Весной этого года двое из организаторов хакерской группы Carberp были приговорены к пяти и восьми годам лишения свободы. Их жертвами стали более тысячи российских граждан, а общая сумма хищений составила около $10 млн, это при том, что доказать удалось далеко не все эпизоды. Хакеры создали бот-сеть с использованием банковского трояна Carberp, на долю которого приходится 72% заражений финансово-кредитных учреждений в мире. Вирус попадал в компьютеры пользователей при посещении зараженных сайтов, среди которых были популярные финансовые порталы. Специальная программа-загрузчик определяла тип системы дистанционного банкинга используемой на компьютере, и подбирала подходящий модуль вируса.
Хотя организаторов группы поймали и привлекли к ответственности, исходные тексты вредоносного Carperp были опубликованы в Интернете в общем доступе, и уже появляются его различные модификации под банки Европы и Латинской Америки.
Дистанционное банковское обслуживание (ДБО) – наиболее привлекательный объект для атаки хакеров. Они тщательно подбирают банки с большим оборотом средств в ДБО и атакуют их системы.
По данным Group-IB, ежедневно в российских банках совершается около 28 хищений, при этом у юридических лиц сумма хищения в среднем составляет 1,6 млн руб., у физических лиц - 75 000 руб.
Когда ключи электронной подписи хранились на флешках или компьютерах, кражи совершались моментально и очень просто. Тогда банки начали переходить на токены - компактные USB-брелоки, которые служат для авторизации пользователяи безопасного удаленного доступа к данным. Но и они не стали панацеей – разработчикам хакерской группы Carberp потребовалось не так много времени для создания подходящего вируса для обхода системы защиты и незаметной подмены реквизитов легального платежного поручения.
Пытаясь защитить своих клиентов, банки стали внедрять одноразовые пароли, которые отправляются владельцу карты или счета по sms.Однако им злоумышленники с успехом противопоставляют социальную инженерию и фишинговые страницы, похожие на реальные страницы интернет-банков. Именно одноразовые sms-пароли стали причиной недавнего инцидента с ДБО крупного российского банка. Мошенники просто взламывали личные кабинеты абонентов на сайтах мобильных операторов и настраивали услугу переадресации sms. Перенаправляя sms-сообщения клиентов на свои номера, они получали доступ к их учетным записям в интернет-банке и переводили средства на счета подставных лиц — клиентов банка.
Что касается краж, совершаемых сотрудниками компаний, схема довольно простая: злоумышленник выводит средства на обналичивание, заражает компьютер вирусом и списывает хищение на вирус.
Наличие большого количества сервисов по обналичиванию средств в России существенно облегчает экономическую часть преступления. Тем не менее, расследовать такие инциденты профессионалу достаточно просто – обычно даже первичная экспертиза определяет отсутствие банковского вируса, а если он и есть, то обнаруживается, что его не использовали.
Основным направлением защиты от мошенничеств в ДБО сегодня является создание таких систем, которые способны определить, что рабочая станция клиента заражена, а проводимая операция является хакерской атакой.
Последние два года в России также очень активно развивается сегмент решений класса TrustScreen. Они позволяют выводить реквизиты платежного поручения на экран устройства, которое устанавливается между рабочей станцией и токеном и блокировать операцию подписи до тех пор, пока клиент не проверит их корректность и не нажмет кнопку подтверждения. Такая архитектура не позволяет незаметно для легального пользователя подменить какой-либо документ в системе Интернет-банкинга. На Западе решения со схожим функционалом используются уже несколько лет и довольно хорошо себя зарекомендовали.
Хотя, если принимать врасчет невнимательность и легковерность многих пользователей систем ДБО, 100% защиты от атак у банков так и не существует. Хакерская работа становится все более продуманной, повсеместно используются не только технические средства, но и социальная инженерия. Кроме того, данные могут быть украдены не по вине банка, однако он все равно понесет убытки. Так, в США хакеры украли данные о пластиковых картах почти 70 миллионов клиентов у американской розничной сети Target, и банкам пришлось потратить $200 млн на их перевыпуск. Тем не менее, при правильном подходе к процессу относительно несложно снизить риски до приемлемого уровня и выстроить систему, которая в случае атаки поможет оперативно расследовать инцидент и минимизировать ущерб от него.