В России впервые ограбили банк с помощью SWIFT

Название пострадавшего учреждения и сумма ущерба не раскрываются, но, как рассказал в интервью Business FM руководитель киберразведки Group-IB, с помощью системы межбанковских переводов хакеры могут вывести из банка практически все средства

Обновлено 15:20

Хакеры впервые вывели деньги из российского банка через SWIFT. Об этом сообщает «Коммерсантъ» со ссылкой на компанию Group-IB. Название банка и сумма ущерба не раскрываются.

Среди клиентов SWIFT более 11 тысяч организаций и компаний по всему миру. За сутки через платежную систему проходит несколько триллионов долларов.

По данным специалистов, к атаке на банк причастна группировка Cobalt. Как пишет издание, структурное подразделение Центробанка России по информационной безопасности ранее называло Cobalt главной угрозой для кредитных организаций.

Атака была проведена 15 декабря. По данным специалистов, проникновение хакеров в банк произошло через вредоносное программное обеспечение, которое злоумышленники рассылали по банкам несколько недель назад.

Вывод средств через SWIFT говорит о том, что хакеры нашли надежные каналы для отмыва крупных денежных сумм, поясняет руководитель департамента киберразведки Group-IB Дмитрий Волков.

По данным «Коммерсанта», банк, подвергшийся кибератаке, некоторое время назад прошел проверку ЦБ. У регулятора возникли претензии к уровню информбезопасности банка. Кредитная организация получила от регулятора рекомендации по повышению уровня безопасности. Были они выполнены или нет, неизвестно.

Хакеры могли использовать и другие платежные системы, отмечает директор по методологии стандартизации Positive Technologies Дмитрий Кузнецов. «Хакеры проникают в информационную инфраструктуру банка, и, как правило, их основная задача — получить доступ к терминалу одной из платежных систем, с которой взаимодействует банк, — объясняет эксперт. — Дальше два варианта. Первый вариант — когда хакеры используют строго определенную схему вывода денег. Например, если они выводят деньги через пластиковые карты, то им нужно получить доступ к терминалам Visa, Mastercard, и они целенаправленно атакуют его. Второй вариант, когда хакеры получают доступ хоть к какому-то терминалу взаимодействия, например к терминалу SWIFT. Тогда они отрабатывают схему вывода денег через SWIFT. В любом случае терминалы платежных систем используются просто как средство коммуникации, как способ отправить платежное поручение, инициировав денежный перевод из атакованного банка в банк, где находятся счета их сообщников. Это атака на банк».

Атаки в последнее время однозначно стали более сложными, добавляет Дмитрий Кузнецов. «Все более сложные троянские программы, хакеры научились лучше маскировать свои действия от защищающейся стороны, — рассказывает он. — Если людям стали известны, например, адреса электронной почты сотрудников, отвечающих за противодействие легализации доходов, им отправляются электронные письма, выполненные как будто на фирменном бланке службы финансового мониторинга. Адрес, оформление письма, должности очень похожи на настоящие. Получив такое письмо, сотрудник банка обязательно его прочтет, это его обязанность. В письмо обычно или вкладывается вредоносная программа как приложение к письму, или же оно закодировано в виде активного содержания письма, то есть вирус может сработать, либо когда человек открывает прикрепленный файл, либо когда он просто просматривает само сообщение».

В апреле 2016 года SWIFT разослала тысячам своих клиентов уведомления, сообщив, что было зафиксировано множество случаев, когда хакеры отправляли фиктивные платежные поручения, имитируя сообщения SWIFT. В мае прошлого года платежная система сообщила о второй крупной кибератаке на банк, но подробностей в SWIFT не раскрыли.

Представители компании Group-IB отказываются даже охарактеризовать пострадавший российский банк: крупный он или мелкий, государственный или частный. В SWIFT не стали комментировать «отдельных клиентов», но подчеркнули, что компания очень серьезно относится к кибербезопасности и изучает все угрозы, принимая соответствующие меры. SWIFT также готова предлагать свою помощь кредитным организациям при возможном мошенничестве, сообщили РИА Новости в компании.

Начальник аналитического управления Банка корпоративного финансирования Максим Осадчий считает, что атаке подвергся небольшой российский банк. «Жертвами хакерских атак в первую очередь становятся банки, которые не в состоянии проводить большие расходы на антивирусную защиту, на защиту от хакеров, то есть это слабое звено в цепи, — говорит эксперт. — Вспомним, что первой успешной хакерской атаке на расчеты с помощью системы SWIFT подвергся государственный банк Бангладеш, так что и в России пострадал, скорее всего, какой-то небольшой банк. Я видел пока сумму около 100 млн рублей, то есть даже для достаточно небольшого банка с активами в несколько миллиардов рублей это не критичная сумма».

Как пишет издание, хищение средств через SWIFT в мире не редкость. В 2016 году хакеры получили доступ к аккаунтам сотрудников Центробанка Бангладеш и направили серию запросов на перевод денег. Средства списывались со счетов ЦБ в Федеральном резервном банке Нью-Йорка. Сотрудники ФРС одобрили некоторые транзакции. Таким образом, более 80 млн долларов перевели на счета филиппинских казино. Лишь одна операция вызвала сомнения: в инструкции на перевод средств была ошибка в слове «фонд». После проверки выяснилось, что указанного получателя денег не существует.