется образец вредоносного кода, его часть или подозрительный по мнению участника файл, не направлявшийся ранее в ФинЦЕРТ
|
[Account compromise]
|
Компрометация учетной записи
|
[EXT] - направлено на клиента финансовой организации
|
Выявлен факт компрометации аутентификационных данных (логинов-паролей) клиента, позволивший осуществить финансовую операцию без согласия клиента.
|
[Login attempt]
|
Неуспешные попытки авторизации
|
[EXT] - направлено на клиента финансовой организации
|
В течение отчетного периода были выявлены факты перебора аутентификационных данных (логинов-паролей), электронных почтовых адресов, папок сервера, URL различных веб-интерфейсов или зафиксирована попытка получения любых иных вышеуказанным методом данных.
|
Имеется информация об источниках компрометации учетных данных или источниках вредоносной активности
|
В ходе реагирования на атаку удалось установить, что перебор НЕ вызван ошибочными действиями легитимного пользователя, ошибками конфигурации или функционированием средств анализа защищенности, используемых участником.
|
Количество неуспешных попыток перебора для одного логина превышает показатели, установленные внутренними регламентами организации (в случае отсутствия такого показателя, превышает 5 неуспешных попыток).
|
Имеется информация об источниках вредоносной активности
|
[INT] - направлено на объекты информатизации финансовой организации
|
Выявлен факт компрометации аутентификационных данных (логинов-паролей), электронных почтовых адресов, папок сервера, URL различных веб-интерфейсов
|
[INT] - направлено на объекты информатизации финансовой организации
|
|
[Prohibited content]
|
Публикация на контролируемом ресурсе запрещенной законодательством РФ информации
|
[INT] - направлено на объекты информатизации финансовой организации
|
В контролируемом ресурсе выявлена информация, запрещенная законодательством РФ
|
|
[Traffic hijacking]
|
Захват сетевого трафика
|
[INT] - направлено на объекты информатизации финансовой организации
|
Выявлен факт изменения маршрутно-адресной информации. Инцидент актуален для тех финансовых организаций, которые содержат собственные AS, владеют собственными блоками IP-адресов и анонсируют их на бордерах операторов связи, арендуют IP-адреса либо разместили свои ресурсы в арендованой инфраструктуре, и атаки типа BGP-hijack были направлены по сути на "арендодателя"
|
|
[Unauthorised modification]
|
Несанкционированное изменение информации
|
[INT] - направлено на объекты информатизации финансовой организации
|
Выявление факта несанкционированной модификации защищаемой информации, обрабатываемой в контролируемом ресурсе, или передаваемой по каналам связи
|
|
[Unauthorised access]
|
Несанкционированное разглашение информации
|
[INT] - направлено на объекты информатизации финансовой организации
|
Выявление факта несанкционированного разглашения защищаемой ("чувствительной") информации (например, код на гитхабе, в котором забыли удалить комментарии/логины-пароли), обрабатываемой в контролируемом ресурсе, или передаваемой по каналам связи
|
|
[Attack using resource]
|
Использование контролируемого ресурса для проведения атак
|
[INT] - направлено на объекты информатизации финансовой организации
|
Выявлен факт использования контролируемого ресурса для проведения атак на другие объекты информационной инфраструктуры
|
|
[Without attack]
|
Инцидент, не связанный с компьютерной атакой
|
[INT] - направлено на объекты информатизации финансовой организации
|
Выявлен факт нарушения или прекращения функционирования объекта КИИ или сети электросвязи, используемой для организации взаимодействия таких объектов, не связанный с компьютерной атакой на объект КИИ или сети электросвязи
|
|
[Social engineering]
|
Социальная инженерия
|
[EXT] - направлено на клиента финансовой организации
|
Успешная реализация атаки, направленная на клиентов организации или контрагентов, которая привела к финансовым потерям, утечки конфиденциальной информации или другим значимым последствиям, с использованием:
- звонка с телефонного номера;
- СМС-сообщения;
- электронной почты;
- систем мгновенного обмена сообщениями (мессенджерами);
- иного канала взаимодействия с клиентами или контрагентами.
|
[Social engineering]
|
Попытки социальной инженерии
|
[EXT] - направлено на клиента финансовой организации
|
В течение отчетного периода были выявлены факты использования методов социальной инженерии в отношении работников организации, клиентов организации или контрагентов с использованием:
- звонка с телефонного номера;
- СМС-сообщения;
- электронной почты;
- систем мгновенного обмена сообщениями (мессенджерами);
- иного канала обмена информацией внутри организации или взаимодействия с клиентами или контрагентами.
|
[INT] - направлено на объекты информатизации финансовой организации
|
Наличие информации, с использованием которой осуществлялось применение методов социальной инженерии, в том числе номер телефона, e-mail-адрес, технический заголовок письма, текст письма/СМС/сообщения системы мгновенных сообщений и т.д.
|
Наличие информации, с использованием которой осуществлялось применение методов социальной инженерии, в том числе номер телефона, e-mail-адрес, технический заголовок письма, текст письма/СМС/сообщения системы мгновенных сообщений и т.д.
|
[INT] - направлено на объекты информатизации финансовой организации
|
Успешная реализация атаки, направленная на работников организации, которая привела к финансовым потерям, утечки конфиденциальной информации или другим значимым последствиям, с использованием:
- звонка с телефонного номера;
- СМС-сообщения;
- электронной почты;
- систем мгновенного обмена сообщениями (мессенджерами);
- иного канала обмена информацией внутри организации
|
[SIM]
|
Изменение (подмена) идентификатора мобильного абонента (IMSI), идентификатора мобильного оборудования (IMEI) или сим-карты
|
[EXT] - направлено на клиента финансовой организации
|
Получение обращения (уведомления, заявления) клиента о проведении финансовой операции без его согласия с использованием сим-карты, которая была несанкционировано заменена
|
|
[Phishing]
|
Выявление фишинговой рассылки или ресурса
|
[EXT] - направлено на клиента финансовой организации
|
В течение отчетного периода были выявлены ресурсы в сети Интернет, содержащие информацию, вводящую участников информационного обмена и их клиентов, а также иных взаимодействующих с ним лиц в заблуждение, вследствие сходства доменных имен, оформления и (или) содержания ресурса с оформлением и (или) содержанием официальных ресурсов участника, его клиентов, других участников, их клиентов или контрагентов.
|
Наличие URL фишингового ресурса.
|
Дополнительно выявлены промежуточные инфраструктурные элементы фишинговой инфраструктуры (промежуточные сервера для проксирования пользователя к фишинговой странице) или зарегистрированные, но еще не анонсированные доменные имена с признаками фишинга (хотя де-юре такое доменное имя как бы уже "опубликовано" в регистратуре ТЦИ и т.п.)
|
[INT] - направлено на объекты информатизации финансовой организации
|
В течение отчетного периода были выявлены фишинговые сообщения, содержащие в электронном почтовом адресе отправителя в любом варианте написания слова "bank", "cbr", "fincert", "fsb", "fssp", "mvd", "pfrf", "npf", "gosuslugi", а также иные слова, схожие с наименованиями органов государственной власти, государственных автоматизированных систем, участников финансового рынка (согласно техническим заголовкам не может быть отправлено с легитимного почтового адреса).
|
Наличие источников фишинговой рассылки
|
[Scanning]
|
Сетевое сканирование контролируемого ресурса
|
[INT] - направлено на объекты информатизации финансовой организации
|
В течение отчетного периода были выявлены факты сканирования контролируемых ресурсов и если профиль объема трафика сканирования превышает показатели, установленные внутренними регламентами организации (в случае отсутствия такого показателя, вырос в пять раз от обычного значения).
|
Наличие сведений об источниках сканирования
|