Кибербанкинг

20.03.201600:00

Помните начало фильма «Операция Ы» или то, с чего закрутился весь сюжет, знаменитую фразу «Там все уже украдено до вас»? Она стала весьма актуальна для банкиров во время последнего кризиса, когда Центробанк, отзывая лицензии, стал «неожиданно» обнаруживать огромные бреши в бюджетах банков. Оказывается, на протяжении долгих лет руководство банков «пылесосило» рынок вкладов, предлагая ставки откровенно выше рыночных, а затем выводило средства через фиктивные кредитные договоры. Как говорится, ни денег, ни тех, кто будет отвечать за сложившуюся ситуацию. А отвечать приходится самим вкладчикам и заемщикам банков.

Не стоит забывать, что фонд Агентства по страхованию вкладов (АСВ) формируется за счет взносов банкиров, которые, в свою очередь, перекладывают это бремя на своих клиентов. То есть мы с вами, и никто другой, оплачиваем красивую жизнь где-нибудь на Лазурном берегу или в Лондоне таких фигурантов громких банковских дел, как Сергей Пугачев (Межпромбанк), Андрей Бородин (Банк Москвы), Илья Юров («Траст»), Сергей Леонтьев (Пробизнесбанк), Анатолий Мотылев («Российский кредит»). Правда, в последнее время уходить от ответственности тем, кто выводит средства за рубеж, становится все сложнее: начались первые «посадки». В феврале был арестован один из предполагаемых организаторов вывода средств из Анталбанка – известный ингушский бизнесмен и бывший президент этой кредитной организации Магомед Мухиев.

В марте стало известно, что суд приговорил к четырем годам заключения (правда, с отсрочкой на 10 лет) экс-главу банка «Огни Москвы» Марию Росляк. По версии следствия, она в 2010–2014 гг. выдавала кредиты подконтрольным руководству банка фиктивным фирмам. Таким образом из банка вывели свыше 6,2 млрд руб. Кроме того, в апреле–мае 2014 г. из банка похитили 365,5 млн руб. средств вкладчиков под видом заключения договоров об уступке прав требования. Следовательно, в последнее время заниматься выводом средств через «классические» схемы с подставными фирмами стало делом весьма опасным. Но нечистые на руку банкиры изыскивают новые способы «отложить на старость» где-нибудь в швейцарском банке пару десятков миллионов долларов. Эксперты не исключают, что в этом им могут помочь хакеры: во-первых, на их атаки можно списать то, что «уже украдено до вас», а во-вторых, есть шанс использовать киберпреступников для вывода средств из собственных кредитных организаций.

Тайные покровители

«Да, в общем-то, это вариации давно известных сценариев: инсценировка кражи для прикрытия растраты и мошенничество при содействии инсайдеров высокого уровня, – говорит директор по информационной безопасности Parallels, а в прошлом известный хакер, нашедший брешь в системе Citibank, Алексей Смирнов. – Подобный вариант весьма реалистичен, если разделение полномочий внутри банка реализовано недостаточно качественно (или с намеренно внесенными недостатками). А если в сговоре участвуют сотрудники, обладающие технической возможностью реализации подобной схемы, доказать причастность будет очень сложно». Алексей Смирнов отмечает, что доказанных случаев сговора хакеров и банкиров с целью вывода средств он не знает, но это «совершенно не значит, что их нет, я бы даже удивился, если бы их не было».

По неподтвержденным данным, в ЦБ тоже заинтересовались возможностью вывода средств со счетов проблемных банков под прикрытием хакерских атак, которые в последнее время приняли подозрительно массовый характер. «Такие опасения действительно имеются. Есть достаточно большое количество успешно реализованных кибератак на банки, и участие в них самих кредитных учреждений не стоит сбрасывать со счетов. Если система не является черным ящиком для атакующего, если он знает ее изнутри, ему гораздо проще совершить с ней какие-то противоправные действия», – отмечает руководитель проектов по информационной безопасности компании «Крок» Павел Луцик. По его словам, если в реальной жизни преступники заметают следы, уничтожая улики, например, устраивая пожары в помещениях с важными документами, то и в киберпространстве есть такие методы. К их числу, в частности, относятся массированные DDoS-атаки на сетевые и информационные ресурсы банка для сокрытия основного вектора атак – проникновения в целевые системы. Другой способ замести следы – направленное размещение в критичной системе вредоносного ПО. Оно не только выводит информацию или денежные средства, но также удаляет все данные, которые могли бы свидетельствовать в пользу проникновения. Скрыться от преследования также можно, пытаясь преподнести вывод средств как массовую хакерскую атаку на целый ряд банков, хотя реальной целью может являться только один, с руководством или собственниками которого хакеры вступили в сговор.

«Сценарий абсолютно реальный: в ходе работ по тестированию на проникновение часто приходится на практике демонстрировать банкам возможность доступа к счетам клиентов. Использовать такой прием для вывода средств из проблемных банков тоже можно, в этом случае задача хакеров даже упрощается благодаря фактически содействию со стороны банка», – подтверждает директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов. Однако руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов утверждает, что ни разу не сталкивался с выводом денег из банка под прикрытием хакерских атак. «Все инциденты, в расследовании которых мы принимали участие, были связаны с действиями киберпреступных групп. Кто стоит за кибератаками и с какой целью они были организованы, предстоит выяснить правоохранительным органам», – заключает эксперт.

Без злого умысла

В середине марта произошла одна из самых массовых и хорошо спланированных хакерских атак на российские банки. Особенностью этой атаки стало то, что киберпреступники выдавали себя за работников Центробанка, причем не рядовых клерков, а сотрудников специального отдела, который борется с киберпреступлениями в банковской сфере. «Мы видим, что киберпреступники не только обладают хорошими навыками и изощренными инструментами, но и тщательно продумывают сценарии атак. На этот раз они использовали бренд FinCert, созданный с обратной целью – предупреждать финансовые организации о киберугрозах, – комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. – Что касается совершенствования техники киберпреступников, то это уже обычная практика – использовать в атаках на банки легальные инструменты, чтобы скрыть следы вторжения в систему». Буквально за несколько дней до этого инцидента стало известно, что хакеры попытались похитить со счетов Металлинвестбанка в ЦБ 667 млн руб. Списанные средства переводились на счета частных лиц в разных банках России. Чтобы остановить переводы, банку пришлось сделать запрос на отключение от системы расчетов Центробанка.

«Банк оценивает размер потерь от данного преступления в 200 млн руб. Сумма, которую злоумышленники пытались похитить, составляет менее 1% от активов банка, размер потерь меньше прибыли, полученной банком с начала 2016 г., а это более 400 млн руб.», – говорится в официальном пресс-релизе Металлинвестбанка.

По данным представителя ЦБ, по состоянию на 1 марта 2016 г. таким же атакам за последний год подверглись 19 финучреждений. Совместными действиями Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, банков и правоохранительных органов в l квартале 2016 г. удалось предотвратить хищение более 1 млрд руб.

«Наш банк столкнулся с хакерской атакой в начале февраля этого года. Благодаря нашим IT-специалистам, которые вовремя заметили начало этой атаки, а также своевременной помощи правооохранительных органов хакерам не удалось нанести банку ущерб. Ни банк, ни клиентские средства, к счастью, не пострадали, – рассказала «Ко» официальный представитель банка «ВПБ» Юлия Мячина. – Поэтому мы считаем маловероятным сценарий, когда банки будут сами провоцировать вывод средств таким образом. Сейчас действительно идут массовые атаки на банки со стороны хакеров, это реальные угрозы, с которыми нужно бороться, думаю, что должны быть выработаны меры защиты от подобных нападений». Консультант по безопасности компании Check Point Software Technologies Виктория Носова также полагает, что в недавних хакерских атаках не было злого умысла банкиров: «Мы ежемесячно отмечаем значительный рост объема вредоносного ПО, и, согласно многочисленным исследованиям, первыми в списке целей для хакерских атак стоят как раз банки и финансовые организации. Причина в том, что очень многие кредитные организации не до конца соблюдают меры безопасности и стандарты PSI DSS. – говорит эксперт. – В банке, например, может быть хорошо защищена только та область сети, которая подпадает под этот стандарт. Оставшаяся часть сети может иметь более простые или устаревшие методы защиты. Поэтому есть вероятность, что пострадавшие банки просто имели недостаточный уровень защиты, в результате чего и стали жертвами хакеров».

Банальный «развод»

Широко известных примеров участия руководства банков в хакерских атаках на самих себя действительно пока не зафиксировано, или, по крайней мере, эти факты не предаются огласке. Но атак на банки довольно много, среди них могут быть и, так сказать, самонаправленные, но не раскрытые (по крайней мере, пока). 

«Среди атак на банки можно вспомнить, например, взлом трейдинговой системы Энергобанка. По данным банка, к атаке мог быть причастен его бывший сотрудник. В результате хакерской атаки на банк в 2015 г. курс доллара на Московской бирже вырос на 5 руб., и финансовая организация понесла существенные потери», – напоминает Павел Луцик. Другой пример – «Операция Buhtrap», атака, которая продлилась больше года и была нацелена на российский банковский сектор. В ходе атаки на компьютеры банковских сотрудников загружалась шпионская программа, которая отслеживала и передавала на удаленный сервер нажатие клавиш и содержимое буфера обмена, а также перечисляла смарт-карты, присутствующие в системе.

Или взять, например, относительно недавнюю атаку с использованием вредоносного ПО Dyre, с помощью которого атакующие сумели похитить десятки миллионов долларов из Bank of America и JP Morgan Chase & Co. Дмитрий Кузнецов напоминает про недавнюю аферу, в результате которой хакеры, взломав систему ЦБ Бангладеш, получили доступ к золотовалютным резервам и перевели на счета некой некоммерческой организации $81 млн. И такие прямые атаки на банки сегодня приобретают все большую популярность. Кстати, популярность подобных атак начала расти с декабря 2012 г., когда хакеры взломали процессинговые центры двух банков, после чего их сообщники, действуя одновременно более чем в 20 странах мира, сняли в банкоматах около $45 млн наличными в течение нескольких часов. Этот случай был не первым, но, безусловно, на тот момент беспрецедентным по объему похищенных средств и уровню организации кибернападения.

С тех пор атаки подобного типа случаются регулярно (резонансными становятся 1–2 инцидента ежегодно, и при каждом атакованный банк теряет от $10 до $50 млн). «Теоретически возможна и имитация хакерской атаки, чтобы скрыть растрату или вывод средств. В любом случае нужно найти квалифицированных и доверенных специалистов. Реальные мошенники заподозрят в таком заказе провокацию правоохранительных органов, а большинство объявлений «Взломаю ИС любой сложности» – банальный «развод», – уверен Дмитрий Кузнецов.