Это интересно

Банки собирают образ. Биометрические данные граждан уходят в систему

С июля граждане смогут получать фактически любые банковские услуги дистанционно с помощью биометрических данных, которые соберут в единую систему (ЕБС). Но удобная новация несет в себе серьезные риски, предупреждают эксперты. Это и мошеннические действия при сборе биометрических данных, и возможность хищения данных из банков, системы которых не столь надежны, как ЕБС. Предоставление права гражданам блокировать свои данные или ограничивать их использование способно нивелировать угрозу, но пока такой возможности нет.

В ходе прошедшего 29 июня заседания совета Ассоциации банков «Россия» первый зампред ЦБ Ольга Скоробогатова сообщила, что со 2 июля около 400 отделений банков в 140 городах РФ начнут сбор биометрических данных граждан. До конца года эта система должна заработать в 20% банков в 4 тыс. отделений, к концу 2019 года — во всех.

"В законе сейчас — открытие счетов и вкладов, получение кредитов и переводы. В принципе это наиболее востребованный перечень услуг, который рынок и сами клиенты заявили для того, чтобы иметь возможность получать их удаленно", - Ольга Скоробогатова, первый зампред ЦБ, 2 февраля 2018 года.

Фото: Александр Коряков / Коммерсантъ  

«Биометрические данные напрямую связаны с личностью, необходимы чрезвычайные меры безопасности, которые исключат возможность утечки информации на всех этапах работы»,— отмечает глава управления информбезопасности ОТП-банка Сергей Чернокозинский.

В частности, серьезную угрозу представляют мошеннические действия при сдаче биометрических данных, так называемая фальшивая биометрия, когда мошенник действует от имени человека по поддельному или украденному паспорту.

По словам зампреда правления «Ренессанс Кредит» Сергея Королева, сотрудник банка обязан проверить подлинность паспорта, осмотрев его, просветив в ультрафиолетовой лампе, но в то же время в банках нет оборудования и экспертов-криминалистов, которые позволяют выявлять высококачественные подделки.

Зарегистрировав свои биометрические данные на чужой паспорт, злоумышленник может проводить любые операции под чужим именем. При этом в любой момент мошенник может просто удалить биометрические данные из ЕБС, еще раз посетив с поддельным паспортом отделение банка. Данные из ЕБС по заявлению удаляются навсегда, резервные копии не хранятся.

Банки могут подстраховаться от подобных мошенничеств, создавая собственные мини-базы биометрических данных. По словам начальника управления развития технологий розничного бизнеса Росевробанка Натальи Лучинец, банки должны хранить переданные в ЕБС образцы на случай оспаривания операций клиентами. Но тут возникает другой риск — хищение биометрических данных у самого банка. Из ЕБС, по официальной версии, хищение фактически невозможно. Как сообщили “Ъ” в «Ростелекоме» (оператор ЕБС), биометрический шаблон в системе хранится в обезличенной форме отдельно от персональных данных. Похищать только биометрию, не зная, кому она принадлежит, бессмысленно. Но в банках такой защиты нет.

По мнению экспертов, человек должен иметь право ограничить или полностью запретить использование своей биометрии, но пока это невозможно.

«На сегодняшний день нет публичного механизма для граждан, позволяющего ограничить возможное мошенничество с биометрическими данными,— отмечает заместитель руководителя НП "Национальный совет финансового рынка" Александр Наумов.— Было бы честно разрешить гражданам устанавливать запрет на использование их биометрии». По словам Сергея Чернокозинского, с точки зрения безопасности правильнее, чтобы клиент мог давать разрешение на использование биометрии на короткое время при необходимости, а потом вновь закрывал такую возможность.

Депутаты готовы поддержать банковское сообщество и инициировать необходимые поправки, заверил “Ъ” глава комитета Госдумы по финансовому рынку Анатолий Аксаков. Нет принципиальных возражений и у «Ростелекома»: «Внедрение системы предполагает постоянное совершенствование средств информационной безопасности».

Но в ЦБ уверены, что в дополнительной защите нет необходимости. «Меры информационной безопасности предельно жесткие. Проработка возможных вариантов защиты осуществлялась с самого начала проекта и на всех его стадиях,— заверили там.— Реализованные меры адекватны возможным рискам. Имеющиеся правовые механизмы достаточны для обеспечения прав субъекта персональных данных». Впрочем, эксперты не исключают, что регулятор изменит свое мнение в случае реальных инцидентов мошенничества или хищения биометрических данных.

 

Вероника Горячева; Андрей Репин, Нижний Новгород

Опубликовано 2 июля 2018 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3674927 

 

Сбербанк фиксирует 8–9 тысяч кибератак еженедельно

В неделю Сбербанк фиксирует 8–9 тыс. атак со стороны кибермошенников, которые пытаются вывести средства. Об этом зампред правления банка Станислав Кузнецов заявил в кулуарах совместного мероприятия Сбербанка, Ассоциации «Россия» и техкомпании Bi.Zone. «Это статистика только лишь Сбербанка. Динамика, к сожалению, пока повышается»,— цитирует его «РИА Новости».

Ранее господин Кузнецов говорил, что Сбербанк с начала 2018 года спас от киберпреступников 13,8 млрд руб. на счетах клиентов. Он также сообщал, что акеры стали использовать искусственный интеллект.

Президент России Владимир Путин в конце апреля подписал закон, который ужесточает уголовную ответственность за кражу денег с банковских карт. Теперь мошенничество с использованием электронных средств платежа наказуемо лишением свободы на срок до трех лет.

 

Опубликовано 18 июня 2018 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3661592

Cибиряк отсудил у МТС 280 тысяч. Его счета обчистили за одну ночь — преступник использовал схему, которая доступна каждому.

В мае 2014 года у новосибирца Максима Ерофеенко внезапно перестала работать сим-карта МТС. Мужчина восстановил номер в ближайшем салоне мобильного оператора, а на следующий день заметил, что все его деньги, которые хранились на картах Сбербанка, исчезли. Кто-то перевел их на несколько электронных кошельков. Как установил суд, кому-то дали дубликат сим-карты на телефонный номер Ерофеенко, с помощью которого преступник, которого так и не нашли, получил доступ к личному кабинету «Сбербанк Онлайн» и снял деньги с карты и кредитного счёта. В конце апреля этого года Новосибирский областной суд постановил взыскать с компании МТС в пользу Ерофеенко 280 тысяч рублей. О том, насколько легко остаться без денег, подключив к своему номеру удобную услугу «Мобильный банк», и почему эксперты считают, что система, работающая на связке мобильного банка с сим-картой, ненадёжна — в материале обозревателя НГС.

Днём 7 мая 2014 года у новосибирца Максима Ерофеенко перестала работать сим-карта. Вечером после работы мужчина заехал в офис МТС и получил дубликат сим-карты своего телефонного номера. На следующий день он зашёл в «Сбербанк Онлайн» и обнаружил, что с его дебетовой карты и кредитного счёта были переведены на различные электронные кошельки 180 тысяч рублей. 

«Я обратился в Сбербанк, мне сказали: "Проведём служебное расследование и всё вернём, если установим, что это действительно была мошенническая схема"», — вспоминает Ерофеенко. 

Максим обратился в полицию. Выяснилось, что днём 7 мая в офис ОАО «РТК», которое является официальным партнёром компании МТС, пришёл мужчина с поддельной доверенностью и получил дубликат сим-карты на телефонный номер Ерофеенко. По словам пострадавшего, преступника не нашли. Подтвердить эту информацию в пресс-службе ГУ МВД по НСО корреспонденту НГС не удалось. 

Ерофеенко подал исковое заявление в Центральный суд на Сбербанк и компанию МТС. Суд не нашёл нарушений со стороны банка, но пришёл к выводу, что МТС предоставили клиенту услуги ненадлежащего качества. «Мы судились с МТС с декабря 2015 года, — объяснил адвокат потерпевшего Михаил Спиридонов. — Только недавно, 28 мая, мы получили решение в нашу пользу. Мы прошли несколько инстанций, в Центральном суде удовлетворили требования, потом отказали в апелляции, мы обжаловали. 26 апреля Новосибирский областной суд удовлетворил наш иск и решение вступило в законную силу. Деньги пока с МТС не получали, планируем сделать это в ближайшее время. Суд установил вину МТС в неправомерной выдаче сим-карты неуполномоченному лицу, что повлекло за собой причинение убытков. Взыскали с МТС в пользу абонента 281 тысячу 500 рублей». 

По словам Ерофеенко, параллельно ему пришлось судиться со Сбербанком из-за того, что он не мог вернуть деньги, которые были похищены с кредитной карты. 

«У меня сто тысяч было на расчётном счету, восемьдесят тысяч — это кредитный счёт, — объяснил потерпевший. — Через судебных приставов у меня арестовали имущество, вообще всё — машина, квартира, зарплатная карта, вплоть до ипотечного счёта. Я едва не остался без квартиры. В итоге пришлось вернуть деньги, выплатить просрочку и неустойку. У меня ещё и кредитная история теперь испорчена. Я просто ради интереса пробовал взять кредит — отказали». 

В пресс-службе «МТС Сибирь» пояснили, что МТС строго контролирует требования идентификации клиентов. 

«В данном случае при замене сим-карты были соблюдены все законодательные требования и правила — предъявлены паспорт и доверенность. Следует отметить, что замена сим-карты не может являться причиной списания денежных средств с банковского счёта, поскольку для этого необходимо было иметь доступ к личному кабинету клиента банка, что в свою очередь требует знания логина и пароля личного кабинета в банковском приложении, которые невозможно узнать, просто заменив сим-карту. Таким образом, МТС не может нести ответственность за банковские услуги, предоставленные абоненту, а именно — за оборот средств по его банковскому счету. Ранее подобных инцидентов в салонах МТС в Новосибирске не было», — пояснили в компании. 

При этом в МТС подчеркнули, что противодействовать такого рода преступлениям возможно благодаря сотрудничеству между кредитными организациями, операторами связи и правоохранительными органами. 

«Кроме того, мы обсуждаем с участниками рынка возможность создания горячей линии, которая позволит банкам и операторам связи эффективно взаимодействовать по фактам подозрительных действий или мошенничеств», — добавил представитель компании. 

В Новосибирске это далеко не первый случай, когда со счёта клиента банка исчезают деньги из-за дубликата сим-карты. В ноябре 2014 года у депутата горсовета академика Николая Ляхова сняли около миллиона рублей — сумму грантов на научное исследование. А в октябре этого же года со счёта депутата Бердского горсовета Виталия Шапраны неизвестные перевели с карты больше четырёхсот тысяч рублей. Банк вернул депутатам деньги. Семья пенсионера Александра Скоропупова, у которого пропали 55 тысяч рублей, суд Сбербанку проиграла, однако деньги удалось вернуть с помощью полиции, которая нашла мошенников. В июне 2015 года полтора миллиона с банковской карты Сбербанка было украдено у пары новосибирских блогеров Олега и Анны Черняховских

Во всех случаях сим-карты пострадавших блокировались, мошенники по поддельным документам создавали дубликаты и похищали деньги через мобильный банк или систему «Сбербанк Онлайн».

«В соответствии с условиями банковского обслуживания, введение разового смс-пароля для подтверждения операций, направленного на номер мобильного телефона, указанного при заключении договора, является аналогом собственноручной подписи клиента», — пояснили корреспонденту НГС в пресс-службе Сибирского филиала ПАО «Сбербанк». 

В банке подчёркивают, что для безопасного пользования мобильным банком клиентам следует уведомлять банк о смене номера телефона, не переходить по подозрительным ссылкам, не передавать третьим лицам пароли, которые приходят по смс-сообщениям от банка, и блокировать карту, если есть подозрение, что информация с карты доступна третьим лицам. 

Представитель одного из крупных новосибирских банков на условиях анонимности пояснил корреспонденту НГС, что большинство крупных банков понимают риски, связанные с пользованием мобильного банка, и не дают пользователю зайти в систему интернет-банка, если был сделан дубликат сим-карты. 

«Если у вас пропала связь на телефоне, важно сообщить об этом в банк. К сожалению, многие об этом забывают, что ведёт к неприятным последствиям. В Альфа-Банке при смене сим-карты обязательна процедура идентификации клиента через колл-центр. В противном случае вход в мобильный банк невозможен», — подтвердили эту информацию в пресс-службе Альфа-Банка. 

Однако руководитель группы компаний «Грань безопасности» Сергей Гончаров считает, что даже в этом случае мошенники могут получить доступ к онлайн-банкам — для этого им не обязательно знать логин и пароль клиента банка, хватает информации, которая написана на самой карте, найти её при желании не составляет труда. 

«И в этом большая проблема есть, — уверен эксперт. — Банки должны усилить работу с идентификацией клиентов. К примеру, нужна цифровая подпись. Нельзя совершать операции при помощи смс-сообщения. Смс-кой можно только уведомлять. Совершать операции — это ненадёжно, есть риск в любом случае. Возьмём обслуживание юридических лиц — там работает ключ электронных подписей, добраться до которого мошенникам намного сложнее, это более надежная технология. А от физических лиц банки принимают смс-сообщение как подпись клиента. Это в любом случае связано с риском для клиента». 

 

Алёна Истомина

Опубликовано 3 июня 2018 года на сайте сетевого издания «НГС.НОВОСТИ»
Подробнее...
Источник: https://news.ngs.ru/articles/55360761

 

 

IT-решения, что меняют финансовый мир

Абсолютная защита от воровства денег с банковских карт, безопасные трансакции с помощью электронной подписи в смартфоне, инвестиции в акции за пару кликов и говорящие роботы в call-центрах. "Деньги" выбрали несколько технологий, которые уже меняют финансовый рынок.

В 2017 году совокупный объем инвестиций в финтех — "умные" онлайн-сервисы, помогающие простым пользователям и профессиональным участникам рынка управлять финансами,— составил $27,4 млрд, свидетельствуют данные консалтинговой компании Accenture. Российский рынок на этом фоне смотрится куда скромнее — по оценкам директора центра компетенций Fintech & Blockchain фонда "Сколково" Павла Новикова, в прошлом году в российские компании инвестировано порядка $50 млн. Но и у нас есть несколько интересных разработок, которые начинают завоевывать рынок. В будущем они могут серьезно облегчить работу компаний финансового сектора и повысить уровень комфорта и безопасности клиентов. Расскажем о нескольких из них.

Безопасные операции

Удаленная идентификация клиента и подтверждение операций — основные проблемы, с которыми сталкиваются банки. Чаще всего проколы по безопасности случаются именно в этих сферах. Код входа в интернет-банк можно легко украсть, скопировав с телефона клиента. СМС-сообщение, которое приходит для подтверждения трансакции, легко перехватить. Два сколковских стартапа заявляют, что могут предотвратить эти проблемы.

Компания "ЦРТ-Инновации" создала решение VoiceKey.OnePass, которое открывает доступ в приложение (например, в мобильный банк), распознавая лицо и голос клиента. При запуске программа с помощью аппаратной части смартфона сканирует лицо и голос. Затем осуществляется оценка соответствия мимики лица и озвученных голосом цифр (которые ранее были сгенерированы самой программой). Далее информация отправляется на сервер в банке, где происходит сравнение с содержащимися в базе данных образцами. После этого принимается решение — предоставить или не предоставить доступ. "Вход в мобильный банк по отпечатку пальца, СМС-уведомлению или паролю недостаточно надежен. Данные отпечатка пальца, как и другую информацию, можно похитить с телефона или подделать, то же самое относится к лицу и голосу, если рассматривать их по отдельности и в статике. Взломать же систему, подобную VoiceKey.OnePass, практически невозможно",— утверждает исполнительный директор ООО "ЦРТ-Инновации" Алексей Яковлев.

Еще одна интересная технология была создана компанией SafeTech — разработчикам удалось реализовать электронную подпись в смартфоне. Зачем это нужно? Популярные технологии подтверждения операций, которые сейчас используются банками (СМС или push-пароли), крайне уязвимы с точки зрения безопасности, неудобны для клиентов и очень затратны для банков, считают разработчики. "Перехватить СМС-код — задача для выпускника профильного вуза,— уверена директор по развитию продуктов компании SafeTech Дарья Верестникова. — Мы предлагаем привязать электронную подпись к смартфону клиента". Если это сделать, то все трансакции будут подтверждаться двумя тапами по экрану, а уровень безопасности вырастет на порядок.

Дарья Верестникова, директор по развитию продуктов компании SafeTech

SafeTech в партнерстве с компанией "КриптоПро" создала технологию, позволяющую при помощи смартфона подписывать электронные документы квалифицированной электронной подписью, которая обладает такой же юридической силой, как и собственноручная подпись. "С помощью смартфона, на котором установлено специальное приложение, можно будет подтверждать любые электронные трансакции: подписывать договоры и другие документы и, конечно, совершать финансовые операции",— говорит Дарья Верестникова. По ее мнению, через два-три года все крупные банки откажутся от СМС-подтверждений и перейдут на электронную подпись в смартфонах. Решение PayControl используют Россельхозбанк, Росевробанк, Банк инноваций и развития и многие другие, утверждают разработчики.

Акции в два клика

Снижение доходности по банковским депозитам заставляет инвесторов искать другие способы приумножения средств. Средняя ставка по вкладам в крупнейших банках, по данным Центробанка, в апреле рухнула до рекордных 6,4% и, по прогнозам экспертов, продолжит снижаться и далее. Многие вкладчики, ранее спокойно размещавшие свои накопления на депозитах, начинают обращать внимание на сектор альтернативных инвестиций, интересоваться условиями вложений в акции и облигации. В свою очередь, управляющие компании, которые ранее предпочитали работать только с состоятельными клиентами, постепенно переключаются на работу с массовым сегментом.

В этой ситуации инвесторы все более активно пользуются новыми технологиями. "В 2017 году мы наблюдали резкий скачок продаж инвестиционных продуктов на веб-сайте компании — почти в семь раз, до 1 млрд руб.",— рассказывает управляющий директор "Сбербанк Управление активами" Василий Илларионов. Именно поэтому в "Сбербанк Управление активами" решили запустить свое мобильное приложение, в котором можно проводить операции с паевыми фондами и по индивидуальным инвестиционным счетам (ИИС). Чтобы воспользоваться функционалом приложения, надо зарегистрироваться с помощью подтвержденной учетной записи на портале госуслуг или получить логин и пароль в одном из отделений Сбербанка. После этого можно покупать и продавать ПИФ, открыть и пополнять ИИС. Тут же можно отслеживать, как растет или падает стоимость фонда. Приложение на основе предпочтения клиента может подсказать наиболее подходящие объекты для инвестиций — для этого надо указать уровень риска, присущий фонду, объект для инвестиций (акции, облигации, золото) и валюту актива (рубль или доллары).

С одной стороны, это довольно удобно — не приходится ломать голову над выбором. И все же неподготовленному будет трудно разобраться в "низких" и "высоких" рисках.

Все финансы на экране

Все больше людей пользуется одновременно несколькими интернет-банками, что создает некоторые неудобства — трудно держать в уме, сколько денег и на каких счетах у тебя находится. Резидент фонда "Сколково" компания CASHOFF предлагает довольно изящное решение проблемы. Компания создала одноименное приложение для телефона, которое позволяет в режиме реального времени отслеживать информацию по всем своим счетам. Для этого надо привязать аккаунты банков к CASHOFF. Кроме того, к сервису могут быть привязаны аккаунты мобильных операторов и веб-кошельки. "Фактически наше приложение становится своего рода мультибанком, в котором аккумулируются все финансовые данные человека",— поясняет владелец продукта CASHOFF Эрнест Анпилов.

Помимо стандартного функционала финансовых планеров (анализ доходов и расходов) сервис CASHOFF умеет группировать информацию по категориям расходов, интересующим периодам, местам совершения покупок. Кроме того, приложение выполняет функцию "личного помощника" — подскажет, что необходимо добавить в список покупок, не позволит забыть о регулярных платежах и расскажет, где и как больше сэкономить.

Для этого CASHOFF договаривается непосредственно с производителями о возврате части средств с некоторых покупок. Сотрудничество напрямую с производителями товаров, а не с торговыми сетями дает возможность приобретать определенные продукты в любых местах без привязки к конкретным магазинам. Чтобы получить такой кэшбэк, достаточно просто добавить в приложение карты лояльности или отсканировать QR-код на чеке. Покупка пройдет верификацию в приложении, и начисленный кэшбэк будет доступен для вывода на банковские карты, веб-кошельки или на телефон. "Пилотный проект с подобным кэшбэком реализуется в Райффайзенбанке",— рассказывает Эрнест Анпилов. При всех плюсах приложения есть и небольшой минус: дизайн CASHOFF вряд ли можно назвать удачным. Впрочем, разработчики скоро обещают доработать и этот момент.

Защита для банковских карт

По данным Центробанка, в прошлом году мошенники похитили с банковских карт граждан почти 1 млрд руб. Электронные деньги, как и информация, становятся все более желанной добычей для злоумышленников. В последнее время набирает популярность способ хищения средств через дистанционное сканирование банковских карт. Многие банки, выпускающие карты с функцией бесконтактной оплаты, не запрашивают подтверждений для списания небольшой суммы до 1 тыс. руб. — для этого достаточно приложить карту к терминалу. Злоумышленник может запросто подойти к человеку и с помощью мобильного терминала списать деньги с карты.

Один из сколковских стартапов компания Shield разработала технологию защиты от подобного рода воровства. Они встроили экран в кошелек (довольно приятного дизайна) для карт, который делает карту недоступной для считывания POS-терминалом или другим самодельным считывателем. "Применение специальных материалов позволяет блокировать GPS, сотовую связь, Wi-Fi, Bluetooth, NFC, RFID",— рассказывают основатели Shield Андрей Федоров и Михаил Купин. Кроме кошельков и кардхолдеров компания производит линейку защитных изделий для смартфонов, ключей автомобиля, загранпаспортов с чипом, планшетов, ноутбуков.

"Сейчас практически любая информация может быть дистанционно похищена,— утверждает Андрей Федоров.— Геопозиция, контакты, фото, пароли, деньги — все это передается по радиоканалам и делает нас уязвимыми. То же самое с автомобилями — сигнал автомобильного ключа с функцией бесключевого доступа (KeyLess) может быть ретранслирован злоумышленником. Здесь же угроза кражи денежных средств и данных путем сканирования банковских карт и биометрических паспортов со всеми нашими персональными данными". По мнению разработчиков, плюс их изделий в том, что они предлагают буквально физическую защиту данных, которая стоит, на их взгляд, относительно недорого — компания предлагает чехол для телефона, который блокирует абсолютно все каналы связи, за 5,9 тыс. руб., кошелек за 4 тыс. руб. и обложку для паспорта за 3,5 тыс. руб. Минус, что купить изделия можно только в двух местах — технопарке "Сколково" и бизнес-школе "Сколково".

Электронные консультанты

Чат-ботами, которые решают большинство запросов клиента, сегодня уже никого не удивишь. Около 70% вопросов, с которыми люди обращаются к консультантам, носят типовой характер, рассказывает руководитель отдела продаж для среднего бизнеса компании Just AI Дмитрий Морозов. Его компания создала платформу, которая позволяет любой организации самостоятельно создавать и настраивать виртуального ассистента под свои потребности. Главное отличие их чат-ботов в том, что они умеют распознавать устную речь и реагировать на голосовые команды. "Чат-бот — это виртуальный консультант, который может быть внедрен на сайте в виде виджета, в Telegram-канале или в какое-то устройство. Наши чат-боты можно использовать в любом бизнесе, где предполагается общение консультанта компании с пользователями",— рассказывает Дмитрий Морозов. Сейчас такой виртуальный ассистент производства Just AI, по словам разработчиков, работает, например, в Юникредит-банке.

"На рынке практически нет решений, которые позволяют понимать русский язык,— рассказывает Дмитрий Морозов.— Чат-боты, которые будут отвечать людям в call-центрах вместо операторов,— основной тренд для данного направления". В скором времени персонал call-центров в большей части будет состоять из таких ботов, которые станут давать типовые ответы голосом, а операторы-люди будут работать со сложными запросами, считает Дмитрий Морозов.

 

Алексей Савкин

Опубликовано 24 мая 2018 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3630720

Хакеры зарабатывали до полумиллиона в день. Вредоносный «троян» позволял списывать деньги со счетов.

В Волгоградской области возбуждено уголовное дело в отношении местного жителя, входившего в группировку хакеров, которые при помощи Android-трояна умудрялись снимать со счетов граждан в различных российских банках до 500 тыс. руб. в день. Хакер был задержан, вину свою он признал.

Фото: Евгений Павленко / Коммерсантъ

Основанием для расследования стали многочисленные заявления граждан о пропаже средств с их счетов, поступавшие в последнее время в полицию. Сотрудники управления «К» МВД России при помощи специалистов компании Group-IB (специализируется на предотвращении кибератак и разработке продуктов для информационной безопасности) установили, что причиной хищений денег являлось вредоносное приложение. Анализ «цифровых следов» вредоносного приложения, серверов и используемой злоумышленником инфраструктуры позволил установить его личность. Хакером оказался ранее судимый за незаконное хранение оружия (ст. 222 УК РФ) 32-летний житель Волжского. Анализируя «цифровые следы» совершенных краж, специалисты Group-IB, в частности, выяснили, что используемый в преступной схеме банковский «троян» был замаскирован под финансовое приложение «Банки на ладони», выполнявшее роль «агрегатора» систем мобильного банкинга ведущих банков страны. В это приложение можно загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих СМС по всем трансакциям, переводить деньги с карты на карту, а также оплачивать онлайн-услуги и покупки в интернет-магазинах.

Эта вредоносная программа была впервые зафиксирована в 2016 году, судя по следам, ее распространяла цела группа хакеров. Схема их действий была следующей. Когда клиенты банков скачивали приложение «Банки на ладони» и вводили данные своих карт, «троян» отправлял поступающую информацию на сервер злоумышленника. Тот переводил деньги на заранее подготовленные банковские счета суммами от 12 тыс. до 30 тыс. руб. за один перевод, вводя СМС-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников,— все СМС-подтверждения трансакций блокировались.

Как установили сыщики, поначалу в среднем похищалось от 100 тыс. до 300 тыс. руб. ежедневно. В последнее время эта цифра возросла до 500 тыс. руб. Интересно, что часть денег в целях маскировки и более безопасного вывода средств переводилась в криптовалюту.

В итоге оперативники управления «К» вышли на «заливщика» из Волжского, который непосредственно переводил деньги со счетов пользователей на карты злоумышленников. На днях он был задержан. УМВД по Волгоградской области возбудило в отношении него уголовное дело по ч. 4 ст. 159 УК РФ (особо крупное мошенничество) и ст. 174 УК РФ (отмывание средств, полученных преступным путем). В ходе обыска у него дома были изъяты 130 тыс. руб., сим-карты и банковские карты, на которые приходили похищенные денежные средства. Нужно отметить, что отпираться хакер не стал, свою вину признал и стал активно давать показания. Поэтому следствие решило не ходатайствовать о его аресте и ограничилось подпиской о невыезде.

 

Александр Александров

Опубликовано 24 мая 2018 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3637453

Страницы