Главная → Новости → Кибератаки на банковские счета: виды и способы борьбы с ними

 

Кибератаки на банковские счета: виды и способы борьбы с ними

Какие виды существующих кибератак сегодня наиболее популярны и проблемы доказывания их применения в суде – в материале.

Виды атак, которым может подвергнуться компания

Директор по методологии и стандартизации компании “Позитив Текнолоджиз” Дмитрий Кузнецов отметил, что в большинстве случае злоумышленники стремятся технически закрепиться в структуре организации для получения информации и доступа к управлению компьютером для проведения финансовых операций. Он выделил следующие возможные способы:

• адаптация вредоносного программного обеспечения путем рассылки писем;
• осуществление взлома веб-приложений или проникновение через сторонние организации, например, через обновление системы, созданной для бухгалтерской отчетности – в этом случае инфицированный модуль обновления охватывает все компьютеры, на которых стоит программа.

По словам эксперта, злоумышленники проводят предварительную разведку и подготовку атаки, собирая сведения об организации или банке: используемое ПО, сведения о сотрудниках, партнерах, контрагентах и бизнес-процессах. После того как атака подготовлена и осуществлена, они организовывают инфраструктуру для обналичивания денежных средств. Дмитрий Кузнецов отметил, что не всегда получается вычислить злоумышленников, так как они нередко подделывают адрес электронной почты отправителя, указывая, например, адрес контрагента или партнера. Он сообщил, что заражение компьютера вирусом происходит на стадии просмотра вложенного файла к письму. При этом визуально никакого сбоя в работе не произойдет, однако злоумышленник получит контроль над машиной конкретного сотрудника и вирус установит соединение с другими компьютерами, которые с ним связаны. “Если есть доступ к информационной системе, то дальше можно попытаться использовать уязвимость рабочего места руководителя или бухгалтера, слабые пароли, уставленные на рабочей почте, для расширения своего присутствия в инфраструктуре”, – отметил Дмитрий Кузнецов. Он подчеркнул, что злоумышленник, получая управление над доменом и сервером, может использовать информацию в своих интересах, а также установить связь с платежной системой и осуществить попытки списания денег со счетов. По оценке эксперта, отслеживать информацию злоумышленники могут на протяжении года, а вот выявить их самих без специальных программ, как правило, не представляется возможным.

К каналам проникновения в систему компании независимый эксперт Николай Пятиизбянцев относит также установление съемных носителей информации, с помощью которых вредоносное программное обеспечение может попасть в систему компьютера (например, найденные специально “потерянные” или подаренные флеш-накопители).

При этом на практике нередко встречаются схемы хищения денежных средств удаленно. Так, организация-истец обратилась в суд с иском о взыскании суммы ущерба в размере больше 469 млн руб. к компании-ответчика, осуществляющей функции оператора услуг платежной инфраструктуры (решение Арбитражного суда города Москвы от 30 мая 2016 г. по делу № А40-209112/15-3-519).

Из материалов дела следует, что истец привлек ответчика в качестве оператора по информационно-технологическому обслуживанию платежной системы. В его обязанности также входило осуществление контроля за выполнением участниками своих обязательств по переводу денежных средств в режиме реального времени, пользовавшимися данной системой. А также ответчик должен был следить, что совершенные операции по картам производились только в пределах расходных лимитов и отклонять запросы на транзакции по операциям с картами в случае их превышения.

Несмотря на то, что истец своевременно уведомил ответчика об установлении лимита в пределах 3 млн руб. на период проведения всех операций, граждане получили в банкоматах наличные денежные средства на сумму превышающую 469 млн руб. Истец как расчетный центр платежной системы не мог отказаться от проведения операций, тем самым понеся убытки в размере завершенных за счет собственных денежных средств расчетов.

При рассмотрении дела в суде ответчик предоставил документы, подтверждающие совершение около 3 тыс. операций по снятию наличных денежных средств по картам, из которых сразу были отменены больше половины операций. По словам ответчика, все действия по списанию денежных средств и подтверждению операций были выполнены уполномоченными на их совершение представителями банка через систему удаленного доступа, однако в суде он не смог это доказать.

Арбитражный суд отметил, что ответчик не предпринял меры контроля за операциями, совершенными в платежной системе по банковским картам, несмотря на имеющееся программное обеспечение. По мнению суда, им также не были выполнены действия для урегулирования нестандартной ситуации, возникшей в связи с большим количество отмен операций по картам банка. При этом операционный центр несет ответственность за реальный ущерб, причиненный участникам платежной системы, вследствие ненадлежащего оказания операционных услуг (ст. 17 Федерального закона от 27 июня 2011 г. № 161-ФЗ “О национальной платежной системе“). В связи с тем, что ответчик нарушил расходный лимит и не проконтролировал операции по банковским картам, арбитражный суд взыскал в пользу истца сумму более 469 млн руб., с чем согласился суд апелляционной инстанции (постановление Девятого арбитражного апелляционного суда от 31 августа 2016 года по делу № А40-209112/15-3-519).

По другому делу, судья Московского городского суда оставила в силе приговор нижестоящих судов о привлечении граждан к уголовной ответственности за мошенничество в сфере компьютерной информации (ч. 4 ст. 159.6 Уголовного кодекса, постановление Московского городского суда от 16 марта 2018 г. по делу № 4у-1053/2018). Суть дела заключалась в том, что сотрудники организации получили письмо, содержащее вредоносное программное обеспечение, при прочтении которого вирусная программа активировалась и распространилась по всей внутренней сети компании. Далее злоумышленники получили доступ к серверам и программному обеспечению, которое отвечает за формирование платежных сообщений. Согласно материалам дела, на лицевые счета, указанные в сфальсифицированных платежных сообщениях, были переведены денежные средства, которые осужденные обналичивали через банкоматы. В качестве доказательств виновности злоумышленников суд учел свидетельские показания, изъятые документы, предметы, в том числе жесткий диск с данными о вредоносном программном обеспечении.

Существенная разница между двумя рассмотренными делами заключается в том, что в первом случае не удалось доказать факт внедрения в систему организации вредоносного программного обеспечения, с помощью которого злоумышленники смогли получить доступ к денежных средствам и обналичить их через банкоматы.

Рекомендации экспертов по борьбе с кибератаками

Эксперты отметили, что в компаниях должна быть выстроена процедура реагирования на кибератаки: от профилактики предотвращения взломов серверов до оперативного обращения в банк для приостановления операций по счету и дальнейшего расследования при неправомерном списании денежных средств. В качестве дополнительных рекомендаций они предложили следующее:

• закрепить положение во внутренних документах организации о том, какие сотрудники будут иметь доступ в систему с указанием набора возможных операций в ней;
• предусмотреть дополнительные меры идентификации лиц при проведении платежей или запросов на них, например, сотрудник организации не только вводит логин и пароль, но и запрос на списание денежных средств или его подтверждение подписывает простой электронной подписью, а клиент в этой ситуации – квалифицированной;
• предоставить каждому сотруднику компании контрольно-измерительные материалы, в которых будут указаны существующие угрозы со стороны злоумышленников и применимые в связи с этим меры безопасности;
• указать в договоре на оказание услуг, что за все действия, которые клиент совершает под своей учетной записью на сайте или портале организации, он сам несет ответственность;
• использовать антифрод – интеллектуальную блокировку транзакций без необходимости постоянного привлечения сотрудников – например, программа будет отслеживать устройства, с которых выполнены запросы на списание денежных средств, и сравнивать с “черными” списками злоумышленников;
• страховать риски от потенциальных кибератак.

 

Нужна электронная подпись? Достаточно оставить заявку. Мы предоставим нужный тип сертификата электронной подписи, расскажем, как его применить и предоставим другие дополнительные услуги. Оставить заявку >>