По сообщениям в ряде СМИ от 21 марта 2012 года (http://banks.cnews.ru/news/top/index.shtml?2012/03/20/482278), в ходе совместной операции Управления «К» МВД, Четвертого управления МВД и Центра информационной безопасности ФСБ при участии экспертов Group-IB задержана группировка ИТ-мошенников, на протяжении 2-х лет похищавших деньги со счетов более 100 банков. Только по счетам клиентов Сбербанка России ущерб в результате 27 несанкционированных списаний составил более 10 миллионов рублей.
Согласно данным правоохранительных органов, составленным на основе задокументированных свидетельств потерпевших за последние полгода, злоумышленниками похищено около 60 млн. руб. Экспертная оценка криминалистов Group-IB дает еще более внушительную величину - размер хищений группировки только за последний квартал составил 130 млн. руб.
Сама схема кибер-преступления в мире действует давно и довольно проста: деньги с банковских счетов организации- «жертвы» по команде с удаленных серверов троянским программам выводились посредством подложных платежей на открытые в других банках счета (как правило, на имя физических лиц), после чего обналичивались через банкоматы. В данном конкретном случае для хищения денег с банковских счетов злоумышленники использовали троянские программы Carberp и RDP-door, которыми хакеры, в частности, заражали наиболее посещаемые специализированные бухгалтерские интернет-ресурсы, сайты интернет-магазинов и СМИ.
Сотрудник пресс-центра АКБ «Легион» (ОАО) обратился за комментариями к советнику Председателя Правления АКБ «Легион» (ОАО) по вопросам информационных технологий Калачеву А.Д.
- Александр Дмитриевич, АКБ «Легион» (ОАО) всегда уделял и уделяет повышенное внимание обеспечению информационной безопасности. Но, как я понимаю, при современном уровне и темпе развития информационных технологий даже самая «продвинутая» в вопросах безопасности организация, в том числе и банк, не застрахована от внешних хакерских атак. Каким образом происходит «вскрытие» кибер-преступниками системы «Интернет-банк»?
- Сразу хочу обратить внимание на то, что злоумышленники не «вскрывают» саму систему «Интернет-банк», которая территориально находится на защищенных серверах банка и за которой обеспечен постоянный надзор. Это объясняется не только барьером из нескольких степеней защиты, но и бесполезностью таких действий, т.к. для хищения средств со счета клиента необходимо знать «закрытый» - ключ клиента, который в банке отсутствует физически. Таким образом, основная атака с помощью вредоносного программного обеспечения идет именно на клиентские рабочие места. Наибольшее распространение в настоящее время получили так называемые «трояны», которые могут проникнуть на компьютер «жертвы» разными способами. Чаще всего используется электронная почта или инфицированный сайт. Заразивший персональный компьютер клиента вирус может долгое время находится в компьютере незаметным и активироваться только в момент захода пользователя программы ДБО в систему интернет-банкинга обслуживающего его счет банка. Далее вирус начинает работать, исходя из заложенного в него алгоритма. Рассмотрим, для примера, один из таких алгоритмов. Запустив программу, пользователь выполняет стандартные действия: заполняет форму платежного поручения и подтверждает завершение процедуры ввода. Далее система предлагает клиенту еще раз проверить правильность данных и ждет ввода пароля и кода подтверждения. Но к этому моменту «троян» уже изменил реквизиты получателя. Естественно, злоумышленники используют «родные» интерфейсы интернет-банка, чтобы у пользователя не возникло ощущения подмены. Возникает ситуация «не верь глазам своим»: картинка на мониторе правильная, но это просто «заставка» и все. Уверенный, что все в порядке, клиент подписывает и шифрует «поддельный» платеж своими реальными ключами. И в то время как он убежден, что отправляет свой запланированный платеж, в банк уходит документ совсем с другими, «подставными» реквизитами получателя. С реквизитами счетов злоумышленников. Как правило, клиент спохватывается только тогда, когда его контрагент предъявляет претензии по неоплате договора. В лучшем случае - на следующий день. За это время перечисленные по подставным реквизитам средства уже успевают обналичить. К сожалению алгоритмов действия вирусов много и они продолжают пополняться. И приведенная Вами информация из СМИ тому подтверждение.
- А в банке могут определить, что документ «подложный»?
- При таком виде мошенничества это практически нереально, так как данные доступа и подпись клиента, а также коды подтверждения в полном порядке и у банка нет оснований считать платеж «подложным». Банк может только по косвенным признакам заподозрить операцию в несанкционированности. В АКБ «Легион» (ОАО) разработан комплекс организационных и программно-технических мер, который позволяет проводить анализ платежных поручений клиентов до их оплаты, и помогает, с определенной долей вероятности, выявлять такие сомнительные платежи. О поступлении по системе ДБО платежного документа, имеющего признаки сомнительности, операционисты информируют клиента и получают от него инструкции по дальнейшим действиям с этим документом - завершить перевод средств или аннулировать документ.
- Вы сказали: «С определенной долей вероятности». То есть, предлагая своим клиентам услуги дистанционного банковского обслуживания счетов, банк не может гарантировать клиенту стопроцентную защиту от несанкционированного доступа к его счетам?
- Обеспечение информационной безопасности это объединение усилий двух сторон - банка и клиента. Со своей стороны мы делали, делаем и будем делать все возможное, чтобы пресечь несанкционированный перевод средств со счетов клиентов. Для обеспечения безопасности расчетов по системе интернет-банкинга банк предлагает всем клиентам переходить на USB-токен. Также банк контролирует соответствие IP-адресов, с которых было инициировано платежное поручение, IP- адресам, заявленным клиентом в договоре на ДБО. Средства защиты необходимо постоянно совершенствовать, поскольку киберпреступления - это и особенность, и бич нашего времени. И эксперты полагают, что число мошенников, использующих новейшие интернет-технологии, будет только увеличиваться.
И не только в России, но и во всем мире. Как отмечено во Всемирном обзоре экономических преступлений, который подготовили специалисты PricewaterhouseCoopers (PwC) совместно с Лондонской школой экономики, в 2011 году от финансовых махинаций только в России пострадали 37% опрошенных компаний. Причем у нас этот показатель оказался выше среднемирового уровня (34%).
- Но ведь бывают случаи несанкционированного списания у клиентов, у которых установлен USB-токен и фильтрация по IP-адресу?
- К сожалению, Вы правы. В последнее время уловки кибер-мошенников становятся все более изощренными. И предугадать заранее их очередной «ход», сработать на опережение удается далеко не всегда. В АКБ «Легион» (ОАО) для минимизации риска несанкционированного платежа, обладающего такими характеристиками, предлагается услуга СМС-информирования «Первый платеж». Пользующийся этой услугой клиент банка получает предварительное СМС-уведомление, если по системе ДБО от его имени поступил платежный документ с реквизитами получателя, по которым ранее клиентом операции не осуществлялись, тем самым клиенту предоставляется возможность оперативно отозвать «подложный» платежный документ.
Вообще, услуга СМС-информирования о состоянии счета, о движении по счету, пользуется хорошим спросом у наших клиентов. Как минимум, владелец счета получает возможность оперативно узнавать обо всех списаниях средств с его счета и, соответственно, максимально быстро уведомить Банк о несанкционированном или ошибочном платеже. И чем оперативнее клиент уведомит Банк, тем существеннее повышается вероятность возврата средств.
- Что еще Вы бы посоветовали клиентам Банка для обеспечения необходимого уровня безопасности и надежности?
- Требования стандартные. В частности, не заходить с компьютера, с которого осуществляется ДБО, на другие сайты, кроме сайта банка, или хотя бы обеспечить очень серьезную антивирусную защиту. Не надо экономить на таких вещах. Это во-первых. Во-вторых, нельзя оставлять подключенный USB-токен или дискету в компьютере вне работы с системой ДБО. Мы же, уходя из дома и тщательно закрывая дверь собственной квартиры, не оставляем ключ снаружи? А если оставили - некого, кроме себя, винить, что квартиру обокрали. Все обязанности и обязательства клиента установлены договором на ДБО. Правила-то элементарные. Просто необходимо их строго соблюдать. В любом случае, настоятельно рекомендую клиентам АКБ «Легион» (ОАО) еще раз ознакомиться с рекомендациями по безопасности и принять предлагаемые организационные и технические меры. Уверен, выполнение наших рекомендаций позволит нашим клиентам избежать нежелательных ситуаций.
По всем возникающим вопросам работы в системе «Клиент-Банк» клиенты банка могут обратиться к специалистам технической поддержки или специалистам Управления по работе с клиентами.
Контактная информация:
- Cпециалисты технической поддержки:
Тел.: (495) 781-781-6, (495) 781-00-00 (доб. 703-119, 703-122)
- Специалисты Управления по работе с клиентами:
Тел.: (495) 781-99-05, (495) 781-00-00 (доб. 706-007, 706-020, 706-021, 706-050, 706-055)
