Ограбление по-русски

У известного эксперта в области электронной коммерции, ведущего блог на портале Банки.ру, со счета в банке «Открытие» пропало 320 тыс. рублей. В кредитной организации признали, что по досадному недоразумению не сверили с клиентом трансакцию, но деньги возвращать, тем не менее, не спешат.

Представители известных компаний, специализирующихся на информационной безопасности, составили вероятный сценарий, по которому могли действовать мошенники, и дали советы: что делать в случае пропажи денег и как защищать электронные финансы.

Исполнительный директор консалтинговой группы «Аспект» Артем Генкин, неоднократно рассказывавший на портале Банки.ру об удобстве платежей через Сеть, сам пал жертвой интернет-мошенников. 15 сентября, заглянув в Интернет-Банк, Артем Генкин обнаружил, что на счету его компании в банке «Открытие» осталось 5 тыс. рублей, а 320 тыс. днем ранее ушли в Альфа-Банк некому Удалову Сергею Сергеевичу за якобы оказанные им услуги по грузоперевозке. (На портале Банки.ру уже была информация о мошенничестве с интернет-платежами. Зимой подобный инцидент произошел в Райффайзенбанке. Деньги преступники также перевели в Альфа-Банк.)

Интересно, что в то время, когда у «Аспекта» исчезли деньги со счета, компания действительно переезжала в новый офис и компьютер, с которого обычно производятся платежи, не был подключен к Интернету. Самого Артема Генкина нисколько не настораживает такое совпадение, зато он полагает, что бдительность могли бы вовремя проявить и «Открытие», и Альфа-Банк. Службам финмониторинга этих кредитных учреждений не помешало бы проверить операцию перевода на счет физического лица суммы, превышающей 10 тыс. долларов в рублевом эквиваленте, за явно профессиональную и, более того, лицензируемую деятельность.

Кроме того, перевод мог бы привлечь внимание банка «Открытие» и по другому поводу. Дело в том, что «Аспект», хотя и пользуется услугами интернет-платежей на протяжении двух лет, практически никогда не осуществлял в подобном размере крупных расходных трансакций в пользу третьих лиц, тем более на практически всю сумму остатка на счете. К примеру, последний легальный платеж, проведенный через Интернет, был за воду и кулер для этой самой воды.

Подключаясь к системе Интернет-Банк, Артем Генкин полагал, что для защиты офисного компьютера, используемого для платежей, вполне достаточно предложенной банком дискеты с записанным на ней электронным «ключом» и лицензионного, регулярно обновляемого антивируса «Касперского». Собственно, за несколько лет сотрудничества с банком проблем с безопасностью ни разу не возникло. Так же, как и желания и повода усилить защиту. Да и банк ни на чем таком не настаивал. Зато после инцидента немедленно предложил клиенту обзавестись современным ключом-токеном. «Для минимизации рисков клиентов банк активно внедряет двухфакторную аутентификацию клиентов в системе дистанционного банковского обслуживания», — пояснили автору статьи в банке «Открытие».

Поначалу у Генкина не было особых претензий к банку. Тот пусть и не взял на себя вины и денег пострадавшему по первому звонку не вернул, но заявление к рассмотрению принял без проволочек. Служба безопасности повела себя тактично. Поэтому свои дальнейшие действия Артем Генкин старался согласовывать с банком, и предпринимать что-то «решительное» бизнесмен рассчитывал лишь после того, как «Открытие» рассмотрит вероятность «ошибочного» платежа. То есть такого, при котором деньги за легальную операцию были по ошибке сняты не с того счета.

Ответ на этот вопрос из «Открытия» обозревателю Банки.ру удалось получить раньше, чем клиенту. В управлении безопасности банка пояснили, что данная ситуация не была связана с ошибочным платежом — деньги списывались со счета трансакцией, подписанной ЭЦП клиента. Также нам сообщили, что в «Открытии» не так давно был запущен процесс сверки платежей с клиентами в случаях, если их сумма превышает 200 тыс. рублей. Но по причине того, что этот сервис находится в стадии становления, а подобных трансакций в день совершается достаточно много, платеж компании «Аспект», к сожалению, прошел незамеченным для службы фронт-контроля. В банке заверили, что случаев кражи средств с использованием интернет-банкинга немного. «Их можно назвать единичными, и с каждым конкретным случаем банк работает индивидуально и всегда идет на контакт с клиентом, что и было сделано в случае с Артемом Генкиным», — поясняют в пресс-службе. В случае интернет-мошенничества банк «Открытие» «настоятельно рекомендует» клиенту обратиться в правоохранительные органы с заявлением о хищении средств.

Артему Генкину банк также прислал официальный ответ, из которого следует, что вины за собой «Открытие» не признает и считает комбинацию «логин-пароль плюс ЭЦП» достаточной для обеспечения безопасности системы ДБО со стороны банка. После такого ответа эксперту остается ждать рекомендаций от адвокатов, обращаться к регулятору (поскольку допущенные банкирами нарушения предписанных им к обязательному выполнению процедур, по его мнению, имели место, что бы ни утверждали банкиры) и обратиться с правоохранительные органы.

В свою очередь, Артем Генкин сообщил, что, по имеющейся от банка информации, получатель денег за фиктивную грузоперевозку «живой человек, москвич» и что снятие средств произошло в московском банкомате. Никаких отношений, связывающих компанию «Аспект» с Сергеем Удаловым, естественно, нет. Связываться с «перевозчиком» Артем Генкин не спешит, поскольку ждет на этот счет указаний от банка.

В Альфа-Банке, куда были переведены деньги, от комментариев отказались.

Как грабят интернет-банки?

В России есть несколько частных компаний, которые специализируются на защите информации от инсайдеров и внешних угроз, а также на расследовании киберпреступлений. К ним, а также в фирмы, занимающиеся разработкой антивирусов, обратился обозреватель Банки.ру с просьбой прокомментировать ситуацию с Артемом Генкиным и дать посетителям портала рекомендации по защите компьютеров от мошенников, специализирующихся на махинациях в сфере интернет-банкинга.

Ведущий аналитик компании InfoWatch (специализируется на защите информации от внутренних угроз) Николай Федотов полагает, что в случае с «Аспектом» секретный ключ был скопирован злоумышленником заблаговременно. В случае с дискетой это сделать несложно.

Отметим, что в настоящее время для предупреждения копирования используются более совершенные носители ключа — токены с внутренним процессором. При подключении к компьютеру секретный ключ не покидает носитель, а все операции (подписание ЭЦП) производятся прямо внутри токена.

Совпадение по времени переезда и хищения, по мнению Федотова, свидетельствует о том, что преступник намеренно подгадал момент, чтобы трансакцию подольше не обнаружили. В иных случаях для этой же цели используется DoS-атака на банковский сервер. Информированность мошенников о переезде означает, что была информация от инсайдера (сообщника или беспечного болтуна). Когда компания из-за переезда не работала, а банк работал, преступники со своего компьютера могли совершить криминальную трансакцию, перевести деньги на подставной счет, откуда сразу были сделаны переводы «дропам» (то есть подставным лицам, которые обналичивают деньги через банкомат). Впрочем, иногда 320 тыс. рублей можно снять в банкомате и с одной карты.

Специалист по компьютерной криминалистике компании Group-IB (специализируется на расследовании компьютерных преступлений) Сергей Никитин также считает передачу «инсайдером» дискеты или ключа, записанного на ней, одним из вероятных сценариев. При этом участвовать в махинации мог как человек, осуществляющий платежи, так и сотрудник, имеющий права администратора нужного ПК, или же сетевой администратор. Кроме этого есть и еще два распространенных пути хищения денег с помощью системы Интернет-Банк. В обоих случаях главную роль играет вредоносное ПО. Одна его разновидность похищает ключи и банковские данные. Вторая используется для удаленного управления компьютером. В последнем случае все операции производятся прямо с зараженной машины. И не спасут ни фильтрация по IP-адресу в банке, ни аппаратные ключи (токены).

Руководитель Центра вирусных исследований и аналитик фирмы ESET (разработчик антивирусов) Александр Матросов склонен считать, что «Аспект» пострадал от вируса — троянской программой широкого спектра действия, атакующей распространенные системы «Клиент-Банк». Подобные программы легко обходят защиту в виде дискет, используя для этого стандартные функции операционной системы.

Сергей Голованов, ведущий вирусный аналитик «Лаборатории Касперского» (разработчик антивирусов) пояснил, что вредоносные программы интересуются не только финансами. Такое ПО, попав на компьютер, анализирует установленные на нем приложения и принимает решение, что интересного можно украсть. Если на компьютере установлены онлайн-игры, то программа загрузит из Сети обновление, которое украдет пароли от этих игр. Если установлена система онлайн-банкинга, то присвоит данные, имеющие отношение к финансам. А затем злоумышленники ждут подходящего момента, когда смогут воспользоваться украденной информацией.

Если вас обокрали

Каждый знает, что при пожаре надо звонить «01». А что делать и куда обращаться в том случае, если есть подозрение, что в ваш «интернет-сейф» забрался вор? Вот что рекомендуют эксперты.

Управляющий продажами в ритейле компании G Data Software (разработчик антивирусов) Роман Карась советует первым делом обратиться в милицию, точнее, в управление «К» с заявлением. Указанная служба имеет технические возможности для того, чтобы отследить конкретный перевод, и может подсказать, что предпринять пострадавшему в конкретной ситуации, чтобы вернуть деньги законным путем.

Сергей Голованов из «Лаборатории Касперского» рекомендует пострадавшим, не мешкая, позвонить в банк и заблокировать счет, чтобы злоумышленники не смогли повторно получить к нему доступ. Затем пострадавшему необходимо написать заявление в банк о возврате денежных средств и отмене трансакции. Параллельно пишется заявление в милицию о краже денежных средств. И, естественно, ни в коем случае не следует пользоваться зараженным компьютером.

Способы самозащиты

Когда человек покупает машину, он понимает, что защитить ее от угона на 100% невозможно. Это понимание не пришло само собой, а явилось следствием многолетних усилий СМИ, автодилеров, страховщиков и поставщиков автосигнализаций. Подключаясь к системе интернет-банкинга, многие клиенты слепо верят в ее абсолютную надежность и защищенность. Это следствие рекламных кампаний банков, продвигающих на рынке новую услугу.

Выражение «На банк надейся, а сам не плошай» применительно к интернет-платежам актуально, как никогда.

О том, как надо действовать, чтобы не оплошать клиенту, рассказывают специалисты по безопасности.

Для того чтобы избежать утечки денег через Интернет-Банк, Сергей Никитин из Group-IB рекомендует следовать следующей схеме: первым делом купить маленький нетбук для проведения платежей. Установить на этот мини-компьютер антивирус, а заодно и все необходимые обновления операционной системы, а также брандмауэр и, наконец, приложение «Клиент-Банк». Брандмауэр нетбука необходимо настроить таким образом, чтобы в список разрешенных действий попали только соединения с серверами банка, обновления ОС и антивируса. Портативный компьютер должен использоваться только для работы с системой Интернет-Банк, и ни для чего иного. Хранить устройство желательно в сейфе (вот здесь и пригодятся маленькие габариты!).

Сергей Голованов из «Лаборатории Касперского» советует также периодически освежать в памяти правила интернет-безопасности, вывешенные на порталах антивирусных компаний и банков, не посещать подозрительные сайты, не запускать программы из непроверенных источников. Короче говоря, быть бдительными.

В завершение приведем рекомендации службы безопасности банка «Открытие» по защите рабочей станции, на которой установлена система «Клиент-Банк» (они по большей части дублируют рекомендации экспертов, тем не менее советы банка приведены полностью):

— необходимо использование сертифицированного ФСТЭК, лицензированного антивирусного ПО, базы которого регулярно обновляются, должна быть настроена регулярная антивирусная проверка всего жесткого диска;

— рабочая станция, применяемая для работы с «Клиент-Банком», должна осуществлять только эту задачу, не следует использовать рабочую станцию для других целей;

— для операционной системы используемой рабочей станции нужно регулярно устанавливать обновления безопасности;

— следует применять межсетевой экран для защиты соединения между рабочей станцией и Интернетом;

— пользоваться закрытым ключом ЭЦП должен только один человек — владелец соответствующего закрытым ключам сертификата, после увольнения владельца необходимо произвести обязательную смену ключей ЭЦП.

Леонид ЧУРИКОВ, Banki.ru