Это интересно

Смартфоны на Android подхватили вирус. Он помог хакерам похитить 50 млн руб.

Сотрудники МВД арестовали членов российской киберпреступной группировки, которые с помощью СМС-рассылки и поддельных приложений Navitel, Avito и Pornhub для ОС Android заразили компьютерным вирусом более 1 млн смартфонов и планшетов. В результате с банковских счетов граждан были похищены более 50 млн руб. Объем средств, украденных в РФ с помощью вирусов под мобильные устройства на Android в 2015–2016 годах, по экспертной оценке, вырос почти в пять раз.

Фото: Александр Кряжев / Коммерсантъ

Сотрудники МВД совместно с компанией Group-IB пресекли деятельность киберпреступной группы, похитившей более 50 млн руб. с банковских счетов граждан при помощи трояна под ОС Android, сообщили представители МВД и Group-IB. По их данным, от действий хакеров пострадали более 1 млн пользователей мобильных устройств. МВД возбудило уголовное дело по ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации).

Полиция установила, что в состав группы входят 20 человек, а организатором незаконного бизнеса является 30-летний житель Иваново. По словам представителя МВД Ирины Волк, участники группы были задержаны, четверо из них под стражей, остальные дали подписку о невыезде. Оперативники провели 20 обысков, изъяв компьютерную технику, сотни банковских карт и сим-карт, оформленных на подставных лиц, сообщила она.

В Group-IB уточнили, что группа распространяла вредоносную программу Cron для Android при помощи СМС, содержащих ссылку на зараженный ресурс, и путем подделки мобильных приложений компаний Navitel, Pornhub, Avito и др. «Попадая на телефон жертвы, вредоносная программа злоумышленников получала возможность осуществлять переводы с ее банковского счета на счета, подконтрольные злоумышленникам. Программа Cron могла отправлять СМС-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой СМС на удаленные серверы, а также скрывать поступающие по СМС уведомления от банка»,— сообщили в компании. За время деятельности хакеры открыли более 6 тыс. банковских счетов.

Объем средств, украденных с банковских счетов в РФ с помощью вирусов для ОС Android, растет. По данным Group-IB, с апреля 2015 года по март 2016 года киберпреступники похитили таким образом 348,6 млн руб., что на 471% выше показателей предыдущего периода. В России ежедневно жертвами становятся 350 пользователей Android-устройств.

Массовые случаи заражения смартфонов на Android уже случались, отмечает консультант по информационной безопасности Cisco Алексей Лукацкий. «Около года назад атака мошенников на клиентов нескольких российских банков привела к заражению нескольких сотен тысяч смартфонов. На Западе были схожие примеры»,— говорит он.

Android — привлекательная среда для вирусописателей, так как это самая популярная ОС в мире, которая используется более чем на 85% смартфонов, при этом ее архитектура неидеальна, считает руководитель направления Application Security компании Solar Security Даниил Чернов. «Хакеры создают очень много троянов для Android под заказ, с прицелом на кражу средств из конкретных банков, и потом это вредоносное ПО продается на черном рынке»,— отмечает он. По его мнению, со стороны Google правильным было бы усилить контроль за мобильными приложениями, попадающими в Google Play. В то же время Google вряд ли сможет глобально переработать и обезопасить саму ОС Android — для этого придется сделать ее более закрытой, как iOS, что вызовет недовольство многих пользователей, констатирует эксперт.

 

Мария Коломыченко

 

Опубликовано 22 мая2017 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3304661

 

Это наконец произошло: дыры в SS7 используют для обхода двухфакторной аутентификации

Эксперты уже давно предупреждают о небезопасности набора сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), который до сих пор используют операторы связи по всему миру. Дело в том, что SS7 был разработан еще в 1975, и в настоящее время он безнадежно устарел, а также фактически не имеет никакой защиты.

Исследователи не раз доказывали небезопасность SS7 и даже описывали возможные способы эксплуатации проблем стека. К примеру, немецкий эксперт Тобиас Энгель (Tobias Engel) дважды выступал на конференции Chaos Communication Congress, в 2010 и 2014 годах, предупреждая о том, что при помощи SS7 можно обнаружить и отследить практически любого жителя планеты, просто зная его телефонный номер.

В том же 2014 году специалисты компании Positive Technologies Дмитрий Курбатов и Сергей Пузанков представили доклад на конференции Positive Hack Days, в котором рассказывали не только о прослушке, но и о многих других возможностях хакеров в сигнальной сети SS7, включая DoS-атаки, фрод, перевод денег, перехват SMS-сообщений и определение местоположения абонента без его ведома.

В 2016 году вокруг небезопасности SS7 и вовсе разразился небольшой скандал. Тогда совместный эксперимент репортера CBS Шарин Альфонси (Sharyn Alfonsi) и известного исследователя Карстена Нола (Karsten Nohl), члена Chaos Computer Club, прошел не совсем так, как было запланировано. Нол и Альфонси хотели продемонстрировать небезопасность набора сигнальных телефонных протоколов ОКС-7, и в опыте пригласили поучаствовать американского конгрессмена Теда Лью (Ted Lieu), которому в итоге совсем не понравилось, что Нол сумел с легкостью взломать и прослушать его смартфон.

Конгрессмен был так впечатлен результатом эксперимента, что официально потребовал проведения тщательного расследования в отношении уязвимостей в стеке SS7. Лью составил официальный документ, обращенный к главе Комитета по надзору и правительственной реформе Палаты представителей, и заявил: «Люди, которые знали об этой бреши, должны быть уволены. Нельзя подвергать 300 с чем-то миллионов американцев (в буквальном смысле всю нацию) риску перехвата телефонных переговоров лишь потому, что данная уязвимость известна и может быть полезна спецслужбам. Это неприемлемо».

Тем не менее, ни разу за все эти годы никто не сообщал о реальных атаках с использованием SS7. Но на этой неделе первый случай эксплуатации уязвимостей злоумышленниками удалось обнаружить журналистам немецкого издания Süddeutsche Zeitung. В минувшую среду журналисты представили результаты собственного расследования, согласно которому преступники атакуют SS7, чтобы обходить двухфакторную аутентификацию банков и осуществлять неавторизованные транзакции с чужих счетов.

По данным издания, сначала злоумышленники собирают информацию о банковском аккаунте жертвы, ее учетных данных и номере телефона, используя для этого малварь или фишинг. Затем преступники совершают атаку на SS7, чтобы узнать идентификатор mTAN (mobile transaction authentication number), который банк отправляет в SMS-сообщении. По сути, mTAN – это одноразовый пароль, который банки используют для подтверждения транзакций. Атака позволяет переадресовать SMS-сообщение с паролем на номер, подконтрольный злоумышленникам, после чего остается лишь осуществить перевод средств.

Тот факт, что немецкие пользователи становятся жертвами таких атак, журналистам подтвердили представители телекоммуникационной компании O2-Telefonica. По их словам, атаки начались в середине января 2017 года и исходят из сетей зарубежных сотовых операторов. При этом специалисты подчеркивают, что для реализации подобных атак потребуется оборудование, которое можно достать в открытой продаже, и его суммарная стоимость вряд ли превысит $1000. Пожалуй, единственной сложностью может стать получение специального идентификатора global title (GT), но, судя по всему, для этого атакующие успешно подкупают сотрудников сотовых операторов в странах третьего мира, или арендуют GT через подставных лиц, якобы для доставки SMS и работы других сервисов.

Хотя расследование Süddeutsche Zeitung выявило первый реальный случай эксплуатации SS7 злоумышленниками, экспертов происходящее совсем не удивляет.

«Я не удивлен, что хакеры берут деньги, которые буквально “лежат на столе”. Меня удивляет лишь то, что онлайновым грабителям банков потребовалось так много времени, чтобы присоединиться к подрядчикам спецслужб и начать злоупотреблять [возможностями] глобальной сети SS7», — рассказал журналистам Карстен Нол.

Прокомментировал результаты расследования журналистов и конгрессмен Тед Лью, пообещав провести слушание в Конгрессе:

«Все аккаунты, защищенные текстовой двухфакторной аутентификацией, к примеру, аккаунты банков, находятся в зоне потенциального риска до тех пор, пока Федеральная комиссия по связи США и телекоммуникационная индустрия не исправят разрушительную уязвимость SS7».

Кроме того, теперь многие эксперты напоминают о том, что еще в середине 2016 года Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

 

Мария Нефёдова
Опубликовано 5 мая 2017 года на сайте xakep.ru
Подробнее...
Источник: https://xakep.ru/2017/05/05/ss7-attacks/

Банкиры заметили активизацию воровства денег со счетов юрлиц через суды

Судебные решения используются не только для легализации доходов, полученных преступным путем. Как выяснил РБК, в последнее время активизировались мошенники, крадущие средства с банковских счетов юрлиц с помощью выданных судами исполнительных листов. Жертвы — крупные компании — расстаются с деньгами небольшими порциями.

Об активизации схемы, позволяющей мошенникам красть средства с банковских счетов крупных компаний при помощи судебных решений, РБК рассказали несколько банкиров. Речь идет не о схеме отмывания средств через исполнительные листы судов, а о самом настоящем воровстве.

Фото: Олег Харсеев / «Коммерсантъ»

По словам источников РБК, в качестве жертв выбираются большие компании, счета которых открыты в крупных банках. «Большой объем операций как в компании, так и в банке затрудняет оперативное отслеживание незаконного списания денежных средств с банковских счетов», — поясняет один из источников РБК. После того как жертва выбрана, в отношении нее физлицом-мошенником подается иск о взыскании некой суммы в качестве невозвращенного долга. Причем сама компания даже не знает, что с ней кто-то судится.

«Дело в том, что гражданин-мошенник обращается, как правило, в региональный суд общей юрисдикции с исковым заявлением, сумма которого не превышает 500 тыс. руб. Это тот порог, по спорам на сумму ниже которого решения мировыми судьями выносятся в упрощенном порядке в рамках судебного приказа в соответствии со ст. 121 Гражданского процессуального кодекса РФ», — рассказывает один из собеседников РБК. По его словам, упрощенный порядок позволяет мировому судье единолично на основании заявления о взыскании денежной суммы вынести приказ без судебного разбирательства как такового и вызова сторон для заслушивания их объяснений.

«Впрочем, если судья все же пожелает, чтобы стороны спора присутствовали, в дело вступает еще один мошенник, состоящий в сговоре с первым, который по поддельной доверенности «представляет» в суде интересы ответчика. В ходе заседания он подтверждает, что согласен с предъявленными требованиями, после чего мировой судья выносит решение о взыскании долга», — говорит он. Как сообщает источник РБК, для получения бланка договора, реквизитов и образца печати мошенники намеренно вступают в фиктивные договорные отношения, ведут деловую переписку с целью получить необходимые данные. Особенно уязвимы, по его словам, туроператоры, так как они могут отправить свой договор по электронной почте любому контрагенту.

Следующий этап — непосредственно кража. Взыскатель приходит в банк с исполнительным листом, а чаще листами — каждый на сумму менее 500 тыс. руб., — которые банк обязан исполнить в течение одного дня, если нет сомнений в его подлинности. После чего средства уходят со счета юрлица мошеннику, рассказывают банкиры. «Банк не обязан уведомлять клиента о списаниях с его счета по выданным судами исполнительным листам, но теоретически может это сделать, — говорит источник РБК. — Впрочем, на практике, учитывая срок для списания средств всего в один день, на это просто нет времени».

«Такая схема появилась не вчера, но в последнее время встречается все чаще», — констатирует один из источников РБК.

Масштаб проблемы

Оценить масштаб краж опрошенные РБК банкиры и юристы затруднились. Раскрытие такой информации сопряжено для банков с серьезным репутационным ущербом.

Впрочем, существование проблемы и озабоченность ею банковского рынка РБК подтвердили в Ассоциации региональных банков России (АСРОС). «Ряд банков, в том числе крупные, с которыми мы связались, подтвердили наличие проблемы мошенничества, которое реализуется посредством подлинных исполнительных листов. При этом в число жертв попадают не только клиенты банков, но и сами кредитные организации», — говорит первый вице-президент Ассоциации региональных банков России (АСРОС) Алина Ветрова, не указывая названий банков. При мошенничествах с использованием исполнительных листов в отношении банков средства списываются с их коррсчетов в ЦБ. «Срока в один день, отведенного на проверку исполнительного листа, явно недостаточно никому», — констатирует она.

По ее мнению, проблему усугубляет тот факт, что суды общей юрисдикции (особенно в регионах) не всегда производят достаточный анализ, порой используют формальный подход и принимают не до конца проработанные решения. «Отследить такую мошенническую схему довольно сложно, так как по судам общей юрисдикции нет возможности оперативно отслеживать информацию по рассматриваемым спорам», — добавляет партнер юридической компании «Ионцев, Ляховский и партнеры» Игорь Дубов.

Тот факт, что и банкиры становятся жертвами таких мошенничеств, РБК подтвердили источники на банковском рынке. В частности, они указали на банк из топ-50, с корреспондентского счета которого в ЦБ посредством описанной схемы было в несколько траншей — каждый на сумму менее 500 тыс. руб. — списано средств на 1,5 млн руб. Как уточнили РБК в этом банке, судом в регионе на заочном заседании было вынесено решение по шести искам однотипного характера без надлежащего уведомления ответчика и явки его представителя на заседание. Истец-мошенник был, как выяснилось, клиентом этого банка: обслуживался там по нескольким продуктам (банковская карта, потребительский кредит, автострахование), рассказал собеседник РБК.

Вернуть нельзя обжаловать

Вернуть средства, украденные с помощью описанной схемы, компаниям затруднительно. Более того, по словам банкиров, затраты на эту процедуру (как на поездки, так и на привлечение юристов) будут сопоставимы с потерями в случае, если списание было одним траншем на сумму менее 500 тыс. руб., и крупным компаниям экономически невыгодны. «Это еще одна причина, по которой мошенники в качестве жертвы выбирают крупных юридических лиц», — указывает один из источников.

«Для того чтобы оспорить принятое судом решение, юридическому лицу необходимо отправить юриста с доверенностью именно в тот региональный суд, который вынес решение, — рассказывает он. — Даже в том случае, если юридическому лицу удастся доказать отсутствие договорных отношений с истцом и решение суда будет отменено, для возврата денежных средств необходимо еще раз обратиться в суд общей юрисдикции с исковым заявлением о неосновательном обогащении физического лица, которое мошенническим путем взыскало денежные средства. Таким образом, на поиск правды уходит как минимум полгода. Плюс сопутствующие затраты».

По мнению начальника юридического управления СДМ-банка Александра Голубева, в ситуации предъявления подлинного исполнительного листа банк беспомощен защитить своего клиента: он обязан исполнить решение суда, в противном случае его действия будут квалифицированы как административное правонарушение. Юрист указывает, что в соответствии со ст. 70 Федерального закона № 229-ФЗ «Об исполнительном производстве», в случае обоснованных сомнений в подлинности исполнительного документа, полученного непосредственно от взыскателя, банк вправе для проверки подлинности исполнительного документа либо достоверности сведений в нем задержать его исполнение не более чем на семь дней. «Однако ситуация осложняется тем, что в описанной схеме проблемы подлинности исполнительного листа нет, так как мошенничество реализуется в самом процессе выдачи таких листов», — говорит Голубев.

Пути решения

По мнению профильных юристов, исправить ситуацию можно, только изменив законодательство.

«Для того чтобы исключить подобного рода мошеннические схемы, необходимо внести изменения в Федеральный закон № 229-ФЗ «Об исполнительном производстве», а именно исключить возможность самостоятельного предъявления взыскателем исполнительного листа в банк», — предлагает Игорь Дубов. — Тогда предъявлять исполнительный лист в банк будет судебный пристав-исполнитель, а он как минимум уведомит «должника» о начале исполнительного производства. Тем самым у последнего будет возможность узнать о совершающемся мошенничестве и попытаться воспрепятствовать ему»​.

Алина Ветрова из АСРОС также считает, что надо менять законодательство. Она предлагает другой вариант поправок: «В сложившейся ситуации имеет смысл предоставить банкам инструментарий для борьбы с откровенным мошенничеством. В частности, участники банковского рынка говорят о необходимости продления срока исполнения судебных решений по крайней мере до трех дней».

 

Опубликовано 27 апреля 2017 года на сайте РБК
Подробнее...
Источник: http://www.rbc.ru/finances/27/04/2017/5900d4fd9a7947e11e307a1a

Представлен сервис для имитации любого голоса на базе одной минуты речи

Канадский стартап Lyrebird представил нейросетевой сервис для имитации речи, использующий для обучения всего одну минуту аудиозаписи с оригинальным голосом. Об этом говорится на сайте компании.

Алгоритмы для имитации речи создавались и ранее, однако нейросетям, как правило, требуется довольно большое количество материала (записей оригинального голоса), чтобы научиться ее воспроизводить.

Монреальскому проекту Lyrebird удалось сократить необходимое для обучения программы время до минуты, заявили в компании. Созданный специалистами Монреальского университета алгоритм, в частности, позволяет за полсекунды обработать до тысячи предложений, которые программа «скажет» нужным голосом и с нужной пользователю интонацией.

 

 

В данный момент синтезированные Lyrebird голоса звучат немного электронно, однако в случае знаменитостей позволяют безошибочно определить, кому они принадлежат. Свою разработку стартап продемонстрировал на голосах Барака Обамы, Дональда Трампа и Хиллари Клинтон, заставив копии их голосов обсуждать сам сервис.

Сроки релиза продукта не сообщаются. Также остается неясным, будет ли сервис полностью бесплатным. На сайте проекта в данный момент говорится о том, что Lyrebird планирует выпустить API для работы с алгоритмом, и приглашает пользователей стать бета-тестерами через подписку на email-рассылку.

 

Олег Овечкин
Опубликовано 24 апреля 2017 года на сайте rb.ru
Подробнее...
Источник: https://rb.ru/news/lyrebird/?f

Ограбление по-хакерски. 2,2 млрд рублей украли в 2016 году из российских банков

В 2017-м ущерб, видимо, будет еще больше. Грабить финансовые организации, как ни странно, стало проще, а защита от мошенников нового типа работает плохо.

Фото: Reuters

Кража года

В последний день зимы 2016 года, 29 февраля, столичный Металлинвестбанк лишился 200 млн рублей. Их, как было установлено позже, украли хакеры. Все произошло быстро. Терминалы, с которых управляется корреспондентский счет кредитного учреждения в ЦБ, начали несанкционированно отправлять с него деньги на сторонние счета. Адресаты — частные лица в коммерческих банках по всей стране.

Подозрительное поведение компьютеров в Металлинвестбанке обнаружили сразу, заверил "Деньги" зампредправления Михаил Окунев. "Это был взлом канала автоматизированного рабочего места клиента Банка России, АРМ КБР",— сказал он. Взлом, по словам Окунева, продлился около часа. Чтобы остановить переводы, банк даже запросил ЦБ отключить его от системы расчетов. К этому времени с корсчета Металлинвестбанка ушло 667 млн рублей. "Треть денег вернулась сразу, примерно треть арестована на счетах в банках, мы рассчитываем, что они к нам вернутся по результатам суда, который, как мы ожидаем, начнется в апреле",— говорит Михаил Окунев. Около 200 млн рублей, как уже было сказано, банк все же не вернул: с подконтрольных счетов злоумышленники их либо быстро обналичили, либо перевели дальше.

У этой истории — нечастый для России финал. Через три месяца, в июне 2016-го, ФСБ и МВД сообщили, что совместно в 15 регионах РФ задержали 50 человек, входящих в хакерскую группу под названием Buhtrap. Ее заметили еще в 2014 году, когда она обчищала компании. А в августе 2015-го группировка переключилась исключительно на финансовые организации:

За полгода, по февраль 2016-го, Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей, отмечает Group-IB, специализирующаяся на предотвращении и расследовании кибератак.

Данная группировка, как говорят источники "Денег" на банковском рынке, стоит и за атакой на Металлинвестбанк. В Group-IB это мнение разделяют.

Рост на 300%

Хищение у Металлинвестбанка 667 млн рублей было в числе самых крупных в РФ — из тех, что были обнародованы. Средняя хакерская кража у российских банков в период с июня 2015-го по май 2016 года составляла около 140 млн рублей. Хотя были и большие суммы. "В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка",— отмечается в прошлогоднем отчете Group-IB.

Всего за 2016 год, сообщил в феврале 2017-го ЦБ, у российских коммерческих банков хакеры похитили 2,2 млрд рублей.

"Если говорить о покушениях на хищения денежных средств со счетов кредитных организаций, то в 2016 году подобным атакам подверглись девять организаций,— уточнила "Деньгам" пресс-служба регулятора.— Злоумышленники пытались похитить около 5 млрд рублей. При этом удалось остановить хищения на общую сумму порядка 2,8 млрд рублей". Очевидно, банки в 2016 году лишились бы еще большей суммы, если бы не захват членов Buhtrap, группировки, на которую, по сведениям Group-IB, приходилось две трети украденного у банков.

Общая сумма киберхищений у финансовых организаций за минувший год, впрочем, может быть и больше. По крайней мере, по подсчетам Group-IB, за период с июня 2015-го по май 2016 года у российских банков в результате целевых атак (когда жертва не случайна, а подбирается со знанием дела) хакеры похитили 2,5 млрд рублей.

Сумма целевых киберхищений у банков, по сведениям Group-IB, к аналогичному периоду 2013-2014 годов выросла на 292%. (По данным ЦБ, с июня 2015-го по май 2016 года у российских банков хакеры украли 1,37 млрд рублей.) "Нас часто обвиняют, что мы цифры завышаем,— я считаю, что мы занижаем",— подчеркивает директор департамента киберразведки Group-IB Дмитрий Волков.

Более свежих цифр за 2017 год пока у компании нет, но в банковском сообществе неофициально "Деньгам" подтверждают если не увеличение суммы украденного, то рост числа кибератак в российских финансовых организациях. (При этом сумма похищенного за один раз может и снижаться.) "Атаки ради денег самих банков совершаются все чаще. Есть мнение, что в последние несколько лет число атак удваивается ежегодно",— подтверждает Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банков (АРБ). А компания Positive Technologies, также занимающаяся расследованиями киберпреступлений, прогнозирует, что в 2017 году хакерских атак на банки в РФ будет больше на 30%. Это касается и процессинговых, брокерских структур, операторов денежных переводов — их потери от киберхищений также возрастут.

Не признаются

Металлинвестбанк — редкое исключение из правила. Он публично признал факт кражи и сумму ущерба от действий хакеров. О киберкражах (правда, без подробностей) сообщали также Русский международный банк и казанский Алтынбанк. Остальные предпочитают о потерях не распространяться.

Между тем в США, например, финансовые организации, если хотят избежать больших штрафов, сведения об ущербе от хакеров обязаны не только доводить до регулятора, но и раскрывать публично. У нас, говорят банкиры, такую информацию финансовые и кредитные учреждения не предавали широкой огласке, опасаясь больших имиджевых и репутационных потерь (а закон их к откровенности не обязывает).

Открытых полных данных о том, сколько хакеры украли со счетов у банков, их клиентов — физических или юридических лиц — в России нет.

Соответствующая статистика ЦБ формируется из отчетности банков, которые до 2015 года не спешили делиться с регулятором конфиденциальной информацией о киберкражах. Чуть более года назад их обязали это делать. "Данные Центробанка в целом по киберхищениям в РФ не отражают картины,— считает бывший руководитель подразделения в управлении К МВД, пожелавший остаться неназванным.— Их гораздо больше, чем говорят банки". Это, правда, касается в первую очередь киберкраж у клиентов финансовых организаций. Скрывать от ЦБ такие атаки против самих себя не в интересах банков, уверены собеседники "Денег". Но сделать это вполне реально.

"Формируя статистическую отчетность, Банк России исходит из того, что кредитные организации добросовестно подходят к формированию отчетности,— сообщила пресс-служба регулятора.— По итогам 2016 года статистика Банка России практически полностью коррелирует со статистикой МВД по такого рода преступлениям".

БАНКИ — ГЛАВНАЯ МИШЕНЬ

Несколько тысяч рублей, украденных с вашей карты,— добыча "щипачей". Профессиональные компьютерные преступники "берут" за раз сотни миллионов.

Если еще в 2013 году главной мишенью опытных хакеров были клиенты банков, то теперь — сами финансовые организации, говорят опрошенные "Деньгами" эксперты. Самые профессиональные киберпреступники, потренировавшись на компаниях, переориентировались на банки. Там риски и азарт выше, дело — сложнее, но и куш куда заманчивее.

Доход хакеров от целевых атак на банки за период с июня 2015-го по май 2016 года, по данным Group-IB, "перекрыл суммарный заработок от всех остальных способов хищений, сделав банки самой привлекательной мишенью". Если у банков за указанный период хакеры украли 2,5 млрд рублей, то у юрлиц — 956 млн, у физлиц через настольные компьютеры — 6,4  млн, у них же, но через смартфоны,— 348,6 млн.

С юрлиц за одну кражу в интернет-банкинге можно было "получить" почти в 300 раз меньше, чем с банков: 480 тыс. против 140 млн рублей.

С теми и другими работают наиболее квалифицированные хакеры — "элита". Счета обычных граждан обчищает отдельная группа кибермошенников — это, говорят эксперты, по сути, аналог малоквалифицированных щипачей в цифровую эпоху. С банковских счетов граждан через настольные персональные компьютеры они похищают в среднем за раз по 51,6 тыс. рублей, через смартфоны на Android — в среднем по 4 тыс. за раз (немного, но зато тут кражи совершаются намного чаще).

Неуязвимых нет

Всего в стране сейчас действует около 570 коммерческих банков, и хакеры, скорее всего, прощупали всех (включая более 300 закрытых в ходе затеянной ЦБ чистки). "Банков, которые не атакуют, нет",— уверен Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies. "Атакам хакеров подвергаются все,— соглашается Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-банка.— Но в защищенный банк, откуда сложно вывести деньги, мало кто полезет".

Многие финансовые организации, прежде всего региональные, слабо готовы к кибератакам. "Банки, особенно в регионах, до сих пор уверены, что кибермошенники потрошат лишь клиентов, за что уже поплатились",— замечает топ-менеджер из банковской сферы, пожелавший остаться анонимным. По словам Эльмара Набигаева, как правило, после первой кражи банки меняют свой подход. "Сейчас вообще таких стало меньше",— отмечает он. Меньше в том числе потому, что основная масса закрывшихся банков — региональные.

"Готовность — разная, в зависимости от величины банка. Крупные готовы к атакам, средние и малые — не все... Но никогда нельзя быть готовым на сто процентов к предательству внутри организации вне зависимости от размера банка",— замечает Эльман Мехтиев из АРБ. Роман Чаплыгин, директор направления анализа и контроля рисков кибербезопасности PwC, обращает внимание на нехватку финансирования: "В России существует множество банков, которые не обладают достаточным количеством финансовых средств для выстраивания системы кибербезопасности внутри организации и отражения атак".

Впрочем, есть и другая проблема. "Некоторые банки в России и за ее пределами не верят, что компьютерная преступность существует,— говорит Илья Сачков, гендиректор Group-IB.— Даже в уважаемых государственных учреждениях есть люди, которые тоже в это не верят".

О слабой готовности кредитных учреждений к кибератакам свидетельствуют и тесты на проникновение в информационную систему компаний и банков, проведенные в 2015 году Positive Technologies. Проверялось 17 учреждений в России и за рубежом, треть из которых составляли банки и финорганизации.

В 82% систем оказалось возможным попасть в сеть, в каждом втором случае удалось получить контроль над критически важными ресурсами компаний, а в 28% был получен полный контроль над всей инфраструктурой организации.

По словам Эльмара Набигаева, ситуация к сегодняшнему дню существенно не изменилась: "В банковской сфере с точки зрения безопасности все не очень хорошо. У большинства злоумышленников не вызывает затруднений получение полных привилегий в сети. Результаты наших расследований инцидентов в банках показывают, что в большинстве случаев атаки заканчивались полной компрометацией сети и кражей средств".

Слабость банков

Кредитные учреждения вроде бы вкладываются в кибербезопасность. Даже несмотря на кризис. "По нашим данным, в 2017 году в России бюджет на кибербезопасность вырос на 18%",— говорит Роман Чаплыгин из PwC.

Увеличение бюджета, однако, не всегда помогает. "Многие банки ограничиваются инвестициями в безопасность на уровне соответствия стандартам,— поясняет Эльмар Набигаев.— Галочку поставили в документе, правильное средство защиты купили — значит, все хорошо. Но нельзя просто купить железку и забыть, информационная безопасность — это процесс, инфраструктура банковской организации меняется, киберпреступники обновляют инструменты и схемы атак, поэтому и в безопасности постоянно должно что-то совершенствоваться".

Те, кто обеспечивал киберзащиту, которая не помогла, оказывались в очень щекотливой ситуации. "К сожалению, многие сотрудники службы информационной безопасности скрывали от менеджмента банков проблему, и это могло длиться до 2013-2014 года,— рассказывает Илья Сачков.— Ты потратил много денег, но проблему это не решило. И ты должен потратить еще. У нас с некоторыми банками даже были конфликты, когда мы через систему мониторинга были способны определять преступления на этапе их подготовки, знали, у кого могли украсть деньги, сообщали об этом сотрудникам службы информбезопасности, а они эти сведения никак не использовали, боялись показать руководству. И происходило хищение".

Те же, кому руководство банка средств на киберзащиту не выделило, используют это как повод снять с себя ответственность: мол, мы же просили деньги, а вы не дали, говорит пожелавший остаться анонимным топ-менеджер из банковской сферы. "В тех банках, где IT-безопасность — это часть службы, выросшей из службы физической безопасности, так и происходит чаще всего",— уверен наш собеседник.

Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского", участвовавший в расследовании киберкраж в финансовых организациях, соглашается: "Чаще всего проблемы у банков не с бюджетами, а с информированностью об инцидентах.

Большинство атак происходит по глупости, недосмотру, случайно, если хотите. И так во всем мире.

Если банк формально следует букве закона (так называемая бумажная кибербезопасность), то он все равно станет жертвой злоумышленника".

"Мало накупить дорогих систем,— отмечает Эльмар Набигаев.— Для их эффективной эксплуатации и настройки необходим высококвалифицированный и весьма дорогостоящий персонал, а далеко не каждый банк может себе позволить держать в штате таких профессионалов. Да их и мало очень".

Знающих специалистов мало не только в банках, но и в правоохранительных органах, говорит источник "Денег" в управлении К МВД: "Почти нет оперативников, следователей, способных понять техническую сторону дел, объединить эпизоды и объяснить их суть прокурору и судье".

Вор у вора

Пользуясь исключительно инсайдом, крадут в России деньги и у обнальных банков, которые принимают средства и получают указания, куда их перевести. "Есть группы злоумышленников — они получают доступ к такой почте у обнального банка или отправителя денег,— рассказывает Дмитрий Волков из Group-IB.— Мошенники видят переписку и со взломанной почты сами отправляют эти поручения банку.

Например, сегодня деньги должны уйти в Китай — злоумышленники перехватывают такое письмо, подменяют его: да, тоже Китай, но другое юрлицо. И 200 млн долларов уходят не в ту компанию.

Почту они контролируют. Банк спрашивает: "Точно туда отправлять?" Хакеры отвечают: "Да, туда". И все. Суммы хищений здесь большие, многое делается по наводке".

И кто признается ЦБ, клиентам или партнерам, что украли серые деньги, что пострадала отмывочная или обнальная, криминальная по сути, схема?

КАК ГРАБЯТ БАНКИ

Ваши сотрудники отказались от подписки на бумажную газету или популярный еженедельник? Ждите хакеров-грабителей.

Человеческий фактор

Атака на банк — в первую очередь атака на человека.

Злоумышленникам для начала важно проникнуть в компьютер банковского служащего.

Оттуда открывается доступ в локальные сети, хакеры получают привилегии администратора, что позволяет атаковать системы, отвечающие за финансовые трансакции: АРМ КБР, банкоматные сети, биржевые терминалы, электронные расчеты и межбанковские переводы, SWIFT и процессинговые системы. Что и дает возможность красть средства.

Именно так, скорее всего, произошла кража в Металлинвестбанке: платежные терминалы и корпоративная сеть здесь были объединены, что сыграло на руку хакерам. "Достоверно сложно утверждать, что послужило изначальной точкой входа в банковскую систему,— говорит Михаил Окунев.— Но все уязвимости мы закрыли и постоянно совершенствуемся в этом. Мы разделили физически общую банковскую сеть и те машины, которые отвечают за отправку любых платежей. Банк провел полную перестройку системы информационной безопасности".

Почтовый взлом

Способов проникновения на компьютер банковского служащего несколько. Самый распространенный — через электронную почту. Конкретным сотрудникам присылается некое письмо с документом, куда встроена вредоносная программа с так называемыми эксплойтами. Используя уязвимости в программном обеспечении, они находят черный ход на компьютер сотрудника. Чтобы вредоносный файл открыли, злоумышленники отправляют его от имени клиентов банка, или от ЦБ (как делала группа Buhtrap), или от госорганов.

Письмо может подтверждаться и телефонным звонком: мол, проверьте реквизиты договора, акт сверки, последние распоряжения. И необязательно это будет письмо с фальшивого адреса: хакеры могут отправлять зараженные файлы и с настоящих, но взломанных адресов. Кроме того, это может быть и подлинное письмо от партнеров, но с вредоносной программой.

"У злоумышленников появляются дополнительные возможности совершать атаки через многочисленных банковских контрагентов, у которых система защиты от киберугроз зачастую совсем не развита", —

говорит Роман Чаплыгин.

Что происходит дальше? Сотрудник открывает документ, например, в формате .pdf, а встроенная в него вредоносная программа проверяет, есть ли уязвимости в "читалке". Часто они есть, так как обновления, которые ставят "заплатки" на программное обеспечение, делаются нерегулярно. Впрочем, обновления не панацея, они только снижают риски: у программ, на радость хакерам, существуют уязвимости, неизвестные разработчикам.

Используя эти уязвимости, с помощью эксплойтов, встроенных в присланный документ, киберпреступники входят через черный ход на компьютер жертвы. "Злоумышленник ставит программу, которая позволят получить пароли администратора сети, потом он ходит по разным компьютерам и получает полный доступ,— рассказывает Илья Сачков.— Мы расследовали случай, когда злоумышленники контролировали всю банковскую сеть, похитив большую сумму с корсчета, которую потом распылили по разным счетам и обналичили. У них был доступ на почтовый сервер, главные серверы, и они читали, как банк реагировал на расследование".

Подлом через газету

Другой способ попасть на компьютер к сотруднику банка — массовый, уходящий, как говорят эксперты, в прошлое. Мошенники совершают так называемый подлом популярных сайтов, например деловых и новостных изданий, юридических или государственных справочников. Незаметно для их владельцев хакеры встраивают в сайт небольшую программу, которая проверяет у всех посетителей, какой у них браузер, операционная система, флеш-проигрыватель, pdf-ридер, версии их обновлений и пр. "Таким образом находится уязвимое программное обеспечение — в среднем у 13-15% посетителей",— рассказывает Дмитрий Волков. Кстати, сейчас этот способ, по данным Group-IB, активно используется для заражения троянами и краж денег со смартфонов на Android. Затем через обнаруженные черные ходы на компьютер загружаются программы, которые проверяют, в частности, есть ли у него связь с банковскими или бухгалтерскими программами, какой антивирус стоит и пр. Часть таких компьютеров может оказаться в банке.

Но злоумышленники не знают, на какой компьютер они попали. Чтобы справиться с проблемой, они, например, загружали модифицированную вредоносную программу, выясняющую, есть ли следы работы с банковскими или бухгалтерскими приложениями. "В некоторых случаях это работает: повезет, и

один из тысячи взломанных окажется компьютером бухгалтера, антивирус на нем плохой, появляется возможность украсть деньги",—

поясняет Волков. Если дело касается проникновения в банковскую сеть, то мошенники в последнее время, проникнув в компьютер, часто используют законные или бесплатные инструменты удаленного управления. Это раньше нужно было писать трояны, сейчас система хищений в банках сильно автоматизируется и удешевляется, проникновение в банковскую сеть, отмечает Group-IB, "не требует особого опыта или труднодоступного программного обеспечения".

Украсть и обналичить

По словам источника в управлении К МВД, за обналичку киберпреступники платили 30-60% от похищенного, в зависимости от "чистоты" денег, сложности схем. Если сумма большая, деньги распыляются: скажем, заранее покупается так называемый зарплатный проект, когда 50 млн рублей через юрлицо выводится на 50 банковских карт.

Или деньги летят, например, на две тысячи Qiwi-кошельков и 100 тыс. сим-карт, а с них — на банковские карты. Для снятия денег нанимают людей, которым приходится "светиться" у банкоматов; им платят около 5% от снятого.

Если же нужно получить много и сразу, человека отправляют в отделение банка с заверенными документами от директора фирмы-однодневки, и он получает все через кассу. Когда группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения временно прекращаются. Впрочем, обналичить деньги можно где угодно, говорит Эльмар Набигаев: хакеры успешно пользуются зарубежными счетами.

Атака на банкомат

Новые технологии меняют схему. Проникнув в сеть банка, можно украсть деньги из банкоматов. "Сейчас хакеры проникают в корпоративную сеть банка, находят банкоматную сеть, то есть внедряются на компьютеры сотрудников, которые эти банкоматы обслуживают, и загружают вредоносное ПО на банкоматы",— рассказывает Набигаев. Сообщники хакеров, занимающиеся обналичиванием, подходят к банкоматам, а хакер удаленно дает команду устройству на выдачу наличных. Такая схема кражи денег, по его словам, набирает популярность. Случаи подобных хищений попадали в СМИ, но суммы краж, а также владельцы банкоматов не уточнялись.

Схема удобна хакерам тем, что небольшое число обнальщиков позволяет обчистить много банкоматов. "Банки могут это не сразу заметить, так как инкассация банкоматов не ежедневная, а банковские системы могут сообщать, что деньги в банкоматах еще есть,— говорит Набигаев.— Может пройти неделя, пока выяснится: деньги похищены. Найти злоумышленников трудно, так как время уже потеряно, а следы их преступления, как правило, заметаются — например, хакеры отключают камеры на банкоматах".

Проникнув в компьютерную систему финансовой организации, в июле 2016 года группа молодых людей в масках организованно атаковала 34 банкомата одного из крупнейших тайваньских банков, First Bank, унеся 83,27 млн тайваньских долларов (более $2 млн).

В августе по аналогичной схеме было похищено 12 млн бат (около $350 тыс.) из 21 банкомата Government Savings Banks в Таиланде. В сентябре подобные атаки, отмечает Group-IB, были зафиксированы в Европе, однако огласке их не предали.

"Этапы киберхищения денег у банков"

Источник: Group-IB

"Летняя волна хищений была лишь тестированием возможностей атак на банкоматы, которые в будущем станут одним из основных векторов целевых кибернападений на банки",— считают эксперты Group-IB. Группу, обчищающую по этой схеме банкоматы, компания назвала Cobalt. Она, по информации Group-IB, атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии. Техника проникновения в банки, отмечают эксперты по кибербезопасности, идентична методам, использованным группой Buhtrap. "Можно предполагать, что как минимум часть участников Buhtrap вошла в Cobalt или, что не менее вероятно, костяк Buhtrap просто переключился на атаки на банкоматы",— отмечает Group-IB.

КТО ГРАБИТ БАНКИ

Небритый мужик в маске и с пистолетом? Роковая красотка в черном латексе? Современный грабитель выглядит иначе. И еще недавно получал в школе пятерки по информатике.

Компания Group-IB считает, что против российских финансовых учреждений работает пять преступных групп, по многим признакам — русскоязычных. Собственно "кодеров", тех, кто пишет программы, используемые хакерами, немного, говорят расследователи киберпреступлений. И они, как правило, не участвуют в хищениях. Большинство кибервзломщиков копируют уже известное или используют имеющиеся в свободном доступе наработки.

Действуют они не в одиночку, поскольку реальную сложность для них представляет только финальный этап — обналичивание. "Такие группы работают с теми, кто занимается обналичкой. А это ОПГ",— объясняет Илья Сачков.

Быстрые деньги

Кто ограбил Металлинвестбанк, официально не разглашается, но едва ли хакерская группа Buhtrap отличается по своему составу от аналогичных. Как правило, говорит Сергей Голованов из "Лаборатории Касперского", это молодые образованные ребята, у которых была твердая пятерка по информатике в школе и которые неплохо закончили технический вуз: "Они попробовали один раз украсть деньги, и у них получилось. Они понимают, что после университета у них по большому счету есть следующие варианты карьеры: работать на дядю по восемь--десять часов в офисе или в свободном режиме писать вредоносные программы и таким образом зарабатывать деньги".

Выбор для многих очевиден: есть опыт знакомых, которые на киберпреступлениях поднялись. С гламурным имиджем, далеким от уголовного. В итоге человек быстро учится красть.

"В компьютерных преступлениях в РФ доминируют банковские преступления",—

говорит Илья Сачков. То есть российские кибермошенники крадут в основном деньги. Сегодня, по словам Голованова, в мире есть два основных географических региона, где сконцентрированы злоумышленники, которые охотятся за деньгами банков и их клиентов,— Россия и страны СНГ, а также Бразилия.

Самый знаменитый из российских хакеров, видимо, 30-летний Дмитрий Федотов, также известный как Paunch (брюхо), чьи программы с эксплойтами Blackhole и Cool Exploit Kit обеспечили 40% заражений по всему миру, а ущерб от них исчислялся миллиардами долларов. Долларовый миллионер ездил по Тольятти на единственном в городе белом "Кайене", что и помогло его арестовать. В апреле 2016 года он был осужден на семь лет — случай беспрецедентный, поскольку сам Федотов в киберхищениях не участвовал, только писал для них программы.

Хакеры на экспорт

Илья Сачков утверждает, что основные разработчики вредоносного обеспечения — русскоговорящие, и живут они по всему миру: "У таких людей высокий IQ, недостаток внимания родителей в детстве, отсутствие понимания, что такое хорошо и что такое плохо. Возможно, это потерянное поколение 1990-х".

16 из 19 известных банковских троянов связаны с русскоязычными хакерами, а российские кибервзломщики весьма успешно захватывают мировой рынок хакерского программного обеспечения.

"Появились маленькие преступные IT-компании, которые делают все необходимые для киберкраж инструменты,— поясняет Сачков.— Теперь не нужно иметь 20-летний опыт, чтобы заняться компьютерной преступностью". И стоит это, говорит источник в управлении К МВД, дешево.

После серии арестов в 2016 году (помимо членов Buhtrap задержали создателей банковского трояна Lurk, с помощью которого, по данным "Лаборатории Касперского", учувствовавшей в поимке, за последние пять лет украли 3 млрд рублей) мошенники стали переориентироваться на заграницу. Русскоязычные — как правило, из России и с Украины — хакеры вовсю администрируют крупные ботнеты, в которые уже попадают устройства "интернета вещей": умные холодильники, чайники и телевизоры. (И кажется, единственный способ быть уверенным, что ваша новая стиральная машина не взломала банк,— не подключать ее к сети.)

Эти хакеры сформировали рынок соответствующих услуг, отмечает Михаил Кондрашин, технический директор занимающейся анализом киберпреступности компании Trend Micro в России. Появившись году в 2004-м, русскоязычный хакерский андерграунд, по его словам, "кардинально изменил расстановку сил" в мире: "Теперь злоумышленникам не нужно было изобретать велосипед. Достаточно найти подходящего поставщика товара или услуги и реализовать задуманное сразу,— поясняет Кондрашин.— В результате атаки в интернете стали более сложными и многокомпонентными". Group-IB прогнозирует, что русскоязычные хакеры, получив успешный опыт атак на банки России и Украины, будут уходить в другие регионы мира.

 

ВЛАДИМИР РУВИНСКИЙ
Опубликовано 25 Марта 2017 года на сайте Коммерсант.ru
Подробнее...
Источник: http://kommersant.ru/doc/3235006

Страницы