В 2017-м ущерб, видимо, будет еще больше. Грабить финансовые организации, как ни странно, стало проще, а защита от мошенников нового типа работает плохо.

ВЛАДИМИР РУВИНСКИЙ

Кража года

В последний день зимы 2016 года, 29 февраля, столичный Металлинвестбанк лишился 200 млн рублей. Их, как было установлено позже, украли хакеры. Все произошло быстро. Терминалы, с которых управляется корреспондентский счет кредитного учреждения в ЦБ, начали несанкционированно отправлять с него деньги на сторонние счета. Адресаты — частные лица в коммерческих банках по всей стране.

Подозрительное поведение компьютеров в Металлинвестбанке обнаружили сразу, заверил "Деньги" зампредправления Михаил Окунев. "Это был взлом канала автоматизированного рабочего места клиента Банка России, АРМ КБР",— сказал он. Взлом, по словам Окунева, продлился около часа. Чтобы остановить переводы, банк даже запросил ЦБ отключить его от системы расчетов. К этому времени с корсчета Металлинвестбанка ушло 667 млн рублей. "Треть денег вернулась сразу, примерно треть арестована на счетах в банках, мы рассчитываем, что они к нам вернутся по результатам суда, который, как мы ожидаем, начнется в апреле",— говорит Михаил Окунев. Около 200 млн рублей, как уже было сказано, банк все же не вернул: с подконтрольных счетов злоумышленники их либо быстро обналичили, либо перевели дальше.

У этой истории — нечастый для России финал. Через три месяца, в июне 2016-го, ФСБ и МВД сообщили, что совместно в 15 регионах РФ задержали 50 человек, входящих в хакерскую группу под названием Buhtrap. Ее заметили еще в 2014 году, когда она обчищала компании. А в августе 2015-го группировка переключилась исключительно на финансовые организации:

за полгода, по февраль 2016-го, Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей, отмечает Group-IB, специализирующаяся на предотвращении и расследовании кибератак.

Данная группировка, как говорят источники "Денег" на банковском рынке, стоит и за атакой на Металлинвестбанк. В Group-IB это мнение разделяют.

Рост на 300%

Хищение у Металлинвестбанка 667 млн рублей было в числе самых крупных в РФ — из тех, что были обнародованы. Средняя хакерская кража у российских банков в период с июня 2015-го по май 2016 года составляла около 140 млн рублей. Хотя были и большие суммы. "В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка",— отмечается в прошлогоднем отчете Group-IB.

Всего за 2016 год, сообщил в феврале 2017-го ЦБ, у российских коммерческих банков хакеры похитили 2,2 млрд рублей.

"Если говорить о покушениях на хищения денежных средств со счетов кредитных организаций, то в 2016 году подобным атакам подверглись девять организаций,— уточнила "Деньгам" пресс-служба регулятора.— Злоумышленники пытались похитить около 5 млрд рублей. При этом удалось остановить хищения на общую сумму порядка 2,8 млрд рублей". Очевидно, банки в 2016 году лишились бы еще большей суммы, если бы не захват членов Buhtrap, группировки, на которую, по сведениям Group-IB, приходилось две трети украденного у банков.

Общая сумма киберхищений у финансовых организаций за минувший год, впрочем, может быть и больше. По крайней мере, по подсчетам Group-IB, за период с июня 2015-го по май 2016 года у российских банков в результате целевых атак (когда жертва не случайна, а подбирается со знанием дела) хакеры похитили 2,5 млрд рублей.

Сумма целевых киберхищений у банков, по сведениям Group-IB, к аналогичному периоду 2013-2014 годов выросла на 292%. (По данным ЦБ, с июня 2015-го по май 2016 года у российских банков хакеры украли 1,37 млрд рублей.) "Нас часто обвиняют, что мы цифры завышаем,— я считаю, что мы занижаем",— подчеркивает директор департамента киберразведки Group-IB Дмитрий Волков.

Более свежих цифр за 2017 год пока у компании нет, но в банковском сообществе неофициально "Деньгам" подтверждают если не увеличение суммы украденного, то рост числа кибератак в российских финансовых организациях. (При этом сумма похищенного за один раз может и снижаться.) "Атаки ради денег самих банков совершаются все чаще. Есть мнение, что в последние несколько лет число атак удваивается ежегодно",— подтверждает Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банков (АРБ). А компания Positive Technologies, также занимающаяся расследованиями киберпреступлений, прогнозирует, что в 2017 году хакерских атак на банки в РФ будет больше на 30%. Это касается и процессинговых, брокерских структур, операторов денежных переводов — их потери от киберхищений также возрастут.

Не признаются

Металлинвестбанк — редкое исключение из правила. Он публично признал факт кражи и сумму ущерба от действий хакеров. О киберкражах (правда, без подробностей) сообщали также Русский международный банк и казанский Алтынбанк. Остальные предпочитают о потерях не распространяться.

Между тем в США, например, финансовые организации, если хотят избежать больших штрафов, сведения об ущербе от хакеров обязаны не только доводить до регулятора, но и раскрывать публично. У нас, говорят банкиры, такую информацию финансовые и кредитные учреждения не предавали широкой огласке, опасаясь больших имиджевых и репутационных потерь (а закон их к откровенности не обязывает).

Открытых полных данных о том, сколько хакеры украли со счетов у банков, их клиентов — физических или юридических лиц — в России нет.

Соответствующая статистика ЦБ формируется из отчетности банков, которые до 2015 года не спешили делиться с регулятором конфиденциальной информацией о киберкражах. Чуть более года назад их обязали это делать. "Данные Центробанка в целом по киберхищениям в РФ не отражают картины,— считает бывший руководитель подразделения в управлении К МВД, пожелавший остаться неназванным.— Их гораздо больше, чем говорят банки". Это, правда, касается в первую очередь киберкраж у клиентов финансовых организаций. Скрывать от ЦБ такие атаки против самих себя не в интересах банков, уверены собеседники "Денег". Но сделать это вполне реально.

"Формируя статистическую отчетность, Банк России исходит из того, что кредитные организации добросовестно подходят к формированию отчетности,— сообщила пресс-служба регулятора.— По итогам 2016 года статистика Банка России практически полностью коррелирует со статистикой МВД по такого рода преступлениям".

Банки — главная мишень

Несколько тысяч рублей, украденных с вашей карты,— добыча "щипачей". Профессиональные компьютерные преступники "берут" за раз сотни миллионов.

Если еще в 2013 году главной мишенью опытных хакеров были клиенты банков, то теперь — сами финансовые организации, говорят опрошенные "Деньгами" эксперты. Самые профессиональные киберпреступники, потренировавшись на компаниях, переориентировались на банки. Там риски и азарт выше, дело — сложнее, но и куш куда заманчивее.

Доход хакеров от целевых атак на банки за период с июня 2015-го по май 2016 года, по данным Group-IB, "перекрыл суммарный заработок от всех остальных способов хищений, сделав банки самой привлекательной мишенью". Если у банков за указанный период хакеры украли 2,5 млрд рублей, то у юрлиц — 956 млн, у физлиц через настольные компьютеры — 6,4 млн, у них же, но через смартфоны,— 348,6 млн.

С юрлиц за одну кражу в интернет-банкинге можно было "получить" почти в 300 раз меньше, чем с банков: 480 тыс. против 140 млн рублей.

С теми и другими работают наиболее квалифицированные хакеры — "элита". Счета обычных граждан обчищает отдельная группа кибермошенников — это, говорят эксперты, по сути, аналог малоквалифицированных щипачей в цифровую эпоху. С банковских счетов граждан через настольные персональные компьютеры они похищают в среднем за раз по 51,6 тыс. рублей, через смартфоны на Android — в среднем по 4 тыс. за раз (немного, но зато тут кражи совершаются намного чаще).

Российский рынок киберхищений за II кв-л 2015 — I кв-л 2016 г.

Тип хищения Число хакерских групп Средняя сумма одного хищения, руб. Общая сумма хищения, руб. Рост к прошлому периоду, % Целевые атаки на банки 5 140 млн 2,5 млрд 292 Интернет-банкинг у юрлиц 6 480 тыс. 956 млн -50 Настольные ПК у физлиц 1 51,6 тыс. 6,4 млн -83 Смартфоны на Android у физлиц 11 4 тыс. 348,6 млн 471 Обналичивание похищаемых средств 1,7 млрд 44 Итого 5,5 млрд 44

Источник: Group-IB

Неуязвимых нет

Всего в стране сейчас действует около 570 коммерческих банков, и хакеры, скорее всего, прощупали всех (включая более 300 закрытых в ходе затеянной ЦБ чистки). "Банков, которые не атакуют, нет",— уверен Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies. "Атакам хакеров подвергаются все,— соглашается Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-банка.— Но в защищенный банк, откуда сложно вывести деньги, мало кто полезет".

Многие финансовые организации, прежде всего региональные, слабо готовы к кибератакам. "Банки, особенно в регионах, до сих пор уверены, что кибермошенники потрошат лишь клиентов, за что уже поплатились",— замечает топ-менеджер из банковской сферы, пожелавший остаться анонимным. По словам Эльмара Набигаева, как правило, после первой кражи банки меняют свой подход. "Сейчас вообще таких стало меньше",— отмечает он. Меньше в том числе потому, что основная масса закрывшихся банков — региональные.

"Готовность — разная, в зависимости от величины банка. Крупные готовы к атакам, средние и малые — не все... Но никогда нельзя быть готовым на сто процентов к предательству внутри организации вне зависимости от размера банка",— замечает Эльман Мехтиев из АРБ. Роман Чаплыгин, директор направления анализа и контроля рисков кибербезопасности PwC, обращает внимание на нехватку финансирования: "В России существует множество банков, которые не обладают достаточным количеством финансовых средств для выстраивания системы кибербезопасности внутри организации и отражения атак".

Впрочем, есть и другая проблема. "Некоторые банки в России и за ее пределами не верят, что компьютерная преступность существует,— говорит Илья Сачков, гендиректор Group-IB.— Даже в уважаемых государственных учреждениях есть люди, которые тоже в это не верят".

О слабой готовности кредитных учреждений к кибератакам свидетельствуют и тесты на проникновение в информационную систему компаний и банков, проведенные в 2015 году Positive Technologies. Проверялось 17 учреждений в России и за рубежом, треть из которых составляли банки и финорганизации.

В 82% систем оказалось возможным попасть в сеть, в каждом втором случае удалось получить контроль над критически важными ресурсами компаний, а в 28% был получен полный контроль над всей инфраструктурой организации.

По словам Эльмара Набигаева, ситуация к сегодняшнему дню существенно не изменилась: "В банковской сфере с точки зрения безопасности все не очень хорошо. У большинства злоумышленников не вызывает затруднений получение полных привилегий в сети. Результаты наших расследований инцидентов в банках показывают, что в большинстве случаев атаки заканчивались полной компрометацией сети и кражей средств".

Слабость банков

Кредитные учреждения вроде бы вкладываются в кибербезопасность. Даже несмотря на кризис. "По нашим данным, в 2017 году в России бюджет на кибербезопасность вырос на 18%",— говорит Роман Чаплыгин из PwC.

Увеличение бюджета, однако, не всегда помогает. "Многие банки ограничиваются инвестициями в безопасность на уровне соответствия стандартам,— поясняет Эльмар Набигаев.— Галочку поставили в документе, правильное средство защиты купили — значит, все хорошо. Но нельзя просто купить железку и забыть, информационная безопасность — это процесс, инфраструктура банковской организации меняется, киберпреступники обновляют инструменты и схемы атак, поэтому и в безопасности постоянно должно что-то совершенствоваться".

Те, кто обеспечивал киберзащиту, которая не помогла, оказывались в очень щекотливой ситуации. "К сожалению, многие сотрудники службы информационной безопасности скрывали от менеджмента банков проблему, и это могло длиться до 2013-2014 года,— рассказывает Илья Сачков.— Ты потратил много денег, но проблему это не решило. И ты должен потратить еще. У нас с некоторыми банками даже были конфликты, когда мы через систему мониторинга были способны определять преступления на этапе их подготовки, знали, у кого могли украсть деньги, сообщали об этом сотрудникам службы информбезопасности, а они эти сведения никак не использовали, боялись показать руководству. И происходило хищение".

Те же, кому руководство банка средств на киберзащиту не выделило, используют это как повод снять с себя ответственность: мол, мы же просили деньги, а вы не дали, говорит пожелавший остаться анонимным топ-менеджер из банковской сферы. "В тех банках, где IT-безопасность — это часть службы, выросшей из службы физической безопасности, так и происходит чаще всего",— уверен наш собеседник.

Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского", участвовавший в расследовании киберкраж в финансовых организациях, соглашается: "Чаще всего проблемы у банков не с бюджетами, а с информированностью об инцидентах.

Большинство атак происходит по глупости, недосмотру, случайно, если хотите. И так во всем мире.

Если банк формально следует букве закона (так называемая бумажная кибербезопасность), то он все равно станет жертвой злоумышленника".

"Мало накупить дорогих систем,— отмечает Эльмар Набигаев.— Для их эффективной эксплуатации и настройки необходим высококвалифицированный и весьма дорогостоящий персонал, а далеко не каждый банк может себе позволить держать в штате таких профессионалов. Да их и мало очень".

Знающих специалистов мало не только в банках, но и в правоохранительных органах, говорит источник "Денег" в управлении К МВД: "Почти нет оперативников, следователей, способных понять техническую сторону дел, объединить эпизоды и объяснить их суть прокурору и судье".

Вор у вора

Пользуясь исключительно инсайдом, крадут в России деньги и у обнальных банков, которые принимают средства и получают указания, куда их перевести. "Есть группы злоумышленников — они получают доступ к такой почте у обнального банка или отправителя денег,— рассказывает Дмитрий Волков из Group-IB.— Мошенники видят переписку и со взломанной почты сами отправляют эти поручения банку.

Например, сегодня деньги должны уйти в Китай — злоумышленники перехватывают такое письмо, подменяют его: да, тоже Китай, но другое юрлицо. И 200 млн долларов уходят не в ту компанию.

Почту они контролируют. Банк спрашивает: "Точно туда отправлять?" Хакеры отвечают: "Да, туда". И все. Суммы хищений здесь большие, многое делается по наводке".

И кто признается ЦБ, клиентам или партнерам, что украли серые деньги, что пострадала отмывочная или обнальная, криминальная по сути, схема?

Как грабят банки

Ваши сотрудники отказались от подписки на бумажную газету или популярный еженедельник? Ждите хакеров-грабителей.

Человеческий фактор

Атака на банк — в первую очередь атака на человека.

Злоумышленникам для начала важно проникнуть в компьютер банковского служащего.

Оттуда открывается доступ в локальные сети, хакеры получают привилегии администратора, что позволяет атаковать системы, отвечающие за финансовые трансакции: АРМ КБР, банкоматные сети, биржевые терминалы, электронные расчеты и межбанковские переводы, SWIFT и процессинговые системы. Что и дает возможность красть средства.

Именно так, скорее всего, произошла кража в Металлинвестбанке: платежные терминалы и корпоративная сеть здесь были объединены, что сыграло на руку хакерам. "Достоверно сложно утверждать, что послужило изначальной точкой входа в банковскую систему,— говорит Михаил Окунев.— Но все уязвимости мы закрыли и постоянно совершенствуемся в этом. Мы разделили физически общую банковскую сеть и те машины, которые отвечают за отправку любых платежей. Банк провел полную перестройку системы информационной безопасности".

Почтовый взлом

Способов проникновения на компьютер банковского служащего несколько. Самый распространенный — через электронную почту. Конкретным сотрудникам присылается некое письмо с документом, куда встроена вредоносная программа с так называемыми эксплойтами. Используя уязвимости в программном обеспечении, они находят черный ход на компьютер сотрудника. Чтобы вредоносный файл открыли, злоумышленники отправляют его от имени клиентов банка, или от ЦБ (как делала группа Buhtrap), или от госорганов.

Письмо может подтверждаться и телефонным звонком: мол, проверьте реквизиты договора, акт сверки, последние распоряжения. И необязательно это будет письмо с фальшивого адреса: хакеры могут отправлять зараженные файлы и с настоящих, но взломанных адресов. Кроме того, это может быть и подлинное письмо от партнеров, но с вредоносной программой.

"У злоумышленников появляются дополнительные возможности совершать атаки через многочисленных банковских контрагентов, у которых система защиты от киберугроз зачастую совсем не развита", —

говорит Роман Чаплыгин.

Что происходит дальше? Сотрудник открывает документ, например, в формате.pdf, а встроенная в него вредоносная программа проверяет, есть ли уязвимости в "читалке". Часто они есть, так как обновления, которые ставят "заплатки" на программное обеспечение, делаются нерегулярно. Впрочем, обновления не панацея, они только снижают риски: у программ, на радость хакерам, существуют уязвимости, неизвестные разработчикам.

Используя эти уязвимости, с помощью эксплойтов, встроенных в присланный документ, киберпреступники входят через черный ход на компьютер жертвы. "Злоумышленник ставит программу, которая позволят получить пароли администратора сети, потом он ходит по разным компьютерам и получает полный доступ,— рассказывает Илья Сачков.— Мы расследовали случай, когда злоумышленники контролировали всю банковскую сеть, похитив большую сумму с корсчета, которую потом распылили по разным счетам и обналичили. У них был доступ на почтовый сервер, главные серверы, и они читали, как банк реагировал на расследование".

Подлом через газету

Другой способ попасть на компьютер к сотруднику банка — массовый, уходящий, как говорят эксперты, в прошлое. Мошенники совершают так называемый подлом популярных сайтов, например деловых и новостных изданий, юридических или государственных справочников. Незаметно для их владельцев хакеры встраивают в сайт небольшую программу, которая проверяет у всех посетителей, какой у них браузер, операционная система, флеш-проигрыватель, pdf-ридер, версии их обновлений и пр. "Таким образом находится уязвимое программное обеспечение — в среднем у 13-15% посетителей",— рассказывает Дмитрий Волков. Кстати, сейчас этот способ, по данным Group-IB, активно используется для заражения троянами и краж денег со смартфонов на Android. Затем через обнаруженные черные ходы на компьютер загружаются программы, которые проверяют, в частности, есть ли у него связь с банковскими или бухгалтерскими программами, какой антивирус стоит и пр. Часть таких компьютеров может оказаться в банке.

Но злоумышленники не знают, на какой компьютер они попали. Чтобы справиться с проблемой, они, например, загружали модифицированную вредоносную программу, выясняющую, есть ли следы работы с банковскими или бухгалтерскими приложениями. "В некоторых случаях это работает: повезет, и

один из тысячи взломанных окажется компьютером бухгалтера, антивирус на нем плохой, появляется возможность украсть деньги",—

поясняет Волков. Если дело касается проникновения в банковскую сеть, то мошенники в последнее время, проникнув в компьютер, часто используют законные или бесплатные инструменты удаленного управления. Это раньше нужно было писать трояны, сейчас система хищений в банках сильно автоматизируется и удешевляется, проникновение в банковскую сеть, отмечает Group-IB, "не требует особого опыта или труднодоступного программного обеспечения".

Украсть и обналичить

По словам источника в управлении К МВД, за обналичку киберпреступники платили 30-60% от похищенного, в зависимости от "чистоты" денег, сложности схем. Если сумма большая, деньги распыляются: скажем, заранее покупается так называемый зарплатный проект, когда 50 млн рублей через юрлицо выводится на 50 банковских карт.

Или деньги летят, например, на две тысячи Qiwi-кошельков и 100 тыс. сим-карт, а с них — на банковские карты. Для снятия денег нанимают людей, которым приходится "светиться" у банкоматов; им платят около 5% от снятого.

Если же нужно получить много и сразу, человека отправляют в отделение банка с заверенными документами от директора фирмы-однодневки, и он получает все через кассу. Когда группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения временно прекращаются. Впрочем, обналичить деньги можно где угодно, говорит Эльмар Набигаев: хакеры успешно пользуются зарубежными счетами.

Атака на банкомат

Новые технологии меняют схему. Проникнув в сеть банка, можно украсть деньги из банкоматов. "Сейчас хакеры проникают в корпоративную сеть банка, находят банкоматную сеть, то есть внедряются на компьютеры сотрудников, которые эти банкоматы обслуживают, и загружают вредоносное ПО на банкоматы",— рассказывает Набигаев. Сообщники хакеров, занимающиеся обналичиванием, подходят к банкоматам, а хакер удаленно дает команду устройству на выдачу наличных. Такая схема кражи денег, по его словам, набирает популярность. Случаи подобных хищений попадали в СМИ, но суммы краж, а также владельцы банкоматов не уточнялись.

Схема удобна хакерам тем, что небольшое число обнальщиков позволяет обчистить много банкоматов. "Банки могут это не сразу заметить, так как инкассация банкоматов не ежедневная, а банковские системы могут сообщать, что деньги в банкоматах еще есть,— говорит Набигаев.— Может пройти неделя, пока выяснится: деньги похищены. Найти злоумышленников трудно, так как время уже потеряно, а следы их преступления, как правило, заметаются — например, хакеры отключают камеры на банкоматах".

Проникнув в компьютерную систему финансовой организации, в июле 2016 года группа молодых людей в масках организованно атаковала 34 банкомата одного из крупнейших тайваньских банков, First Bank, унеся 83,27 млн тайваньских долларов (более $2 млн).

В августе по аналогичной схеме было похищено 12 млн бат (около $350 тыс.) из 21 банкомата Government Savings Banks в Таиланде. В сентябре подобные атаки, отмечает Group-IB, были зафиксированы в Европе, однако огласке их не предали.

"Этапы киберхищения денег у банков"

Этап Способ действий Проникновение Основной — отправка фишингового письма с вложением в виде документа с эксплойтом/макросом, исполняемого файла или запароленного архива с исполняемым файлом. Создать вложение c эксплойтом можно с помощью готовых инструментов. Для отправки исполняемого файла не требуется никаких специальных средств. Удаленный доступ После успешного заражения все группы используют различные средства удаленного управления. Как правило, это легитимные и бесплатные инструменты. Получение привилегий Получив удаленный доступ в сеть банка, атакующие часто применяют бесплатный инструмент, который позволяет извлекать логины и пароли в открытом виде из оперативной памяти зараженного компьютера. Исходный код этой утилиты доступен всем желающим без ограничений. Поиск целей Имея привилегии администратора домена, мошенники начинают исследовать внутреннюю сеть банка в поисках интересующих систем. Целями могут быть системы межбанковских переводов, системы мгновенных переводов для физических лиц, сети управления банкоматами, платежные шлюзы, карточный процессинг. Поиск осуществляется в ручном режиме и не требует специальных инструментов. Работа с целевыми системами Обнаружив интересующие системы, злоумышленники с помощью тех же средств удаленного управления отслеживают действия легальных операторов, чтобы впоследствии повторить их шаги и отправить деньги на подконтрольные счета. Более продвинутые группы используют готовые инструменты для модификации платежных документов — простые скрипты или исполняемые файлы, повторяющие работу скриптов, которые автоматизируют формирование мошеннических платежей. Обналичивание Если первые пять этапов доступны многим хакерам и каждый из них можно реализовать с минимальными затратами, то для обналичивания больших объемов денежных средств нужны люди с опытом и ресурсами. Поэтому, когда профессиональные группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения прекращаются.

На программное обеспечение банковского оборудования и попытки хищения наличных денег». Это первый случай хакерской атаки такого масштаба на банк в нашей стране, о котором стало известно общественности. Деньги граждан, к счастью, не пострадали. FINANCE.TUT.BY вспомнил пять самых громких и крупных кибер-ограблениях банков в истории.

Изображение: cbsnews.com

В шаге от миллиарда

В феврале 2016 года группа хакеров пыталась получить доступ к средствам центрального банка Бангладеш, который держит счет в Федеральном резервном банке Нью-Йорка (является частью Федеральной резервной системы США). Преступники пытались вывести со счета порядка 1 миллиарда долларов, но украсть им удалось лишь чуть больше 80 миллионов.

Хакерам успешно завершили только четыре транзакции из нескольких десятков запрошенных. На пятой транзакции в 20 миллионов долларов, банкиры заподозрили неладное. Хакеров выдала опечатка: в названии организации, которой предназначался перевод, вместо «Shalika Foundation» они написали «Shalika Fandation». Сотрудник Deutsche Bank, через который шла операция, обратил на это внимание и связался с Бангладеш для подтверждения транзакции - так афера и раскрылась.

ФРС говорит, что признаков взлома не обнаружили. Представители банка настаивают, что хакеры знали настоящие учетные данные, а распоряжение о проведении оплаты было подтверждено системой SWIFT. ЦБ Бангладеш удалось вернуть часть похищенных средств. Председатель Центробанка после инцидента ушел в отставку.

Обезумевшие банкоматы

В 2013 году группе хакеров из России, Японии и Европы удалось украсть около 300 миллионов долларов. Воровали они по всему миру: из более чем 100 банков в 30 странах мира - от Австралии до Исландии. При этом, как отмечают эксперты, оценки убытков весьма приблизительные и могут быть втрое выше. Хакеры называют себя «группировка Carbanak».

В Киеве, например, банкомат начал выдавать деньги в совершенно произвольные моменты. Никто не вставлял в него карточки и не прикасался к кнопкам. Камеры зафиксировали, что деньги забирали люди, случайно оказавшиеся рядом в тот момент. Сотрудники банка не могли понять, что происходит, пока за дело не взялась «Лаборатория Касперского».

фото:Сильные новости

Программисты выяснили, что на банковских компьютерах было установлено зловредное ПО, позволявшее киберпреступникам следить за каждым шагом работников банков. ПО скрывалось на компьютерах месяцами - киберпреступники смоги узнать, как банк совершает свои ежедневные операции. Так они получили возможность перепрограммировать банкоматы и переводить миллионы долларов на поддельные счета.

Группировку Carbanak раскрыть и задержать не удалось. Она работе до сих пор, то периодически пропадая, до возвращаясь. Например, в 2015 году хакеры украли из российского банка «Авангард» около 60 миллионов российских рублей. Схема очень похожа - банкоматы начинали вести себя попросту безумно: «На банкоматы поступала команда „выдать деньги“, люди подходили к банкоматам и набивали деньгами куртки, за пять минут могли унести несколько миллионов».

Обманный ход

В прошлом году группе российских хакеров удалось похитить из пять крупнейших банков страны 250 миллионов российских рублей. Деньги преступники снимали с банкоматов. Такая схема получила название «АТМ-реверс», или «обратный реверс».

Фото: Сергей Балай, TUT.BY

«Преступник получал в банке неименную карту, вносил на нее через банкомат от 5 тысяч до 30 тысяч рублей, а потом в том же банкомате их снимал и получал чек о проведенной операции. Далее мошенник отправлял чек своему сообщнику, который имел удаленный доступ к зараженным вирусом POS-терминалам, как правило, находившимся за пределами России. Через терминалы по коду операции, указанной в чеке, сообщник формировал команду на отмену операции по снятию наличных: на терминале это выглядело, например, как возврат товара. В результате отмены операции баланс карты восстанавливался мгновенно, и у злоумышленника были выданные наличные на руках и прежний баланс карты. Преступники повторяли эти действия до тех пор, пока в банкоматах не заканчивались наличные», - описывает схему подобных преступлений РБК.

Прекратить хищения удалось только после того, как внедрили новую систему защиту совместно с платежными системами Visa и MasterCard.

Также российские хакеры снимали деньги со счетов клиентов банков через мобильные телефоны на платформе Android. Они рассылали СМС с троянской программой внутри, которая и переводила деньги с банковского счета на счета хакеров.

Тайваньская банда

Этим летом на Тайвани хакерам удалось похитить более 2 миллионов долларов из банкоматов, не пользуясь при этом карточками. Преступники подходили к банкоматам и запускали специальную вредоносную программу - машины охотно выдавали всю наличность, которая в них хранилась. После этого грабители скрывали улики: во взломанных устройствах не удалось обнаружить никаких следов вредоносных программ. На взлом банкомата уходило около 10 минут.

Всего злоумышленники взломали порядка 30 банкоматов, которые принадлежали крупнейшему банку страны First Bank. Чтобы остановить преступников, банк на несколько дней запретили снимать деньги через свои банкоматы. В целях осторожности несколько банков Тайвани также ввели аналогичный запрет.

Хакер № 1

Фото с сайта stock. xchng

В 1994 году, когда компьютеры и интернет не были так распространены, российский программист Владимир Левин украл более десяти миллионов долларов из американского банка. Сидя в своей комнате на Малой Морской улице в Петербурге, он взломал систему управления средствами нью-йоркского Citibank - одного из крупнейших банков планеты. За пять месяцев из банка Левин сумел украсть около 12 миллионов долларов.

Придя на работу утром 30 июня 1994 года, сотрудник гонконгского Philippe National Ваnk Int. Finance Ltd., обнаружил, что со счетов пропали 144 тысяч долларов. Он увидел, что эти деньги при посредничестве Citibank были переведены на другой счет, только вот неясно, куда именно. В Нью-Йорке сказали, что проблема не в них, так как все транзакции фиксируются, и они никаких денег не переводили. Через пару недель деньги загадочным образом исчезли со счетов в Уругвае. Тогда Citibank обратились в ФБР, чтобы начать расследование.

Левин переводил деньги на счетов в Финляндию, Германию, Израиль, США и Нидерланды. Сначала ФБР арестовывало его помощников, которые пытались обналичить счета. У всех у них были найдены поддельные паспорта и билеты до Санкт-Петербурга. Самого Левина арестовали в марте 1995 года, в 1998 году его приговорили к трем годам лишения свободы.

До сих пор неизвестно, каким образом Левин проник в компьютерную сеть Citibank. Сам хакер на суде отказался раскрывать подробности взлома. Существует версия, что доступ к системам изначально получила некая группа российских хакеров, после чего один из них продал методику Левину за 100 долларов.

Хакеры пытались украсть 1,5 млрд руб., что составляет около 1% всей прибыли российских банков за 2015 год. Для этого они зарегистрировали платежную систему за рубежом

Угроза для банков

​Правоохранительным органам удалось пресечь в 2015 году попытку масштабного хищения денег практически из всех банков России. Об этом заявил глава управления «К» по борьбе c преступлениями в сфере компьютерной безопасности МВД России Алексей Мошков, передает «Интерфакс» .

Управление «К» предотвратило хищения в прошлом году на сумму 1,5 млрд руб., сказал РБК глава пресс-службы управления «К» Александр Вураско. Это почти 1% от совокупной прибыли банков за 2015 год (192 млрд руб.). Размер реального ущерба оценивается в 400-600 млн руб., но он может вырасти, так как объявляются новые пострадавшие, добавил Вураско. Хакеры разработали около сотни различных схем по хищению средств со счетов как самих банков, так и их клиентов. «Они скомпрометировали международные платежные системы — обнаружили в них уязвимости и написали софт, который бы позволил формировать подложные платежные документы, но применение этого софта удалось остановить», — говорит Вураско.

Платежная система Visa и ее процессинговая сеть VisaNet не были скомпрометированы, говорится в ответе пресс-службы Visa на запрос РБК. « Как нам кажется, примеры, на которые ссылается представитель МВД РФ, касаются сторонних процессинговых компаний, не относящихся к системам Visa. Поэтому мы не можем их комментировать», — говорится в ответе.

По словам Вураско, хакеры чуть не парализовали банковскую систему, скомпрометировав систему обмена межбанковскими сообщениями (самая используемая российскими банками международная система — SWIFT, но МВД не раскрывает информацию, она это или нет).

Для вывода средств со счетов хакеры создали и зарегистрировали собственную платежную систему. Как сказал Вураско, она была зарегистрирована в зарубежной юрисдикции и соответствовала всем международным стандартам. «Вполне возможно, что необходимые для регистрации документы хакеры послали по электронной почте, в некоторых странах такой режим регистрации допустим», — отмечает он.

Источник РБК в одной из международных платежных систем предполагает, что система могла быть зарегистрирована в одной из стран СНГ. «Законодательство Европы и США не предусматривает регистрации платежных систем», — добавляет он. Источник в другой платежной системе говорит, что и в азиатских странах такого режима нет.

Сотрудники МВД задержали преступную группу в ноябре прошлого года. Однако в январе этого года два крупных российских банка снова подверглись хакерским атакам. Это была новая группировка, но она была связана с задержанной в ноябре и состояла из 40-60 человек. «Хакеры атаковали два банка из первой сотни, процессинговые центры банков давали команды на перевод средств со счетов, деньги стали уходить миллионами, и ЦБ даже пришлось отключить эти банки от БЭСП», — говорит Вураско. Участников этой группы тоже задержали.

Идеолог преступной группы — 30-летний москвич с высшим образованием, его имя МВД не раскрывает в интересах следствия.

Хакеры наступают

Представители МВД говорят, что если раньше хакеры воровали деньги в основном клиентов банков, то сейчас они разрабатывают такие программы, которые позволяют списывать деньги со счетов самих банков, которые у них открыты, например, в других банках.

По оценкам ЦБ, в 2014 году со счетов граждан и компаний хакеры списали 3,5 млрд руб. С карточек мошенники списали 1,58 млрд руб. Большую часть суммы (свыше 1 млрд руб.) мошенники украли через интернет-банк и мобильное приложение. Объем неправомерных транзакций, совершаемых через дистанционные каналы обслуживания, вырос на 44,8%. В конце 2015 года Сбербанк оценил ущерб России от киберпреступлений в $1 млрд, и, как говорил первый зампред банка Лев Хасис, оснований для снижения ущерба от таких преступлений нет.

В начале этого года компания Digital Security обзор, в котором специалисты спрогнозировали, что в 2016 году банки и их клиенты столкнутся с увеличением хакерских атак — будет расти количество атак на пользователей с применением так называемой социальной инженерии, когда мошенники стимулируют пользователей самостоятельно устанавливать вредоносное программное обеспечение. Также в 2016 году увеличится и количество атак на счета клиентов через атаки на сами банки, прогнозирует компания. Атакующие могут захватить различные внутренние системы, включая платежные системы, платформы для оплаты госуслуг, мобильной связи, интернета. «Захват контроля над подобной платформой позволит выводить деньги клиентов сразу в электронные кошельки», — предупреждал ранее директор департамента аудита защищенности Digital Security Алексей Тюрин.

Мошенники ежедневно придумывают новые способы кражи денег с банковских карт. Камеры видеонаблюдения снижают интерес преступников к банкоматам, но злоумышленники ищут пути обхода.

Кража на территории РФ является уголовно наказуемым деянием, в зависимости от тяжести может применяться наказание по разным частям ст. 158 УК РФ: лишение свободы от года до 10 лет, принудительные работы, штраф от 80 до миллиона рублей.

Безопасность банкоматов под вопросом?

Распространены два вида воровства денег из платежных терминалов:

• скимминг - накладка на картоприемник для считывания пин-кода;
• «ливанская петля» - заклеивание кармана для выдачи денег, при котором банкомат сообщает о выдаче денег, в то время как банкноты остаются внутри автомата. Жертва отходит от устройства, чтобы пожаловаться работнику учреждения или позвонить в службу поддержки, а мошенник извлекает липучую планку вместе с деньгами и покидает место происшествия.

Правоохранителями столицы была прервана череда ограблений, когда преступники действовали так: взрывали банкоматы или наматывали на них цепь и увозили, чтобы вскрыть в неизвестном месте. Этот способ оказался эффективным, несмотря на примитивность.

Кража денег из банкоматов: старые способы

Старым способом хищения денег из банкоматов является кража карточки после снятия средств жертвой. Традиционным считается также метод, когда злоумышленник вскрывает устройство или забирает наличные, увозя аппарат из отделения банка или супермаркета.

Удмуртские злоумышленники установили несколько поддельных банкоматов несуществующего кредитного учреждения в Москве, Московской области и Сочи. Граждане, которые пытались воспользоваться платежными терминалами для выполнения денежных операций, позже обратились в полицию с заявлениями о хищении денег. Преступники заполучили пароли более тысячи банковских карт.

Новые способы кражи денег

Мошенники в Астраханской области похитили 4 млн рублей, разрезая и склеивая банкноты: шесть пятитысячных купюр и одну тысячную. Каждая купюра разрезалась на 6 частей и склеивалась так, что получалась пятитысячная, состоящая на 1/6 из тысячной. Обновленные, но неплатежеспособные деньги зачислялись на карты через банкоматы. После обналичивания средств преступники снова могли совершать денежный круговорот.

Саратовский мошенник вытаскивал деньги из платежного терминала с помощью прочной нити, прикрепленной к пятитысячной купюре. Он много раз опускал купюру в терминал для зачисления на счет и извлекал обратно. Так, преступник вытащил 200 тыс. рублей.

Взломщики из Уфы проникли в компьютерную систему банкомата, изменили сервисный код, с помощью которого курс доллара «подняли» до 1,5 тыс. рублей, затем обменяли 800 долларов на 1,2 млн рублей. Одного из виновных лиц задержали правоохранители.

Специалисты «Лаборатории Касперского» раскрыли очередную схему хищения денег. Представители финансовых организаций жаловались на то, что банкоматы произвольно выдавали деньги людям, которые никаких действий не производили. По итогам проверочных мероприятий выяснилось, что на устройствах не было установлено никаких вирусных программ, но вирус нашли в компьютере, связанном в единую сеть с банкоматами. Взломщики получили доступ к компьютерам служащих, затем через легальные методы вывода средств переводили деньги с помощью системы SWIFT или обналичивались через банкоматы. Взломщиков до сих пор не поймали, но от их действий пострадали более 30 финансовых учреждений в России, Китае, Канаде, Украине и США. Некоторые хищения составили 10 млн долларов, а общие потери финансов пострадавших банков приблизились к миллиарду долларов.

Сбербанк России сообщил о новом методе хищения денег из банкоматов, получившем название drilled box. Он может применяться только в некоторых видах устройств. В корпусе платежного терминала просверливается небольшое отверстие, подключается специальная шина, выкачивающая деньги. Несмотря на раскрытие этого способа мошенничества, производитель банкоматов не реагирует на проблему.

Обратите внимание!

К новинкам мошеннических устройств относятся шиммеры, выпускаемые открыто и массово, они тоньше человеческого волоса. Технология позволяет красть норма счетов, пин-коды, иную информацию через банкомат. Гибкая металлическая пластина вставляется в картридер и считывает данные с карт. Этот метод можно назвать усовершенствованным скиммингом.

С карты клиента банка

С целью хищения денежных средств с банковской карты мошенниками часто используется:

• поддельная клавиатура - на клавиатуру банкомата устанавливается специальная накладка. Она запоминает все нажатые кнопки, в том числе пин-код;
• крошечная видеокамера - устанавливается мошенниками около или над клавиатурой для той же цели: узнать ПИН-код и завладеть картой для снятия средств;
• лжеприемники денег - конверты из пластика, закрывающие щель банкомата;
• фальшивый банкомат - устанавливается преступниками в людных местах, чтобы собирать информацию о картах будущих жертв;
• вирусное программное обеспечение - инновационный способ кражи денег, когда платежные терминалы заражаются вирусами. В результате мошеннические программы передают техническую информацию и ПИН-коды пластиковых карт клиентов.

Сегодня активно развивается еще один вид краж - взлом счетов. Преступники получают доступ к электронным сервисам онлайн-банкинга и электронным кошелькам, не выходя из дома. Фишинг - способ мошенничества, целью которого является завладение чужими деньгами путем получения доступа к конфиденциальной информации - номер карты, пароль, логин. Для мошенничества используется рассылка электронных писем, СМС-сообщений от известных брендов и самих банков и платежных систем, в которых содержится ссылка на сайт, который внешне похож на оригинальный веб-ресурс. Открывая письмо, пользователь сети скачивает на компьютер вирусную программу, которая собирает информацию о паролях, логинах, номерах платежных карт и возвращается к отправителю программы или в автоматическом режиме запускает перевод денег со всех доступных кошельков на реквизиты мошенника.

Одной из разновидностей мошенничества с картами является винолокер - вредоносное ПО, которое блокирует или усложняет работу операционной системы Windows. На экране жертвы появляется сообщение о том, что функционирование компьютера невозможно до тех пор, пока не будет введен особый пароль, для получения которого необходимо отправить злоумышленникам определенную сумму. После получения денег преступники присылают код, который навсегда или на время снимает ограничения, но проблема может возникнуть снова.

Обратите внимание!

Возможен и такой вариант, что после получения денег мошенники крадут сведения о номере карты, пин-коде, CVV и снимают все деньги, имеющиеся на счете, карте, в кошельке.

У банка

Способ мгновенной выкачки денег из банкомата называется drilled box. Мошенники просверливают отверстие в определенной конфигурации банкоматов и подключают шину, мгновенно выкачивая деньги. Современные банкоматы довольно хорошо защищены от взлома и вирусов, необходимо перевести их в безопасный режим, когда диспенсер и компьютер обмениваются информацией через криптографические протоколы. Тогда мошенник ничего не сможет сделать с информационной шиной устройства.

Определенные проблемы возникают у банков, не обновившихся программное обеспечение до необходимого уровня, которые работают без защищенного режима. Для некоторых кредитных организаций необходимо аппаратное обновление.

Независимые производители давно изобрели устройство, которое позволяет защититься от атаки мошенников, поскольку оно контролирует подключение к информационной шине банкомата. При внешнем подключении диспенсер банкомата отключается, он перестает реагировать на команды мошенников. Банки предпринимают много усилий для предотвращения таких преступлений.

В 2017 году банкоматы России были атакованы новым опасным вирусов - бесконтактный взлом внешнего контура сети банка, затем - сервера администрирования устройств в закрытой сети и непосредственно атака на банкоматы. Эксперты поясняют, что необходима надежная защита, иначе сеть кредитных учреждений будет скомпрометирована. Необходимо внедрять специализированные программы по информационной безопасности, привлекать сторонних подрядчиков, чтобы снизить риск пробелов в защите.

Если мошенники получили реквизиты банковской карты, она считается скомпрометированной, данные ее владельца, логины и пароли для доступа к интернет-банку или мобильному приложению становятся известны злоумышленникам.

Как уберечь себя от кражи?

• снимать деньги в банкоматах, расположенных внутри отделений, избегать зон супермаркетов, где много людей и толпятся наводчики;
• если банкомат не видит карту, которую вы вставили, или не возвращает ее, срочно звоните в службу поддержки и блокируйте карту. Назовите сотруднику номер аппарата, чтобы его могли проверить;
• используйте СМС-информирование о движениях на карточном счету. Если вы не совершали какую-либо операцию с деньгами на счете, немедленно информируйте банк;
• при особых проблемах после блокировки карты нужно прийти в отделение для написания заявления о несогласии с проведенной транзакцией.

Более 80 тысяч сайтов распространяют вредоносные расширения для браузера, через которые происходит воровство данных карт банков. Будьте бдительны и не переходите по подозрительным ссылкам.

Каждый день интернет-мошенники похищают у частных клиентов банков около 400 тыс. руб., подсчитала занимающаяся расследованиями киберпреступлений компания Group-IB. Как обезопасить себя от краж?

Мошенники за год, с апреля 2014 года по апрель 2015 года, через интернет-банки украли со счетов россиян 99 млн руб. Об этом говорится в опубликованном в четверг, 15 октября, докладе компании Group-IB, занимающейся предотвращением и расследованием мошенничества с использованием высоких технологий.

Большую часть из этой суммы (61 млн руб.) преступникам удалось похитить с помощью троянских программ — вирусов, которыми заражаются мобильные устройства, работающие на операционной системе Android. Вирусы позволяют перехватывать данные банковских карт, логинов и паролей для интернет-банков. Оставшиеся 38 млн руб. были похищены с помощью вирусных программ на персональных компьютерах.

При этом средняя сумма одного хищения при атаке на компьютер гораздо выше, чем при атаке на мобильные устройства (76,5 тыс. руб. против 3,5 тыс. руб.). Зато количество хакерских атак на смартфоны и планшеты несопоставимо выше. Мобильные устройства атаковали в среднем 70 раз в день, а компьютеры — только два раза.

В общей сложности, за один день мошенники похищали у россиян 398 тыс. руб., подсчитали в Group-IB. За год количество ежедневных хищений средств у физлиц выросло в три раза. Как это отразилось на объемах похищенных средств, компания не указывает.

Но основной целью хакеров остаются по-прежнему юридические лица. За год у них похищено 1,9 млрд руб. Еще 638 млн руб. киберпреступники похитили через целевые атаки на банки. Всего объем хищений денежных средств в российском сегменте интернет-банкинга за год составил более 2,6 млрд руб. — это в 3,7 раза меньше, чем годом ранее.