Киберугрозы финансовой отрасли: прогноз на 2025–2026 г.

Ключевые выводы исследования:

• Наиболее распространенные методы кибератак на финансовые организации в 2024 году и начале 2025 года — фишинговые письма, программы-вымогатели и DDoS-атаки.
• Чаще всего кибератаки на финансовые организации приводили к утечкам конфиденциальных данных и перебоям в работе.
• В 2025—2026 годах на кибербезопасность финансовой отрасли наибольшее влияние окажут эксплуатация уязвимостей API и атаки на поставщиков и партнеров.
• Недооценка рисков, связанных с внедрением искусственного интеллекта, и отсутствие контроля за его работой могут в ближайшие годы привести к падению уровня защищенности организаций.
• Несмотря на сложность атак на технологию блокчейна, киберпреступники уже активно проводят кибератаки на инфраструктуру и код блокчейн-проектов, похищают децентрализованную валюту и взламывают смарт-контракты.

Несмотря на сложность атак на технологию блокчейна, киберпреступники уже активно проводят кибератаки на инфраструктуру и код блокчейн-проектов, похищают децентрализованную валюту и взламывают смарт-контракты.

Отчет содержит информацию об актуальных общемировых угрозах информационной безопасности для финансовой отрасли, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

Среди анализируемых финансовых организаций — банки и другие кредитные организации, страховые компании, операторы платежных систем, профессиональные участники рынка ценных бумаг, микрофинансовые организации, инвестиционные фонды.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы киберпреступников, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

В исследовании «Киберугрозы финансовой отрасли: 2023—2024» мы рассмотрели актуальные угрозы, изучили теневой рынок и сформулировали основные недопустимые события для компаний из финансовой сферы. В новой части исследований, посвященных финансовой отрасли, мы оценили, какие методы кибератак будут наиболее актуальными в ближайшие годы, а также какие угрозы возникают с внедрением новых технологий.

Финансовая отрасль входит в топ-5 самых атакуемых киберпреступниками индустрий, на нее пришлось, по нашим данным, 5% успешных кибератак за период 2024 — I квартал 2025 года во всем мире и 7% в России.

В некоторых регионах и странах организации финансовой отрасли занимают еще более высокие позиции в антирейтинге внимания киберпреступников; например, по итогам 2024 года финансовая отрасль вторая — после госучреждений — в ОАЭ и Малайзии и первая в Мексике.

На ландшафт киберугроз для финансовых организаций оказывают влияние несколько ключевых особенностей отрасли:

• Ключевая роль в экономике. Финансовые организации обеспечивают стабильную работу экономики государства, охватывая широкий перечень задач, начиная от предоставления финансовых услуг частным лицам и заканчивая поддержанием стабильности национальной валюты. Важность финансовых организаций для государства делает их одной из приоритетных целей для APT-группировок и хактивистов.
• Обработка больших объемов конфиденциальных данных. Финансовые организации обрабатывают значительные объемы чувствительных данных клиентов, таких как финансовые, персональные, биометрические, медицинские. Изобилие разнообразных данных в сочетании с платежеспособностью клиентов делает финансовые организации привлекательной целью для вымогателей и других финансово мотивированных киберпреступников.
• Высокая внутренняя связанность. Стабильная работа финансовых организаций зависит от большого числа их связей друг с другом, а также с подрядчиками и поставщиками информационных решений и услуг. Неравномерный уровень защищенности различных организаций в отрасли позволяет злоумышленникам проводить атаки через поставщиков и подрядчиков даже на самые защищенные компании.
• Необходимость непрерывной работы. Любые перебои в предоставлении финансовых услуг негативно сказываются на репутации и прибыли финансовых организаций, а атаки на крупные организации могут приводить к проблемам на уровне государства. Потенциальный ущерб от любых перебоев привлекает как активно использующих DDoS-атаки хактивистов, так и операторов шифровальщиков.

Атакуя финансовые организации, киберпреступники стремятся достичь различных целей, в том числе похитить данные (67% успешных кибератак) и шантажировать жертву их уничтожением или раскрытием, вызвать перебои в работе (26%), похитить деньги (5%), нанести репутационный ущерб.

Важно отметить, что одна кибератака может приводить к целому ряду последствий и недопустимых событий. К примеру, в июне 2024 года вымогатели RansomHub атаковали кредитную организацию Patelco, отказавшуюся платить выкуп. Атака привела к утечке конфиденциальных данных клиентов, двухнедельным сбоям в предоставлении ряда услуг из-за отключения банковских систем и к финансовому ущербу, оцениваемому в 39 млн долл.

Одна из заметных тенденций в действиях киберпреступников в 2024 году — рост числа атак на подрядчиков и поставщиков. Для финансовой отрасли проблема особенно актуальна из-за большого объема связей и взаимного обмена информацией между различными организациями. Атакуя подрядчиков и поставщиков, киберпреступники стремятся внедрить вредоносный код в цепочки поставок ИТ-решений, получить доступ к инфраструктуре компании через доступные доверенному партнеру ресурсы или нанести ущерб основной цели, вызвав сбои у поставщика услуг. Согласно отчету Банка России о кибератаках в финансовой сфере за 2024 год, компрометация подрядных организаций стала самым частым способом получения первоначального доступа к финансовым организациям страны.

Проблема атак на поставщиков встает все более остро на фоне продолжающегося роста рынка infrastructure as a service («инфраструктура как услуга»), особенно при условии, что поставщики ИТ-услуг могут одновременно работать с большим количеством финансовых организаций, из-за чего киберпреступники могут одной кибератакой нанести ущерб множеству компаний. Например, летом 2024 года атака группировки вымогателей RansomEXX на поставщика банковских технологических систем C-Edge Technologies привела к сбоям в предоставлении финансовых услуг примерно в 300 небольших банках в Индии. Эта атака хорошо демонстрирует важность выстраивания защиты от атаки на цепочку поставок, поскольку компания C-Edge Technologies сама была атакована через одного из партнеров.

В ближайшем будущем количество атак на финансовые организации через подрядчиков и поставщиков продолжит расти, киберпреступники будут обходить выстроенную систему киберзащиты крупных компаний через доверенные отношения с менее защищенными партнерами. Для защиты от таких атак необходимо внимательно подходить к оценке защищенности подрядчиков и партнеров и учитывать в модели угроз возможность их взлома, предоставлять минимальные доступы с жестким разграничением, использовать актуальные средства защиты, отслеживающие аномальную активность пользователей и приложений.

Тенденция к росту числа атак через доверенные отношения не только повлияет на безопасность крупных финансовых организаций, но и поставит под угрозу малый и средний бизнес, сотрудничающий с большими компаниями. Злоумышленники будут больше атаковать партнеров и поставщиков в поисках возможностей для дальнейшего развития атаки, но при этом будут вредить и промежуточным целям — особенно если не смогут продвинуться дальше.

Продажа первоначальных доступов — одна из основных услуг, предлагаемых в дарквебе, при этом, по данным нашего исследования, почти каждое десятое (9%) сообщение о продаже доступов относится к финансовой отрасли. Рынок «доступов как услуги» (access as a service) несет серьезную опасность для организаций финансовой отрасли, позволяя киберпреступникам не только эффективно проводить «разделение труда» (к примеру, оператор шифровальщика может быстро купить первоначальный доступ, а не получать его самостоятельно), но и осуществлять повторные атаки. Повторные атаки через один полученный киберпреступниками вектор проникновения могут произойти, например, если злоумышленники, которые уже добились своей цели или не способны дальше развить атаку, продают доступ другой группировке. О другом варианте повторной атаки на финансовую организацию через один и тот же первоначальный доступ сообщал ФинЦЕРТ: киберпреступники оставили бэкдор, который позволил снова провести атаку — даже после исправления первоначальной уязвимости.

Продажа первоначальных доступов останется серьезной проблемой в 2025 году, и ее значение будет только расти на фоне всеобщего роста цифровизации и снижения требований к навыкам злоумышленников из-за появления автоматизированных инструментов поиска и эксплуатации уязвимостей, а также из-за генерации фишинговых сообщений, в том числе с помощью ИИ. Начинающие злоумышленники, не способные самостоятельно развить атаку, будут продавать найденные доступы более умелым киберпреступникам.

Технологии программных интерфейсов внедряются в различные информационные системы, в том числе и в финансовой отрасли. Например, мировой рынок технологии open banking API, одного из ключевых элементов цифровизации бизнеса, растет примерно на 24% в год. В ближайшие годы рост внедрения API будет сохраняться: к примеру, Центральный Банк России предполагает введение обязательного использования открытых API для постепенно расширяющегося перечня компаний начиная с 2026 года.

Активное внедрение API несет за собой значительные риски ИБ, каждый программный интерфейс без должной защиты может стать точкой входа для киберпреступников; например, исследователи из Tenable обнаружили около 2000 уязвимых API в ведущих финансовых и страховых компаниях Юго-Восточной Азии. Сейчас злоумышленники изучают возможности и перспективы взлома API, и количество атак на них уже начинает расти. Необходимо учитывать и потенциальное усугубление проблемы из-за теневого API, поскольку каждый неучтенный, а значит и не защищенный интерфейс добавляет уязвимую точку на периметре компании. Эксплуатируя недостатки API, киберпреступники могут похищать конфиденциальные и учетные данные, проникать в инфраструктуру жертвы и развивать атаки на партнеров, DDoS-атаки на API приводят к недоступности сервисов, а значит и к сбоям в предоставлении услуг клиентам. Мы ожидаем, что число атак через API на финансовые организации в ближайшие годы будет расти, вместе с продолжающимся кратным ростом масштабов внедрения технологии в открытый банкинг и другие процессы. Для защиты API необходимо ответственно подходить к разработке, применять практики DevSecOps, обеспечивать безопасность передачи данных и для приложения, и для клиентов; отдельно выделим безопасную реализацию аутентификации. Кроме того, нельзя допускать размещения ключей API в открытых источниках. Например, в июле 2024 года исследователи Cybernews обнаружили в открытом доступе чувствительные данные бразильского Braza Bank, в том числе API-ключи. Регулярная инвентаризация позволит не допустить появления теневого API, а для защиты от атак мы рекомендуем применять решения класса web application firewall, например PT Application Firewall.

Вносит свой вклад в рост числа уязвимых API и широкое внедрение искусственного интеллекта для обслуживания клиентов и обработки информации. Согласно отчету Wallarm, за 2024 год количество уязвимых API с ИИ выросло в 10 раз, и мы предполагаем, что проблема будет только усугубляться в будущем, по мере увеличения роли ИИ-решений в финансовой сфере.

Социальная инженерия остается, по нашим данным, одним из основных методов киберпреступников: в 57% успешных кибератак на финансовые организации в 2024 году использовались различные ее приемы, в основном электронные письма (87%), для заражения жертв ВПО или похищения учетных данных. Темы фишинга могут быть любыми, как общими, такими как обращения государственных органов или предложения о работе, так и связанными с актуальными событиями, например сбоем, вызванным CrowdStrike.

Социальная инженерия сохраняет эффективность по двум основным причинам. Во-первых, она нацелена на неизменные человеческие эмоции, а во-вторых, этот метод постоянно гибко адаптируется: меняются темы, подстраиваясь под актуальные события, меняются методы сокрытия полезной нагрузки (так, в конце 2024 года киберпреступники отправляли по почте QR-коды и намеренно поврежденные Word-файлы, чтобы обойти системы защиты), внедряются новые инструменты и технологии, в том числе искусственный интеллект. Для защиты от социальной инженерии необходимо регулярно проводить информирование и обучение персонала, в том числе с помощью учебных фишинговых атак, уделять внимание как самому частому фишинговому каналу — электронной почте, так и мессенджерам, поддельным сайтам и звонкам. Оценить защищенность компании от фишинга помогут пентесты и автоматизированные сервисы проверки безопасности электронной почты, например PT Knockin. Мы ожидаем, что атаки с использованием социальной инженерии продолжатся и уже в ближайшие годы мы увидим противостояние ИИ-решений по обе стороны баррикад: киберпреступники будут использовать генеративные возможности искусственного интеллекта для создания убедительных рассылок, а сторона защиты применит ИИ для распознавания сгенерированного контента.

Почти в каждой второй атаке с ВПО (42%) на финансовые организации за период 2024 год — I квартал 2025 года использовались шифровальщики.

Атаки вымогателей приводят к двум недопустимым для финансовых организаций категориям последствий — сбоям в работе и утечкам данных. Сбои нарушают предоставление услуг клиентам, а утечки данных грозят штрафами и необходимостью выплачивать компенсации пострадавшим; кроме того, оба последствия дополняются репутационным ущербом для компании-жертвы. Помимо классических способов заражения компании вымогательским ПО через эксплуатацию уязвимостей и рассылку фишинга, киберпреступники заражают финансовые организации с помощью атак на цепочку поставок ПО. Например, киберпреступники атаковали компанию по обработке платежей из ОАЭ с помощью зараженного обновления ПО от доверенного поставщика. Атака нарушила работу не только самой финансовой организации, но и розничных продавцов, использующих ее услуги.

В случае отказа платить выкуп финансово мотивированные киберпреступники пытаются продать похищенные данные в дарквебе. Например, в 2024 году вымогатели выставили на продажу 3,7 ТБ данных перуанского банка Interbank. Если покупателя найти не удается или если изначально у атаки был нефинансовый мотив, злоумышленники могут выложить данные в свободный доступ для наработки репутации и устрашения будущих жертв.

Помимо шантажа шифрованием и раскрытием конфиденциальных данных, вымогатели могут угрожать финансовым компаниям полным уничтожением данных и нарушением работы инфраструктуры.

Один из рычагов давления вымогателей на организацию — угроза раскрытия утечки, которая повлечет за собой репутационный ущерб и необходимость выплачивать штраф, а также компенсации пострадавшим. Киберпреступники уже сейчас предлагают жертвам заплатить им сумму меньшую, чем возможный штраф, чтобы утечка данных не была раскрыта. В странах с оборотными штрафами, например в России, Бразилии (в 2024 году штраф увеличили) и Китае, такая тактика будет встречаться все чаще.

В 2025 и 2026 годах шифровальщики останутся одним из основных типов ВПО, применяемого киберпреступниками; помимо сложных вымогательских атак на крупные финансовые организации, мы ожидаем роста количества атак с шифрованием и уничтожением данных на связанные с ними организации малого и среднего бизнеса. В ближайшем будущем могут сойтись две важные тенденции в кибербезопасности: рост числа атак на менее защищенных партнеров и поставщиков, о котором мы писали выше, и рост доступности шифровальщиков даже для начинающих киберпреступников, не обладающих серьезными ресурсами на разработку или покупку. Доступность шифровальщиков растет из-за целого ряда факторов: из-за распространения простых и дешевых шифровальщиков, о котором мы рассказывали в исследовании рынка киберпреступности, периодических раскрытий исходных кодов шифровальщиков, на основе которых быстро появляются новые версии, как было, например, с Babuk, а также из-за постепенно усиливающейся возможности компенсировать нехватку знаний и навыков в создании шифровальщиков применением ИИ (пример группировки FunSec мы показали в отчете об актуальных киберугрозах конца 2024 — начала 2025 года). Таким образом, даже начинающие киберпреступники могут приобрести или самостоятельно создать простой и дешевый шифровальщик, которого будет достаточно для атак на организации малого и среднего бизнеса, а вызванные такими атаками перебои в работе будут наносить ущерб связанным организациям и всей финансовой отрасли.

QR-коды как один из способов бесконтактной оплаты завоевывают все большую долю в платежах по всему миру, с прогнозами на дальнейший рост. Один из лидирующий регионов внедрения QR-кодов — Юго-Восточная Азия, где QR-коды широко внедряются не только внутри стран, но и на межгосударственном уровне. Например, в 2023 году Bank Indonesia и Bank Negara Malaysia объявили о коммерческом запуске трансграничной связи QR-платежей между двумя странами.

Рост использования QR-кодов для оплаты и предоставления информации привлек внимание киберпреступников, атаки с QR-кодами, квишинг, включают в себя как физическое размещение фишинговых ссылок в таком формате, так и использование QR-кодов для обхода защиты от фишинга. Злоумышленники эксплуатируют сложность распознавания QR-кода многими системами защиты и абсолютную невозможность заметить квишинг невооруженным глазом, в отличие от обычной фишинговой ссылки, в которой можно заметить, например, неправильные символы.

Физическая подмена QR-кодов на фишинговые (наклеивание мошеннического QR-кода поверх настоящего) сегодня больше встречается в сфере транспортных услуг, например на автоматах для оплаты парковки или электросамокатах, но мы ожидаем, что мошенники продолжат расклеивать квишинг и в других общественных местах. Поэтому уже сейчас стоит внедрить в процесс обеспечения информационной безопасности помещений, особенно тех, в которые есть доступ посторонних лиц, проверку всех размещенных QR-кодов.

Хотя QR-коды встречаются в почте сравнительно редко (согласно исследованию Cisco Talos, один QR-код на примерно 500 писем), они могут представлять серьезную угрозу безопасности, поскольку способны обойти многие антиспам-фильтры. Проблема распознавания фишингового QR-кода в письме заключается в том, что системе защиты необходимо сначала обнаружить QR-код в письме, просканировать его и уже после этого проанализировать ссылку; еще на первом этапе могут возникнуть проблемы, так как киберпреступники встраивают QR-коды не только в формате изображения, но и с помощью ACSII- и Unicode-символов, что усложняет обнаружение. Рассматривая угрозу квишинга по электронной почте, важно отметить и распространение атаки между устройствами: письмо с фишинговым QR-кодом может быть открыто на экране одного устройства, а сканировать код жертва будет уже другим.

По мере все большего распространения QR-кодов для оплаты будут расти и усилия киберпреступников по проведению атак на различные этапы самого процесса оплаты. Например, в ближайшем будущем мы ожидаем увидеть появление ВПО, нацеленного на подмену QR-кодов на экране жертвы перед оплатой. Необходимо ответственно подойти к всестороннему изучению вопроса безопасности платежей с помощью QR-кодов, тем более что сейчас уже начинают появляться соответствующие рекомендации и стандарты безопасности (например, в феврале 2025 года такой рекомендательный стандарт утвердил Банк России).

В 2024 году продолжались активные DDoS-атаки на финансовые организации. Сравнительная простота проведения такой атаки, последствием которой может быть недопустимое событие для финансовых организаций — прерывание предоставления услуг, а кроме того, широкий общественный резонанс даже при небольшом результате — делают DDoS-атаки идеальным оружием хактивистов против финансовой отрасли в условиях сложной геополитической обстановки во всем мире. Косвенным подтверждением масштаба угрозы можно считать и то, что DDoS-атаки являются самой популярной темой на теневых площадках в контексте финансовой отрасли.

Важно отметить, что DDoS-атаки на финансовые организации могут продолжаться как в течение нескольких часов (например, атака на Национальную систему платежных карт, которая вызвала перебои в работе системы быстрых платежей в России), так и в течение нескольких дней (как шестидневная атака хактивистов на банк в ОАЭ). Помимо непосредственной цели DDoS-атаки — вызвать сбой в обслуживании, — высококвалифицированные киберпреступники могут использовать атаки такого типа для отвлечения служб безопасности от других вредоносных действий. В 2025 году нет никаких предпосылок к снижению числа DDoS-атак, мы ожидаем продолжения тенденций к формированию масштабных ботнетов из IoT-устройств для атак и к внедрению технологий ИИ для проведения адаптирующихся под действия жертвы DDoS-кампаний.

Генеративный искусственный интеллект широко внедряется для ускорения разработки программных продуктов как в формате ассистентов программиста (copilots), так и в виде полностью автономных агентов. Обратная сторона ускорения разработки — увеличение числа уязвимостей в коде, недостатков в защите API, раскрытие чувствительных данных в репозиториях. Внедрение ИИ в разработку, в сочетании с широким применением low-code- и no-code-решений (еще в 2022 году они применялись в 97% компаний в сфере финансов), может привести к снижению защищенности компаний малого и среднего бизнеса, для которых ускорение разработки является жизненной необходимостью в высококонкурентной среде. В свою очередь, защищенность малых и средних компаний влияет не только на их собственную безопасность, но и на безопасность всей отрасли, о чем мы говорили выше, в разделе, посвященном атакам на подрядчиков и поставщиков. Мы призываем ответственно подходить к процессу разработки, проверять сгенерированный код и выходить на программы багбаунти, которые позволят обнаружить и закрыть уязвимости до того, как ими успеют воспользоваться киберпреступники.

Помимо внедрения в разработку, технологии ИИ применяются в финансовой отрасли и для ряда других задач, например для обработки данных и документации, для первичного обслуживания клиентов. Важно учитывать, что любое решение с искусственным интеллектом остается программным обеспечением, которое само может стать целью кибератаки. Киберпреступники уже начали изучать возможности атаковать ИИ-решения и добиваются первых успехов. Так, в марте 2025 года злоумышленникам удалось похитить 55 ETH (примерно 106 тыс. долл.), получив несанкционированный доступ к панели управления бота rxbt; атака привели не только к прямой потере криптовалюты, но и к падению стоимости токена AIXBT. Помимо влияния ИИ на потенциальное расширение поверхности атаки, необходимо учитывать угрозу распространяемых киберпреступниками дообученных для вредоносной активности моделей — например, встраивающих бэкдоры в генерируемый код.

Безопасность искусственного интеллекта — большая развивающаяся область, которой еще предстоит догнать темпы развития и внедрения самой технологии, а до тех пор компаниям, использующим инструменты ИИ, необходимо учитывать риски их внедрения в модели угроз, потому что, несмотря на сложности, киберпреступники не оставят новую потенциальную точку атаки без внимания и научатся атаковать системы с искусственным интеллектом.

Отдельно необходимо упомянуть опасность, исходящую от генеративного искусственного интеллекта в области дезинформации. Помимо широкого применения сгенерированного контента в различных мошеннических схемах, нацеленных на клиентов финансовых организаций, киберпреступники потенциально могут провести операцию по дезинформированию против целевой организации. Эксперты Say No to Disinfo и Fenimore Harper Communications в своем исследовании продемонстрировали возможность с помощью сгенерированных фейковых новостей и рекламы побудить клиентов массово забирать вклады из банков. Потенциальную скорость «набега вкладчиков» можно оценить по истории закрытия Silicon Valley Bank в 2023 году, когда после поднявшейся в социальных сетях паники вкладчики изъяли 42 млрд долл. за 24 часа. Высококвалифицированные киберпреступники могут попытаться спровоцировать подобную общественную реакцию, особенно воспользовавшись другим негативным инфоповодом. Финансовым организациям необходимо в режиме реального времени отслеживать начало таких информационных трендов, чтобы как можно быстрее выпускать опровержения и успокаивать клиентов.

Впрочем, ИИ остается мощным инструментом дезинформации даже в руках низкоквалифицированных злоумышленников: вместо попыток вызвать панику среди вкладчиков они могут генерировать другой очерняющий организацию и ее представителей контент. Особую опасность сгенерированная дезинформация представляет для криптовалютных организаций и частных инвесторов. В исследовании о применении ИИ в кибератаках мы отмечали популярность темы криптовалют в дипфейк-мошенничествах. Цифровые финансовые активы склоны к большей волатильности, а рынок чутко реагирует на любые инфоповоды, поэтому дипфейк, например, с создателем криптовалюты или фальшивая новость могут значительно повлиять на стоимость.

Оплата по биометрии — это один из перспективных путей развития бесконтактных платежей, внедряемый сегодня во многих странах вместе с другими технологиями, использующими данный тип информации для идентификации людей в системах безопасности, аутентификации на различных устройствах и подтверждения второго фактора. Несмотря на ряд преимуществ, которые дает биометрия, таких как удобство для клиентов и обеспечение лучшей защиты за счет сложности подделки, необходимо учитывать и киберугрозы, неразрывно связанные с биометрическими данными.

Наибольшие риски несет в себе хранение биометрических данных, утечка которых приведет к непоправимым последствиям: пострадавшие сотрудники кампании и ее клиенты очевидно не смогут поменять свои биометрические данные, в отличие, например, от учетных данных. Необходимо надежно защищать хранящиеся биометрические данные, поскольку киберпреступники уже нацеливаются на их похищение с целью вымогательства и проведения последующих атак. За последние годы произошло несколько громких атак с утечкой биометрических данных значительного числа людей; например, в Бразилии в марте 2025 года произошла утечка данных приложения FacePass, содержащая среди прочего национальные удостоверения личности и проверочные селфи. Важно отметить, что утечки проверочных селфи в сочетании с другими персональными данными становятся особенно опасными на фоне развития технологии дипфейков и несут угрозу как для частных лиц, чьи данные попали в руки киберпреступников, так и для всех организаций, внедряющих биометрические сервисы. Злоумышленники, обладающие набором из биометрии частного лица, его документов и других персональных данных, могут не только воспользоваться уже существующими учетными записями, но и регистрировать новые для дальнейшего мошенничества.

Финансовая отрасль во всем мире начинает внедрение блокчейн-технологий, таких как токенизация активов и смарт-контракты. Лидируют по уровню принятия криптовалют, согласно данным Chainalysis, Центральная и Южная Азия и Океания, в частности Индонезия с самым высоким индексом применения децентрализованных финансов (DeFi). Блокчейн-технологии находят потенциальное применение как на внутренних рынках финансовых услуг, например для токенизации недвижимости в Дубае, так и в международной торговле (так, одной из тем председательства Бразилии в БРИКС будет использование блокчейна для международных транзакций). К началу 2025 года общая заблокированная стоимость (TVL) в DeFi-проектах выросла и колеблется в диапазоне от 90 до 110 млн долл., рынки цифровых активов показывают высокие темпы роста (например, в России за 2024 год рынок ЦФА вырос более чем в четыре раза, при этом такой рост во многом можно объяснить эффектом низкой базы). Стремительное внедрение технологии вызывает существенное беспокойство в области информационной безопасности систем, использующих блокчейн; киберпреступники за 2024 год похитили почти 1,5 млрд долл. из Web3-инфраструктуры, а 2025 год начался с нескольких громких криптоограблений, например ByBit и Abracadabra.

Как показало исследование взломов Web3, проведенное командой безопасности блокчейна Positive Technologies, в 2024 году самыми популярными методами атак на блокчейн-проекты были эксплуатация уязвимостей контроля доступа и компрометация приватных ключей, то есть методы, нацеленные на инфраструктуру блокчейн-проектов, а не на саму технологию. При этом важно отметить, что компрометация инфраструктуры, а не самого блокчейна, не обозначает меньшего ущерба: такими методами были совершены и самое крупное ограбление 2024 года — DMM Bitcoin с ущербом в 308 млн долл., и самое крупное в 2025 году — ByBit, с ущербом в 1,4 млрд долл.

Компаниям, применяющим блокчейн, необходимо внимательно подойти к обеспечению безопасности инфраструктуры и сотрудников, поскольку, хотя и применяется новая технология, злоумышленники все еще могут использовать старые методы социальной инженерии для получения первоначального доступа к системе.

Помимо атак на инфраструктуру известен и ряд типов атак, нацеленных непосредственно на блокчейн, которые встречаются реже, но могут быть использованы высококвалифицированными киберпреступниками, особенно в небольших публичных блокчейн-проектах:

• Атака Сивиллы
  
  При атаке Сивиллы киберпреступники создают множество нод с централизованным управлением, с помощью которых пытаются манипулировать легальными нодами или добиваться реализации атаки 51%.
  Атаки Сивиллы могут быть прямыми (мошеннические ноды непосредственно взаимодействуют с легальными нодами) и косвенными (мошеннические ноды не встроены в сеть легальных нод, а действуют через конкретных участников-посредников).

• Атака на маршрутизацию
  
  Киберпреступники потенциально могут атаковать интернет-провайдеров и сетевую инфраструктуру, чтобы манипулировать потоками данных блокчейна. В атаках на маршрутизацию они перехватывают и перенаправляют данные, чтобы разделить сеть, изолировать отдельную цепочку нод и манипулировать ее работой.
• Эгоистичный майнинг
  
  Эгоистичный майнинг — это мошенническая тактика майнинга в блокчейне, при которой злоумышленник намеренно не раскрывает найденный блок, чтобы продолжить майнить следующие блоки быстрее честных майнеров.
  
  Например, «эгоист» находит блок номер N+1, но не раскрывает о нем информацию, и пока остальные майнеры ищут N+1, «эгоист» уже ищет N+2 и следующие. В системе proof of work правильной считается цепочка с наибольшим числом блоков, поэтому «эгоист» может публиковать цепочку на один блок больше честных майнеров и присвоить себе вознаграждения за найденные блоки.
  
  Потенциально эгоистичный майнинг может привести к тому, что честные майнеры начнут присоединяться к «эгоистам», пока один из пулов не дорастет до 51%, но такие проблемы с безопасностью могут обрушить стоимость криптовалюты, а значит и прибыльность майнинга.
   

• Атаки с двойной тратой: гоночная и атака Финни
  
  Ряд мошеннических методов позволяют добиться двойной траты криптовалюты, то есть многократного использования одной единицы цифрового актива. Двойная трата возможна из-за того, что подтверждение транзакции в блокчейне занимает какое-то время, за которое киберпреступник может успеть провести новую транзакцию с тем же самым цифровым активом. Для реализации двойной траты злоумышленники применяют ряд различных атак:
  
  Гоночная атака заключается в одновременной отправке двух транзакций с одним цифровым активом. Первая направляется жертве (например, продавцу товара) и содержит информацию о передаче цифрового актива, а вторая транслируется в блокчейн и содержит информацию о том, что цифровой актив остается у мошенника. Жертва, которая сначала видит первую транзакцию, думает, что получила оплату, а блокчейн, наоборот, подтверждает вторую транзакцию, из-за чего жертва не получает средства.
  
  Атака Финни подразумевает определенную последовательность действий: киберпреступник майнит блок, в который добавляет транзакцию между двумя своими счетами A и B, после чего совершает платеж этими же цифровыми активами между своим счетом A и счетом жертвы C. Если жертва принимает транзакцию без подтверждения, злоумышленник может опубликовать заранее созданный блок, и когда он будет принят, платеж жертве станет недействительным.

Мы предполагаем, что общее число атак на блокчейн-проекты, как и ущерб от них, будет расти в ближайшие годы, вслед за общим расширением отрасли. При этом важно отметить, что в будущем большая часть атак на блокчейн-проекты будет нацелена на их инфраструктуру, поскольку атаки на саму технологию блокчейна требуют от киберпреступника высокой квалификации, специфических навыков и знаний о логике блокчейна, применяемых в нем механизмах консенсуса и криптографии.

Рынку смарт-контрактов прогнозируют устойчивый рост в ближайшие годы, и финансовая отрасль — один из локомотивов применения технологии для различных задач, например в России крупные банки уже начали применять смарт-контракты для торговых сделок и страхования.

Хотя смарт-контракты и работают на блокчейн-платформах, они остаются программами, подверженными целому ряду атак и уязвимостей, которые киберпреступники эксплуатируют для нарушения работы контракта и похищения средств. Важно отметить, что компрометация приватных ключей является серьезной угрозой и для смарт-контрактов: получивший приватный ключ киберпреступник получает возможность манипулировать смарт-контрактом и похищать средства. К примеру, в марте 2025 года протокол Zoth был дважды взломан, первый раз с помощью сложной атаки, эксплуатирующей логические ошибки, а второй с помощью компрометации ключа, что привело к потере 8,4 млн долл.

Топ-5 угроз для смарт-контрактов по версии OWASP 
(версия 2025 года):

1. Уязвимости контроля доступа (Access Control Vulnerabilities)
   
   Эксплуатируя уязвимости разграничения доступа к функциям смарт-контрактов, злоумышленники могут выполнять несанкционированные действия. Контроль доступов смарт-контрактов должен, как и в обычных программах, строго разграничивать возможности пользователей, своевременно не только предоставлять, но и убирать права. В феврале 2025 года платежная компания Infini потеряла 50 млн долл. из-за бывшего сотрудника, который воспользовался оставшимися у него правами администратора.
    
2. Манипулирование цифровым оракулом (Price Oracle Manipulation)
   
   Вмешиваясь в каналы получения внешних данных цифровым оракулом, киберпреступник может повлиять на логику работы контракта, что может привести к финансовым потерям и нестабильной работе системы. Например, в августе 2024 года проект Vow тестировал смарт-контракт в реальной сети с изменением курса, автоматический бот мошенников воспользовался временным интервалом между транзакциями изменения курса и отмены изменения, для того чтобы отчеканить и продать 2 млрд VOW. Атака привела к убыткам для Vow примерно в 1,2 млн долл.
    
3. Логические ошибки (Logic Errors)
   
   Логические ошибки в смарт-контрактах могут приводить к неправильной обработке транзакций, неправильному распределению токенов, а следовательно, и финансовому ущербу. Например, в марте 2025 года злоумышленник воспользовался уязвимостью в устаревшей версии контрактов Fusion1 и похитили 5 млн долл. Атака подчеркивает важность своевременного обновления ПО. Интересно, что пострадавшая платформа 1inch смогла вернуть большую часть средств, договорившись с киберпреступником о выплате вознаграждения за обнаружение уязвимости.
    
4. Недостаточная валидация входных значений (Lack of Input Validation)
   
   При недостаточной валидации входных значений киберпреступник может намеренно ввести вредоносные входные данные, чтобы нарушить логику работы контракта, манипулировать его работой. В августе 2024 года злоумышленник воспользовался отсутствием проверки входных данных для параметра в смарт-контракте Convergence Finance, выпустил, а затем продал предназначенные для эмиссии токены CVG на сумму около 210 тыс. долл. Кроме того, после атаки стоимость токена CVG упала более чем на 99%.
    
5. Атаки с повторным входом (Reentrancy Attacks)
   
   Киберпреступники могут воспользоваться уязвимостями смарт-контрактов для проведения атаки с повторным входом. Злоумышленники повторно вызывают функцию контракта еще до завершения предыдущего вызова. Такая атака приводит к несанкционированному вызову функций смарт-контракта, нарушению его состояния и штатной работы. Например, в сентябре 2024 года с помощью атаки с повторным входом киберпреступники похитили 27 млн долл. у DeFi-платформы Penpie.

Поскольку многие уязвимости и методы атак на смарт-контракты пересекаются с методами атак на «классические» системы, мы ожидаем, что киберпреступники в ближайшем будущем будут расширять поверхность атак на контракты, и количество атак на них будет расти. Компаниям, использующим смарт-контракты, нужно изначально внедрять процессы безопасной разработки, систематически оценивать безопасность и надежность контрактов, выявлять потенциальные уязвимости. В этом могут помочь специальные чек-листы (к примеру, специалисты Positive Technologies разработали контрольный список для аудита платформы TON).

На момент публикации исследования более 100 стран в мире находятся на различных стадиях изучения, разработки, пилотирования и внедрения цифровых валют центральных банков, которые потенциально создадут надежную, безопасную и легко отслеживаемую альтернативу фиатной валюте. Важно учитывать, что внедрение и поддержание работы CBDC — сложный и недешевый процесс, и не все страны, работающие в этом направлении, дойдут до полноценной эксплуатации такой валюты. Например, Эквадор отказался от CBDC уже после запуска из-за ряда проблем, в частности из-за недостаточного вовлечения граждан и бизнеса в ее использование.

Несмотря на применение в цифровых валютах центральных банков схожих с обычными криптовалютами технологий, они значительно различаются по недопустимым событиям. Одно из самых опасных последствий для классических, децентрализованных криптовалют — похищение средств, которые очень тяжело вернуть, особенно учитывая, что киберворы всегда быстро путают следы, отмывают похищенные средства и переводят их в другие форматы активов. Для де-факто централизованной и контролируемой цифровой валюты центрального банка угроза похищения активов стоит не так остро, поскольку киберпреступника намного легче отследить и отменить мошеннические транзакции, но при этом намного большую угрозу несут атаки, нацеленные на прерывание работы CBDС. Экосистема CBDC содержит множество связей, как непосредственно внутри инфраструктуры банков, так и вне ее, что потенциальо открывает для киберпреступников широкую поверхность атаки.

По мере все большего внедрения и расширения эксплуатации CBDC в мире мы ожидаем атак на такие цифровые валюты в первую очередь со стороны политически мотивированных киберпреступников. Финансовая отрасль и так является одной из приоритетных целей для хактивистов, а непосредственная связь CBDC с государством сделает ее приоритетной целью.

Клиентам финансовых организаций необходимо учитывать, что ненадежные аутентификационные данные и небрежное обращение с ними может привести не только к похищению средств и утечке чувствительных данных, но и к использованию счета злоумышленниками. Преступники могут проводить через счета жертвы мошеннические переводы, стремясь запутать следы, лицо же, чьими счетами пользуются, рискует оказаться в списке соучастников преступной деятельности.

Широкое внедрение биометрической аутентификации и биоэквайринга побудит киберпреступников похищать биометрические данные частных лиц. Мы призываем ответственно подходить к распространению собственной биометрии, сводить к минимуму количество сервисов, которым она предоставляется, поскольку биометрические данные нельзя изменить в случае утечки. Потенциально в будущем может появиться даже биометрическое вымогательство, при котором киберпреступники будут требовать у частных лиц выкуп за нераскрытие и неприменение их биометрических данных.

Несмотря на то что во многих странах цифровые валюты еще находятся только на этапе планирования, разработки и ограниченного использования, киберпреступники уже начали эксплуатировать тему нового, плохо знакомого людям платежного средства. Мы предупреждаем, что по мере приближения полноценного запуска цифровой валюты в каждой отдельной стране будет расти и популярность этой темы в мошенничестве. Но и после запуска нужно сохранять бдительность, поскольку мероприятия по популяризации новой валюты (например, в Китае раздавали купоны для оплаты цифровым юанем) являются плодородной почвой для мошеннических схем.

Кроме фишинга, в каждой стране, выводящей CBDC на этап широкомасштабного тестирования и эксплуатации, киберпреступники могут проводить кампании по распространению троянов, нацеленных на CBDC-приложения, по аналогии с массово применяемыми банковскими троянами, нацеленными на обычные финансовые приложения.

Киберпреступники могут использовать любые темы и поводы для атак методами социальной инженерии, нацеленных на сбор учетных данных клиентов или на заражение устройств банковскими троянами². Мы настоятельно рекомендуем сохранять бдительность, помнить, что злоумышленники проводят атаки по всем каналам: звонки по телефону, фишинговые сообщения по электронной почте и в мессенджерах, новости в соцсетях, мошенническая реклама и даже поддельные банковские приложения в официальных магазинах. Каким бы заманчивым или пугающим ни было сообщение, каким бы авторитетным или срочным оно ни казалось, мы призываем не торопиться называть коды, открывать ссылки, скачивать файлы и приложения, сканировать QR-коды. При малейших подозрениях лучше сначала перепроверить информацию, самостоятельно напрямую обратиться в банк за разъяснениями: в худшем случае на проверку уйдут лишние пять минут, но зато она надежно защитит от куда больших потерь от атаки.

Финансовая отрасль сочетает в себе ряд качеств, которые формируют уникальный киберландшафт: критическая важность для государства, бизнеса и частных лиц, необходимость обеспечения непрерывной работы, обширные горизонтальные связи как внутри отрасли, так и с клиентами и подрядчиками, внедрение целого ряда новейших технологий, над обеспечением безопасности которых еще предстоит поработать.

В условиях значительного разнообразия атак, которые продолжатся в ближайшие годы, подпитываемые как идеологическими, так и материальными мотивами, финансовым организациям необходимо сосредоточиться на последовательном обеспечении результативной кибербезопасности, не допускающей реализации недопустимых событий. Информационная безопасность должна обеспечиваться на всех уровнях: на уровне сотрудников, инфраструктуры и связей с подрядчиками, поставщиками и партнерами, — и добиться этого можно только при сохранении бдительности, использовании актуальных методов и решений для защиты, ответственном внедрении новых технологий.