Грабеж со скоростью клика. Как хакеры грабят малый бизнес

Грабеж со скоростью клика. Как хакеры грабят малый бизнес

Кража на расстоянии: как хакеры похищают деньги у банков

Весной этого года двое из организаторов хакерской группы Carberp были приговорены к пяти и восьми годам лишения свободы. Их жертвами стали более тысячи российских граждан, а общая сумма хищений составила около $10 млн, это при том, что доказать удалось далеко не все эпизоды. Хакеры создали бот-сеть с использованием банковского трояна Carberp, на долю которого приходится 72% заражений финансово-кредитных учреждений в мире. Вирус попадал в компьютеры пользователей при посещении зараженных сайтов, среди которых были популярные финансовые порталы. Специальная программа-загрузчик определяла тип системы дистанционного банкинга используемой на компьютере, и подбирала подходящий модуль вируса.

Хотя организаторов группы поймали и привлекли к ответственности, исходные тексты вредоносного Carperp были опубликованы в Интернете в общем доступе, и уже появляются его различные модификации под банки Европы и Латинской Америки.

Дистанционное банковское обслуживание (ДБО) – наиболее привлекательный объект для атаки хакеров. Они тщательно подбирают банки с большим оборотом средств в ДБО и атакуют их системы.

По данным Group-IB, ежедневно в российских банках совершается около 28 хищений, при этом у юридических лиц сумма хищения в среднем составляет 1,6 млн руб., у физических лиц – 75 000 руб.

Когда ключи электронной подписи хранились на флешках или компьютерах, кражи совершались моментально и очень просто. Тогда банки начали переходить на токены – компактные USB-брелоки, которые служат для авторизации пользователяи безопасного удаленного доступа к данным. Но и они не стали панацеей – разработчикам хакерской группы Carberp потребовалось не так много времени для создания подходящего вируса для обхода системы защиты и незаметной подмены реквизитов легального платежного поручения.

Пытаясь защитить своих клиентов, банки стали внедрять одноразовые пароли, которые отправляются владельцу карты или счета по sms.Однако им злоумышленники с успехом противопоставляют социальную инженерию и фишинговые страницы, похожие на реальные страницы интернет-банков. Именно одноразовые sms-пароли стали причиной недавнего инцидента с ДБО крупного российского банка. Мошенники просто взламывали личные кабинеты абонентов на сайтах мобильных операторов и настраивали услугу переадресации sms. Перенаправляя sms-сообщения клиентов на свои номера, они получали доступ к их учетным записям в интернет-банке и переводили средства на счета подставных лиц — клиентов банка.

Что касается краж, совершаемых сотрудниками компаний, схема довольно простая: злоумышленник выводит средства на обналичивание, заражает компьютер вирусом и списывает хищение на вирус.

Наличие большого количества сервисов по обналичиванию средств в России существенно облегчает экономическую часть преступления. Тем не менее, расследовать такие инциденты профессионалу достаточно просто – обычно даже первичная экспертиза определяет отсутствие банковского вируса, а если он и есть, то обнаруживается, что его не использовали.

Основным направлением защиты от мошенничеств в ДБО сегодня является создание таких систем, которые способны определить, что рабочая станция клиента заражена, а проводимая операция является хакерской атакой.

Последние два года в России также очень активно развивается сегмент решений класса TrustScreen. Они позволяют выводить реквизиты платежного поручения на экран устройства, которое устанавливается между рабочей станцией и токеном и блокировать операцию подписи до тех пор, пока клиент не проверит их корректность и не нажмет кнопку подтверждения. Такая архитектура не позволяет незаметно для легального пользователя подменить какой-либо документ в системе Интернет-банкинга. На Западе решения со схожим функционалом используются уже несколько лет и довольно хорошо себя зарекомендовали.

Хотя, если принимать врасчет невнимательность и легковерность многих пользователей систем ДБО, 100% защиты от атак у банков так и не существует. Хакерская работа становится все более продуманной, повсеместно используются не только технические средства, но и социальная инженерия. Кроме того, данные могут быть украдены не по вине банка, однако он все равно понесет убытки. Так, в США хакеры украли данные о пластиковых картах почти 70 миллионов клиентов у американской розничной сети Target, и банкам пришлось потратить $200 млн на их перевыпуск. Тем не менее, при правильном подходе к процессу относительно несложно снизить риски до приемлемого уровня и выстроить систему, которая в случае атаки поможет оперативно расследовать инцидент и минимизировать ущерб от него.

Cачков: как хакеры воруют деньги из банков (лекция)

Москва, 7 апреля – “Вести.Экономика”.

Информационная безопасность – основа пирамиды Маслоу и вещь, понятная “Капитану Очевидность”. С таких “поп-культурных” терминов начал свое выступление на форуме Vestifinance Илья Сачков, один из наиболее известных специалистов в области киберкриминалистики, основатель и генеральный директор компании Group-IB. По мнению Сачкова, компании не знают, как обезопасить себя, и верят в иллюзии, законы принимаются слишком медленно, а хакеры глупеют, но получают в распоряжение все более удобные интерфейсы. Никакой романтики, а вот серьезная проблема – есть.

Илья Сачков, один из наиболее известных специалистов в области киберкриминалистики, основатель и генеральный директор компании Group-IB, посвятил свою лекцию на форуме Vestifinance разбору мифов о хакерах.

Илья Сачков объясняет, что эксперты из его отрасли часто используют никому не понятную лексику, и в результате их послания зависают в воздухе. Именно по этой причине в своей лекции он старается рассказывать обо всем максимально доходчиво и на том языке, который сегодня актуален. Отсюда и “Капитан Очевидность”, и “тупизна” и даже картинки-мемы, которые позже появятся на экране.

Вокруг кибербезопасности выросла целая лженаука. Лектор сравнивает ситуацию с медициной, где по-прежнему развивается антинаучный сегмент – гомеопатия. Вылечиться ей невозможно, потому что это просто вода.

От такой “воды” необходимо избавляться в информационной сфере, если мы хотим защититься от настоящих угроз. Сачков отмечает, что его “прогноз” на 2037 г. – это на самом деле лишь гипотеза, так как строить прогнозы в этой сфере и на столь длительный срок тоже антинаучно.

Но многое ясно уже сегодня, и достаточно посмотреть на факты, чтобы разобраться в том, кто такой хакер, и что им движет. Илья Сачков переходит к одной из самых острых тем последних месяцев: так все-таки взламывали “русские хакеры” американские выборы или нет? Он поясняет, что такой вариант маловероятен и, скорее всего, стал продуктом ложного представления о хакерах, которые на самом деле больше всего на свете хотят заработать. Зачем проводить столь сложную операцию с неясными перспективами монетизации? По словам Сачкова, подавляющее число хакеров предпочитает совершенно другие точки для атак, а “высокие материи” им часто недоступны.

“Занимаемся популяризацией науки, чтобы было понимание того, что такое современная организованная преступность. Хакер – это не позитивный человек, а член ОПГ, которая в прошлом могла заниматься продажей наркотиков, оружия, трафиком женщин в Европу, и что нет в этой сфере никакого романтизма, благородства, иногда даже интеллекта. Очень много сейчас хакерских группировок без интеллекта. Что заставляет нас грустить, потому что всегда интересно работать против людей с высоким интеллектом”.

Пример романтизации образа хакера – сообщения в прессе о группе русских киберпреступников с девушкой во главе, которые разлетелись по интернету в 2010 г. Но закончилась история еще более интересно. Зарубежная кинокомпания обратилась к Group IB за консультацией, чтобы снять фильм, в котором хакеры были бы изображены максимально достоверно. А впоследствии оказалось, что финансировала эту кинокомпанию преступная кибергруппировка, и целью съемок стала погоня за секретами Group IB. Тот самый арест хакеров в 2010 г. – это арест части данной группировки. Преступники хотели выяснить, причастна ли Group IB к вышеописанным событиям.

История с фильмом – пример легализации, выхода киберпреступности в легальную сферу деятельности. Подобных примеров в последнее время становится все больше. И речь идет не о каких-то “честных ворах”, а о настоящих жуликах. Они лезут не только в бизнес, но и в политику, и будут стараться блокировать любые инициативы, которые ведут к укреплению безопасности информации.

“Внезапно в интернете на разных интересных сайтах про предпринимателей читаю, что появился предприниматель, который занимается ресторанным бизнесом. А мы все прекрасно помним, как он четыре года назад был крупнейшим спамером в мире. Есть люди, которые попадают на политические посты. И это очень страшно, потому что это не 2037, а 2017 и даже 2015 – то, что сейчас уже происходит. Именно поэтому многие законы, которые сейчас принимаются или не принимаются, – часто все это происходит очень медленно и очень странно. Причина в том, что уже сейчас во многих точках мира компьютерная преступность владеет частью абсолютно легального бизнеса, а где-то – и политики”.

Переходя к проблемам, связанным с плохим пониманием рисков, Илья Сачков рассказывает о труде лауреата Нобелевской премии Даниэля Канемана под названием “Думай медленно. решай быстро”. Психология человека часто работает против него, и это легко переносится и на группы людей, и на целые компании. Вероятность выпадения нужного количества точек после броска игральной кости никак не зависит от того, что выпадало до этого. Опрос, цель которого – вычленить наиболее опасные угрозы для бизнеса, может быть полностью лишен смысла.

Отсюда изучение красивых и длинных презентаций и идеи вроде “ну нас же 20 лет никто не атаковал, значит мы защищены”. Более того, если речь идет о компаниях, то они верят в громкие названия и большие деньги. Чем дороже инструмент, тем лучше он работает, думают они. В целом существует та самая “канемановская” идея оправдания предыдущих действий. Если стратегия выбрана, человек доказывает себе, что она правильная, даже если это не так. Когда специалисты по кибербезопасности находят уязвимость, персонал компании, работающий в этой области, всегда будет пытаться доказать, что все хорошо.

“Безопасность во многих компаниях в мире, не говорю про Россию, потому что в среднем везде все примерно одинаково и не зависит от географии, она выглядит таким образом: у людей есть иллюзия безопасности. Это очень страшная вещь, ее очень легко получить. Она такая же, как иллюзия здоровья. Редко люди заботятся о здоровье проактивно. Обычно начинаем заботиться о здоровье, когда что-то кольнет, температура повысится и так далее. Так же и в информационной безопасности. Компании, которые думают, что у них все в порядке – они просто думают. Внутри там может быть гигантское количество проблем. Может уходить информация, могут быть украдены деньги”.

Ошибочно считать, что хакеры чаще всего охотятся за информацией. На самом деле, утверждает Сачков, практически все преступные группы нацелены на получение финансовой выгоды максимально простым путем. Иными словами, они просто хотят получить деньги через интернет. Именно поэтому подавляющее число вредоносных программ создается именно с этой целью. Нужно зайти на чужой счет и обнулить его. При этом киберпреступники по-прежнему сталкиваются с проблемой обналичивания средств. Есть особые ОПГ, выполняющие эту функцию. Они с максимальной скоростью превращают украденные цифры в кэш.

Очевидно, что почти все хакеры не являются волшебниками. Напротив, они иногда не могут справиться даже с самыми простыми операциями. Куда уж там до кражи информации, которую и настоящий профессионал то не всегда сможет продать. Подобных преступлений в сети абсолютное меньшинство. И все-таки до определенного момента клуб компьютерных взломщиков был в каком-то смысле элитным. Теперь же все изменилось. Так же как ОПГ, обналичивающие деньги, помогают киберпреступникам увести награбленное из виртуального пространства, удобные интерфейсы позволяют даже самому недалекому хакеру зарабатывать.

Читать еще:  Пескоструйная обработка стекла как идея бизнеса

“10 лет назад практически все вирусописатели и люди, которые занимались хакерством, достаточно хорошо разбирались в технологиях, которыми пользовались. Большинство из них сами умели что-либо писать. Сейчас 2017 – это эра удобных интерфейсов. Вот интерфейс для хищения денег в системах российских банков. Это интерфейс в виде вэб-страницы на русском языке. Здесь нет черных букв на зеленом экране, как показывают в фильмах про хакеров, все на русском языке. Зараженные компьютеры разных российских бухгалтеров, на русском языке “главное, боты, слежение”, названия платежных систем – BSS, у которого 60% российского рынка, “Промсвязьбанк”, “Альфа-Банк”. Здесь, например, комментарий к данным по счету: “ключ 5,8 кк”. Это означает, что на этом компьютере, на этом счету 5 миллионов и 800 тысяч рублей. Это только один компьютер. Здесь 508 тысяч рублей, здесь, чуть дальше, 2 миллиона и 700 тысяч. С компьютером можно делать все, что угодно. Почему я показываю этот интерфейс? Потому что сейчас идет тенденция, и к 2037 это будет тенденция номер один: это становится слишком просто. Большинство преступных групп, которые этим пользуются, они не понимают даже сути самой технологии. Это превращается в некий программный продукт, и время вхождения на преступный путь крайне мало”.

Сколько же нужно потратить времени и сил, чтобы стать хакером? Сачков утверждает, что период обучения стремительно сокращается. В отдельных случаях хватает двух недель. Причина – те самые удобные интерфейсы, а также автоматизация. Если к 2037 г. общество не поймет, что киберпреступления ничем не отличаются от обычных, преступность полностью перейдет в виртуальный мир, ведь там не будет нормального правового поля, а правоохранительные органы будут работать слишком медленно. Политические конфликты между отдельными странами усугубляют ситуацию. Государства разрывают контакты в информационной сфере, и хакерам очень просто выводить свою деятельность за пределы той или иной юрисдикции.

Илья Сачков подробно останавливается и на одном из наиболее перспективных направлений развития преступности в информационном пространстве. Это кража денег в сфере интернет-банкинга. Она работает как в корпоративной среде, так и при атаках на физические лица. Средства выводятся через компьютеры бухгалтеров и, если речь идет о физических лицах, через обычные смартфоны. При правильном использовании устройства интернет-банкинг – хорошо защищенная система. Однако большинство людей легко можно обмануть. Человек сам совершает действия, которые приводят к выводу средств со счета.

“Смартфон, зараженный вирусом, показывает вам картинку и говорит: “Вам нужно привязать карточку к системе Google Play”, например. Эта картинка будет выглядеть как настоящая, которую показывает вам Android в зависимости от производителя, устройство которого вы используете. Человек вводит туда свою пластиковую карточку, потому что это совершенно нормально – привязать карточку к Google Play или на iOS привязать ее к iTunes или AppStore. После этого происходит забавная вещь. Для того чтобы перевести деньги с карты на карту в интернете, нужно сделать всего две вещи. Нужно ввести номер карты отправителя, номер карты получателя и одноразовый код, который вам банк пришлет на телефон. Теперь представьте такую ситуацию: вы злоумышленнику, введя данные своей карточки, через вирус сообщили номер карты. Номер карты у него уже есть. Телефон заражен вирусом, который умеет читать СМС. Он не только умеет их читать, он умеет их и скрывать. Соответственно, как только вы сообщили вашему смартфону, зараженному вирусом, данные своей карточки, вирус автоматически начинает переводить деньги, (этот процесс автоматизирован злоумышленником), читая СМС с входящим одноразовым кодом, и скрывая его от ваших глаз, и баланс вашей карточки исчезает за одну секунду”.

Важно учитывать, что у россиян деньги крадут россияне. Патриотизм хакеров – миф. Все дело как раз в системе обналичивания средств. Лектор уверен, что хакерская деятельность должна осуждаться обществом. И даже если русский человек ограбил кого-то в США, это не приносит России ничего хорошего, кроме денег в системе, полученных незаконным путем.

Если с этим не бороться, то вирусы превратятся в обычное ПО – продукт, который можно лицензировать кому угодно. Надеяться на неуязвимость той или иной ОС тоже не приходится. Единственная причина, по которой Mac OS атакуют меньше, заключается в том, что российская бухгалтерия использует Windows. И антивирусы не помогут. Преступники выясняют, какое защитное ПО используются, и легко находят лазейки. Стало известно, что в рамках одного из самых громких преступлений последних лет на 86% зараженных компьютеров, ставших частью ботнета, был установлен антивирус.

Грабеж со скоростью клика. Как хакеры грабят малый бизнес

— Илья Константинович, как часто банковские счета потрошат с помощью DDoS-атак?

— Такие атаки — прием достаточно частый, но есть вещи и более серьезные. Самая распространенная вещь в Интернете — мошенничество через системы интернет-банкинга, проще говоря, хищение денежных средств со счетов юридических и физических лиц. В первую очередь юридических, потому что у них суммы на счетах больше. В прессе находят отражение единичные кражи, а в реальности ситуация гораздо хуже: ежедневно только мы разбираем по 10 случаев, а по стране в целом, думаю, происходит по 60—70 хищений в день со счетов юридических лиц через системы дистанционного банковского обслуживания (ДБО). К сожалению, официальной статистики по этому вопросу не ведется.

— Вы можете оценить прибыльность этого «бизнеса»?

— Русские хакеры — те, что проживают на территории нашей страны, по нашей оценке, заработали в 2010 году 1,3 миллиарда долларов только в России. Если объединить русскоговорящих выходцев из стран бывшего Советского Союза, то будет уже 2,5 миллиарда долларов. Для примера я покажу вам на экране выписку из интернет-кошелька реального хакера, проживающего в Москве, в отношении которого сейчас идет расследование. Смотрите: приход денег за один день 11 августа 2010 года: 40 тысяч долларов, 31 тысяча долларов, еще 40 тысяч долларов и дальше в том же духе. И это только за один день!

— Наверное, не все эти суммы уходят через системы ДБО? Есть, например, корпоративные банковские карты, которые также представляют интерес для мошенников.

— По нашим оценкам, кражи с корпоративных карт — копейки по сравнению с мошенничеством в ДБО. Именно на взломы систем клиент — банк приходится основная доля доходов преступников. То, что вы видели на экране, — реальный доход всей преступной группы. Владелец интернет-кошелька — организатор группы, он получит около 80 процентов. Смотрим далее: приход за полтора месяца — 24 миллиона долларов. Это объемы хищений со счетов российских юридических лиц. В основном страдает малый бизнес, иногда — крупный. Данный случай не исключение, а скорее новый формат реальности. В России, где и так все очень сложно с юридическими доказательствами компьютерных преступлений, это потенциальный источник коррупции в правоохранительных органах.

— Как хакерам удается попасть в защищенную банковскую систему?

— Через корпоративные ПК юридических лиц, клиентов банка, на которых установлено ПО удаленного управления банковскими счетами. Чаще всего это делается с помощью вредоносных программ. Заразить компьютер бухгалтера специальным вирусом — банковским трояном — можно, по сути, двумя основными способами. Либо вирус занесет сообщник преступников, работающий в компании, этакий засланный казачок. Либо троян подхватит сам бухгалтер, который с рабочего компьютера «серфит» по просторам Интернета и может посетить зараженный сайт. В любом случае заражение компьютера — следствие халатного отношения к основным правилам информационной безопасности. Ведь в идеале для проведения платежей бухгалтер обязан иметь портативный ПК, который следует хранить в сейфе и доставать только для работы в системах интернет-банкинга. Но это в идеале, а на практике вирус, внедрившийся в бухгалтерское ПО, формирует подложное платежное поручение на перевод денег со счета жертвы на счет специально зарегистрированной фирмы-однодневки.

— Но сразу воспользоваться всей суммой вряд ли удастся?

— Конечно, это может привлечь внимание. Поэтому в состав преступной группировки входят не только хакеры, но и люди, отвечающие за вывод денег с банковских счетов и обналичивание. В этой части хакеры тесно взаимодействуют с традиционной преступностью. Так, деньги, уведенные со счетов юридических лиц, отправляются чаще всего в Екатеринбург или Челябинск — там продолжают действовать организованные преступные группировки, которые еще с 90-х занимались обналичкой. Они дробят первичную сумму, переводя ее на счета других фирм-однодневок либо подставных физических лиц. Задача — распределить исходную сумму на множество счетов физических лиц (они называются дропы, обычно это бедные студенты, бомжи и т. д.) так, чтобы дропы могли легко снять «свои» суммы за два-три подхода к банкомату в течение дня. За небольшое вознаграждение они это делают и сдают наличность конкретному лицу из банды. Схемы обналички, естественно, разрабатываются заранее, но есть рынок, скажем так, услуг под ключ. Если не верите, наберите фразу «обналичить деньги» в любой поисковой системе.

— Что потом происходит с наличными деньгами?

— Потом кэш перевозится в Москву и вводится в электронную платежную систему, например WebMoney или «Яндекс. Деньги». Нужно ведь каким-то образом перевести наличные деньги на счета преступников и одновременно окончательно замести следы. Электронный кошелек здесь лучшее средство, потому что после этого этапа деньги уже невозможно отследить. Далее владелец кошелька раскидывает деньги по другим кошелькам: хакерам, ответственным за связи с разными ОПГ и т. д. Чтобы вычислить подобную схему обналички, правоохранительным органам и нам в качестве аналитиков понадобилось два года работы. Это было непросто, потому что таких электронных платежных систем много, государством они не контролируются.

— Это же рай для преступников!

— На словах это называется более красиво — концепция свободной рыночной экономики. Она зиждется на трех китах: нет контроля со стороны государства (прямые контракты), нет налогов, и на эти деньги можно купить все, что угодно. Конечно, напрямую оплатить, скажем, недвижимость электронной валютой вы не сможете, но деньги можно легко обналичить и приобрести ту виллу, которая приглянулась. Схемы обналичивания электронных валют гораздо проще, чем вывод денег с банковских счетов, ввиду отсутствия такого жесткого контроля, который имеется в банковской среде.

— Как с этой проблемой справляются в других странах?

— В США многие люди понимают, что если хакер находится на территории США и действует против интересов страны, то с вероятностью 90 процентов в ближайшее время его арестуют. В Европе во многих странах фактически невозможно обналичить деньги юридического лица. По сути, существует три сдерживающих фактора: чувство наказуемости, экономическая нецелесообразность и техническая невозможность. У нас же сложилась парадоксальная ситуация: отсутствуют все три. Соответственно, человек, не обремененный совестью, легко может начать преступный бизнес и в день зарабатывать миллион долларов, ведь технически это не очень сложно.

— Давайте сразу условимся, что мы не пишем инструкцию для начинающего хакера. То, о чем мы говорим, — преступление, и этим нельзя заниматься, даже из природной любознательности. Доходы, которые вы видели на экране, не просто цифры, это чей-то потерянный бизнес, чья-то семейная трагедия.

Читать еще:  Производство мебели: как превратить хобби в бизнес

Теперь о ключевых моментах преступной схемы. Первым делом злоумышленнику нужно создать бот-сеть зараженных компьютеров и вирус, который эти компьютеры заразит. Если стоит задача именно заработать, нужен вирус высокого класса, который не детектируется антивирусами и представляет собой некий конструктор. Он стоит 5—6 тысяч долларов. Еще нужно купить хостинг, где доступ к содержимому серверов гарантированно закрыт для любых правоохранительных органов. Это специальное направление деятельности преступного мира — создание специализированных хостинговых сред для предоставления нелегальных услуг.

— Огромный. И стоит такой хостинг недорого: 150—200 долларов в месяц. Большинство коммерческих центров обработки данных (ЦОД) таковыми не являются, но в моей практике встречались вполне легальные ЦОДы, которые тайно подрабатывали хостингом для преступников, ведь это очень выгодно. В том числе и в России, к сожалению.

— И как вирус будет распространяться по Сети?

— Нужен распространитель вредоносного ПО по Интернету. Для этого есть целые группы злоумышленников, которых называют заливщиками. Это люди, которые распространяют вредоносное ПО за деньги. Заражение 1000 машин стоит 20 долларов, примерно 600 рублей. Но обычно заказчик тратит побольше, долларов 500, чтобы заразить большее количество машин. Вирус — маленький загрузочный модуль — попадает в компьютеры, превращая их в зараженные боты. А сам организатор наблюдает с помощью панели управления, как ведут себя его боты.

Последний писк в этой сфере: вирус сам пытается понять, что можно украсть с данного компьютера. В первую очередь ищет входы в банковские платежные системы. Если они есть, загружает на компьютер модуль для работы с бухгалтерским ПО банка. Если нет, пытается найти платежное ПО для физических лиц: WebMoney, «Яндекс.Деньги» и т. д. Нашел — загрузил соответствующий модуль. Если ничего этого нет и денег с компьютера напрямую заработать нельзя, все равно его можно использовать: например, для рассылки спама либо для DDoS-атак. Максимум 8 тысяч долларов — это стоимость входа на рынок киберпреступности.

— Как вирусу удается безнаказанно творить свое черное дело, ведь банки инвестируют огромные средства в системы безопасности?

— Преступники заказывают высококлассные вирусы, которые в состоянии обходить антивирусы и другие виды защиты. Причем современные банковские трояны обеспечивают хакерам возможность не только удаленного доступа, но и сокрытия следов преступлений. Как это делается? Как только подложное платежное поручение отправлено, главная задача преступников — ограничить доступ бухгалтера к системе интернет-банкинга. Чаще всего они удаляют один из компонентов операционной системы зараженного компьютера. В то время когда все силы клиента банка брошены на восстановление работы компьютера, деньги покидают его счет.

— Возникает интересный вопрос: кто виноват в произошедшем? Клиент банка, допустивший заражение компьютера, или банк, выдавший ему такое ПО, которое не защищено от атак вирусов?

— С одной стороны, ответственность за инцидент лежит на клиентах, которые часто пренебрегают обоснованными рекомендациями банков. А они, между прочим, прописываются в каждом договоре на предоставление услуг ДБО. С другой стороны, банки обязаны отслеживать странные платежи — например, единоразовый перевод крупной суммы на счет физического лица. Операционист должен такой платеж заблокировать, позвонить в компанию и получить подтверждение от бухгалтера. К сожалению, на практике не всякий банк придерживается таких стандартов.

— Что делать пострадавшему?

— Практически любые действия хакеров — это преступление. Поэтому в обязательном порядке следует обращаться в полицию. Правда, пострадавшие крайне редко это делают.

— Почему? Не верят в успех?

— Отчасти да, не верят, ведь примеров успешных расследований очень мало. Хорошо то, что в нашей стране вообще появилась такая специализированная компания, как наша. На Западе таких много, это целый рынок услуг.

— Представим, что пострадавший владелец компании приходит в местное ОВД. Ведь на него посмотрят как на идиота?

— Вполне вероятно, заявление постараются не принять. И к этому походу следует готовиться заранее. Во-первых, нужно самому четко понимать, что произошло преступление, ведь с правовой грамотностью населения в сфере информационной безопасности у нас кошмар. И это преступление описано в Уголовном кодексе. Во-вторых, нужно четко знать, что сотрудник полиции обязан принять заявление, и отказ — это фактически должностное преступление. В-третьих, нужно правильно описать состав преступления. Рекомендации по тому, как писать письмо, достаточно легко найти в Интернете: и на нашем сайте, и на других. Если происходит DDoS-атака, желательно приложить нотариально заверенную веб-страницу. В Москве есть (и в регионах уже появляются) такие веб-нотариусы, которые подтверждают, что на компьютере нотариуса нет доступа к ресурсу. Мораль такова: если человек подготовится к визиту в ОВД, это увеличит шансы того, что расследование будет успешным или хотя бы будет возбуждено уголовное дело.

— То есть заявление в полицию, по-вашему, это и есть панацея?

— Обращаться нужно, хотя бы для статистики. Смотрите: штат полиции могут увеличить лишь на основании зарегистрированных преступлений, но сейчас официальная статистика МВД в части высокотехнологичных преступлений совершенно неадекватная. Поэтому соответствующих специалистов катастрофически не хватает: на одного сотрудника полиции в области компьютерных преступлений приходится, думаю, около 100 заявлений, может быть, больше. И работа в основном происходит на бумаге.

— По-моему, нашим правоохранителям куда приятнее поймать бедного студента, который поставил на компьютер нелицензионную версию операционной системы или бухгалтерской программы…

— Я понимаю желание людей заниматься именно такими расследованиями, потому что технически это гораздо проще. Но это полный бред, когда один человек ворует 5 миллионов долларов и получает за это пять лет условно, а другой за нелицензионную ОС садится на два реальных года. Государству нужно срочно вмешаться в эту неразбериху с компьютерной преступностью! Если ничего не делать, завтра будет гораздо хуже: доходы хакеров растут, а с ними — возможности влияния. Если в 2000 году компании ставили защиту, а хакеры ее ломали, то сегодня, когда у преступника 24 миллиона долларов ежемесячного дохода, роли поменялись: хакер совершает преступления, а компании и организации пытаются его догнать. Через два года мы вообще можем потерять контроль над Интернетом, и тогда с хакерами будет бесполезно бороться. Потому что у них будут свои люди в Госдуме, где они станут проводить свои законы.

— Недавно Российская ассоциация электронных коммуникаций предложила внести поправки в УК РФ в части ответственности за компьютерные преступления. Это поможет?

— Я являюсь сопредседателем комиссии РАЭК по информационной безопасности и киберпреступности и принимаю непосредственное участие в разработке этих поправок. Мы рассчитываем завершить работу к осени. Но даже если все исполнится так, как задумано, такая нормативная база будет отлично работать только в том случае, если хакер находится в России и преступление совершено тоже в России. Как только хакер оказывается за рубежом, без сотрудничества правоохранительных органов разных стран ничего сделать нельзя. Есть, например, международная конвенция, которая позволяет странам, подписавшим ее, в частности США, обмениваться данными, необходимыми для расследований, в онлайн-режиме. Россия к этой конвенции не присоединилась, и потому у нас трансграничное общение идет по старинке: бюрократия, бумага, визирование… Правда, в этой конвенции есть определенные нюансы. Например, если мы подключимся к ней, то, скажем, правоохранительные органы США смогут вести собственные расследования на нашей территории, не ставя нас в известность. Вступать в международные союзы нужно обязательно, но при этом контролировать некоторые тонкие вопросы.

Ограбить банк за пять минут

Это только в кино ограбления банков выглядят эффектно — пальба, взрывы, звон сигнализации, вой полицейских сирен, скорость. В жизни все куда более прозаично, но от этого не менее результативно. По оценкам опрошенных Банки.ру экспертов, в Москве еженедельно совершается несколько попыток ограблений в офисах банков, не говоря уже о банкоматах и инкассаторах. Сумма ущерба от таких краж исчисляется десятками миллионов долларов в год. А если еще вспомнить о киберпреступлениях и хакерских атаках…

В начале июля на юго-западе Москвы было ограблено отделение Сбербанка. Вооруженный грабитель, помахав пистолетом по сторонам, похитил 200 тыс. рублей. Примерно за месяц до этого Сбербанк уже попадал в криминальные сводки: воры, проведя почти целую ночь в офисе банка у метро «Парк культуры», вынесли 20 млн рублей. По частоте краж можно подумать, что у преступного мира просто зуб какой-то на лидера банковского рынка. Но грабят, конечно, не только Сбербанк, просто у него больше всего отделений по стране.

Статистика ограблений

Банки в России обворовывают достаточно часто, хотя далеко не все случаи получают огласку. Чаще всего действительно кражи случаются в офисах крупных банков. Мошеннические технологии развиваются довольно быстро, а вот «неповоротливые» кредитные организации не всегда за ними поспевают. Например, они не успевают обновить системы защиты во всех своих точках присутствия.

Ограблений с пальбой из пистолета в реальности уже давно не происходит. И дело тут не в том, что люди стали более цивилизованными. Просто такие кражи с большой вероятностью окончатся неудачей. «Чтобы ограбить отделение банка, нужен как минимум час, — рассказывает руководитель направления по охране недвижимости компании «Цезарь Сателлит» Илья Каковкин. — По требованиям ЦБ кассы в офисах сейчас бронированы, практически у всех сотрудников есть доступ к тревожной кнопке. Как только преступник появляется в офисе, обязательно нажмет эту кнопку, за всеми проследить невозможно. А после нажатия кнопки у преступника остается 5—7 минут, за это время вряд ли можно успеть».

Зачастую в ограблениях виноваты сами банки. Финансовые институты стремятся покрыть наибольшую территорию России своими отделениями и банкоматами. Но точки обслуживания не всегда располагаются в защищенных местах, да и вообще о надлежащей защите, по оценкам экспертов, заботится порядка 5—10% кредитных организаций. А ведь только в Москве, по данным «Цезарь Сателлита», каждый день совершается пять-шесть попыток ограбления банкоматов и инкассаторов, а также одно-два нападения на банковские отделения в неделю.

Профессионалу много не надо

Чаще всего обворовывают банкоматы и платежные терминалы. При этом банковскую аппаратуру грабят двумя способами. Либо увозят куда-то, где вынимают деньги, а также разбирают на запчасти. Например, в терминалах самый дорогой элемент — это счетчик купюр, он для воров зачастую представляет большую ценность, чем деньги. Для кражи-перевозки грабителям нужно отделить банкомат от места, на котором он стоит, — оборудование отпиливают и даже взрывают. «В нашей практике был такой случай. Аптека была под нашей охраной, рядом стоял банкомат. И вот его взорвали вместе со стеной аптеки», — рассказывает Илья Каковкин. Другой способ — вскрыть банкомат прямо на месте. Профессионалу для этого потребуется 5—7 минут.

На втором месте по популярности воровство с помощью высоких технологий. Это, например, такие случаи, когда воры подделывают документы и по ним переводят средства на свои счета. Также практически во всех банках случаются виртуальные кражи, оплата товаров и услуг с использованием реквизитов пластиковой карты клиента без его ведома. Много средств клиенты банков теряют и в результате кибератак. По словам начальника управления трансакционных и сберегательных продуктов Абсолют Банка Марии Коханюк, в последнее время появляется все больше сервисов, позволяющих перевести средства с карты на электронный кошелек, а затем обналичить их. Мошенники любят использовать такие инструменты.

Читать еще:  Как найти идею для бизнеса?

«Физические» кражи происходят, как правило, ночью. Преступники сканируют милицейские частоты, выставляют на улице слежку, взламывают сигнализацию и грабят банк. Днем деньги находятся в кассе, и для того, чтобы их украсть, нужно взломать бронированную кассу. Ночью, если деньги не вывезены из отделения в централизованный депозитарий, они переносятся в хранилище или специальный сейф, который обязательно есть в каждом банковском отделении. В этом случае мошенникам нужно взломать еще и это хранилище. Так, в принципе, и произошло в отделении Сбербанка у метро «Парк культуры». Другой вопрос — это качество сигнализации в данном отделении. Она была вскрыта верным кодом. Во многих банках уже внедрены сигнализации, установленные на определенный режим времени. И если даже будет введен верный код, но после окончания рабочего дня — это все равно тревожный сигнал для служб реагирования (ЧОПов или полиции).

Кто же вор?

По словам Ильи Каковкина, такие ограбления, как в Сбербанке, — это практически на 80% вина сотрудников кредитной организации. Случаи могут быть либо умышленные — из работников банка участвовал и/или спланировал, либо без умысла — просто проболтался, ведь преступникам были известны и код, и тот факт, что в банке ночью оставались деньги. А ведь кредитные организации, как правило, инкассируют их каждый день.

Но существуют и виртуальные кражи, в которых персонал принимает непосредственное участие. «Такой пример из нашей практики: клиент — юридическое лицо небрежно относился к доступу в онлайн, инсайдер составил прямо в онлайне платежное поручение и подготовил его к подписанию, замаскировав среди множества других документов, а директор не глядя подписал, — рассказывает руководитель экспертной группы банковских технологий СБ Банка Максим Волков. — К счастью для компании, документ был составлен некорректно и не подлежал исполнению. Факт вскрылся, когда банк решил уточнить у представителей компании цель платежа».

Несмотря на то что мошенники такие умные и «высокотехнологичные», защищаться от них можно и нужно. Так, в банкоматы помещают специальные чипы, которые позволяют отследить местонахождение банкомата, даже если его увезут. Учитывая, что в каждом банкомате может находиться до 15—20 млн рублей, дешевле потратиться на чип. Также в АТМ или рядом с ними устанавливаются системы видеонаблюдения в режиме реального времени. То же самое касается «физических» краж: здесь также важнейший инструмент защиты — постоянное видеонаблюдение за всеми помещениями банка и прилегающей территорией, которое должны осуществлять обученные операторы. Они, кстати, не только повышают безопасность банка, но и улучшают качество обслуживания.

«В каждом отделении банка круглосуточно дежурит охрана, в распоряжении которой имеется все, что необходимо для немедленного реагирования при возникновении различных инцидентов, — рассказывает заместитель предправления банка «Ренессанс Кредит» Олег Скворцов. — В клиентской зоне и кассовых узлах в режиме онлайн ведется видеонаблюдение, а кассы оборудованы индивидуальными кабинами». При этом все больше банков предпочитают «живой» охране технологическую. «Современные системы охраны, сигнализации гораздо более совершенны, чем человек, который может заснуть, который не всегда готов дать отпор при нападении и так далее, — рассказывает Илья Каковкин. — И это правильно, более безопасно, более надежно».

Что касается краж виртуальных, то здесь также работает ряд технических инструментов. Главный принцип защиты заключается в создании нескольких каналов связи между банком и клиентом. При получении распоряжения по одному каналу связи банк может использовать другой канал для оперативного подтверждения или уведомления клиента. По словам начальника управления банковских информационных технологий банка «Западный» Максима Турчанинова, популярным способом защиты является внедрение аппаратной и двухфакторной авторизации, что существенно уменьшает вероятность успешной атаки киберпреступника.

«Мы, во-первых, используем мгновенное СМС-информирование о произведенных операциях, что позволяет тут же заблокировать карту и не потерять все свои деньги, — делится Мария Коханюк. — Во-вторых, мы устанавливаем ограничения для операций в рискованных точках совершения платежей, проводим мониторинг операций по пластиковым картам». Например, если один платеж прошел в супермаркете в Москве, а следующий — через 5 минут в гостинице в Малайзии, это как минимум вызовет подозрения сотрудников банка.

И все же, какими бы совершенными ни были технические инструменты, все эти меры защиты дают осечку. Система видеонаблюдения отключается, верный код от сигнализации можно узнать, а банкомат вообще распиливается, как выясняется, за 5 минут. В принципе, может помочь страхование, оно выступает неким гарантом: что бы ни случилось, банк вернет свои деньги. Но и здесь есть определенные нюансы.

Во-первых, это довольно дорого. Стоимость варьируется в зависимости от срока страхования, специфики и размера бизнеса, системы управления рисками и внутреннего контроля. В среднем, без учета затрат банка на содержание спецслужб, стоимость может составлять 0,01—0,2% от суммарной стоимости имущества и ценностей организации в зависимости от зон риска, в которых это имущество и ценности находятся.

Во-вторых, при наступлении страхового случая от момента совершения кражи до момента возмещения ущерба может пройти немало времени. А так как во многих случаях мошенничеств и краж отчасти или целиком виноваты сотрудники банка, последнему еще приходится доказывать страховщику, что это не вариант мошенничества со стороны самой кредитной организации. В-третьих, в будущем кражи повышают и стоимость страховки для банка, и требования со стороны страховщика по усилению мер безопасности, что опять же может быть накладно для банка.

Киберпреступники грабят банки, используя сложные АРТ-техники

Xakep #249. Wi-Fi

В ходе саммита Security Analyst Summit эксперты команды GReAT (Global Research & Analysis Team) «Лаборатории Касперского» рассказали, что хакеры берут на вооружение всё более сложные техники. В последнее время злоумышленники стали применять трюки, которые ранее можно было увидеть только в исполнении APT-группировок.

Эксперты опубликовали отчет, в котором рассказали, что у группы Carbanak, наделавшей много шума год назад, появились последователи, действующие в том же стиле: Metel и GCMAN. Год назад Carbanak первыми продемонстрировали использование сложных APT-техник и кастомной малвари, что помогло им ограбить сотни финансовых организаций в 30 странах мира, похитив при этом миллионы долларов.

Здесь стоит пояснить, что к APT-группам относят так называемых «правительственных» хакеров – профессионалов своего дела, которых предположительно спонсируют государства. К примеру, такие хакеры применяют свои знания для проведения сложных кампаний кибершпионажа. APT-группы не занимаются хищением денег у банков и пользователей, у них совсем иные задачи и цели.

Хакеры Carbanak, а теперь и группы Metel и GCMAN, адаптировали тактики и технологии APT-групп для более приземленных нужд – они атакуют в основном банки и финансовые организации, преимущественно российские. Кроме того, группировки активно применяют в своих атаках легальное ПО, что помогает им не тратить время и силы на разработку специального софта, а также позволяет минимизировать риск обнаружения в зараженной системе. Также преступники изобрели новые схемы обналичивания украденных денег.

«Атаки на финансовые организации, которые мы наблюдали на протяжении 2015 года, свидетельствуют о тревожной тенденции: киберпреступники все активнее начинают использовать сложные инструменты, применяемые в кампаниях кибершпионажа и АРТ-атаках. Carbanak был лишь началом. Злоумышленники учатся быстро, и все чаще они предпочитают атаковать не пользователей, а непосредственно банки – ведь деньги хранятся именно там, – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы стремимся указать, где и как именно киберпреступники смогут нанести удар с целью украсть деньги. Поэтому зная, например, о стиле GCMAN, стоит проверить, насколько хорошо обеспечена безопасность банковских серверов, а в случае с Carbanak внимание стоит уделить защите баз данных, в которых содержится не только информация о балансе, но также сведения о собственниках счетов».

Metel

Название группы Metel происходит от названия одноименной малвари, которую применяют злоумышленники. Вредонос также известен под именем Corkow.

Для заражения корпоративных сетей банков хакеры используют таргетированные фишинговые атаки, рассылая письма с вредоносными вложениями или используя эксплоит Niteris, направленный на уязвимости в браузерах. В случае успешного заражения, для «закрепления успеха» атакующие применяют легальные технологии, предназначенные для пентестинга. В итоге хакерам удается получить в свое распоряжение контроллер локального домена, а затем и доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.

Но примечательна группа Metel не этим, а изобретением интересного метода снятия украденных денег в банкоматах. Злоумышленники посылают своих сообщников в банкоматы других банков, чтобы те сняли деньги с действительного банковского счета в зараженном банке. Так как на данном этапе злоумышленники уже контролируют ресурсы внутри зараженного банка и имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), они осуществляют откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. Пропажа средств обнаруживается позже, когда след хакеров уже простыл.

Специалисты GReAT рассказали, что хакеры ездили по разным городам России и в течение всего одной ночи снимали через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. Только в одну из таких ночей преступники похитили несколько миллионов рублей. Это свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают все, что им нужно, и сворачивают операцию в течение считанных дней или даже часов.

На данный момент от малвари Metel пострадали более 30 финансовых учреждений.

GCMAN

Хакеры из GCMAN действуют иначе – их конек, это скрытность. Группа получила имя в честь GCC (GNU Compiler Collection), который используется в их кастомной малвари. Эти парни предпочитают заражать банки по-тихому, не привлекая внимания, а затем переводят средства малыми суммами, используя различные сервисы криптовалют.

Для заражения сетей финансовых учреждений злоумышленники тоже используют таргетированый почтовый фишинг. Если жертва откроет вредоносный RAR-архив, присланный во вложении, дело можно считать сделанным – компьютер заражен вредоносом GCMAN.

Впрочем, эксперты отмечают, что хакеры далеко не всегда использовали фишинг. Группа проводит успешные атаки, не применяя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты для пентестов. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка.

В отличие от Metel, GCMAN никуда не торопятся и подходят к делу обстоятельно. В одном случае злоумышленники находились в зараженной системе полтора года, прежде чем начали красть деньги. Но когда атака входит в активную фазу и перевод средств начинается, хакеры не медлят. Каждую минуту группа GCMAN может переводить до $200 – лимит для анонимных платежей в России. Все украденные деньги уходят на различные криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием средств. Поручения на транзакции в таких случаях направляются напрямую в банковский платежный шлюз, но не отображаются ни в одной из внутренних банковских систем.

Фото: “Лаборатория Касперского”, Tax Credits

Ссылка на основную публикацию
Adblock
detector