16+
Суббота, 17 ноября 2018
  • BRENT $ 67.10 / ₽ 4427
  • RTS1134.93
19 декабря 2017, 13:10 Финансы

В России впервые ограбили банк с помощью SWIFT

Лента новостей

Название пострадавшего учреждения и сумма ущерба не раскрываются, но, как рассказал в интервью Business FM руководитель киберразведки Group-IB, с помощью системы межбанковских переводов хакеры могут вывести из банка практически все средства

Фото: Imago stock&people/ТАСС

Обновлено 15:20

Хакеры впервые вывели деньги из российского банка через SWIFT. Об этом сообщает «Коммерсантъ» со ссылкой на компанию Group-IB. Название банка и сумма ущерба не раскрываются.

Среди клиентов SWIFT более 11 тысяч организаций и компаний по всему миру. За сутки через платежную систему проходит несколько триллионов долларов.

По данным специалистов, к атаке на банк причастна группировка Cobalt. Как пишет издание, структурное подразделение Центробанка России по информационной безопасности ранее называло Cobalt главной угрозой для кредитных организаций.

Атака была проведена 15 декабря. По данным специалистов, проникновение хакеров в банк произошло через вредоносное программное обеспечение, которое злоумышленники рассылали по банкам несколько недель назад.

Вывод средств через SWIFT говорит о том, что хакеры нашли надежные каналы для отмыва крупных денежных сумм, поясняет руководитель департамента киберразведки Group-IB Дмитрий Волков.

Дмитрий Волков: Очень многие трактуют информацию неправильно. Сама по себе система SWIFT неуязвима. Каких-то явных уязвимостей, которые срочно нужно исправлять, в системе межбанковских платежей нет. Основная проблема — это безопасность непосредственно банка, который эту систему использует.
Почему до этого не использовали SWIFT?
Дмитрий Волков: Очень сложно обналичить подобного рода денежные средства. Например, средняя сумма, когда атакуют банкомат, — несколько сотен тысяч долларов, когда грабят карточный процессинг, то средняя сумма — от миллиона до 2,5-3 млн долларов. Когда вы попытаетесь ограбить банк через систему межбанковских переводов, то таких лимитов уже нет, вы можете вывести из банка практически все средства, которые у него есть. Пока рекорд, с которым мы сталкивались, — чуть больше полумиллиарда рублей. Когда выводятся такие большие суммы, нужна группа профессионалов, которые подобного рода деньги смогут отмыть. Группировка действует уже достаточно продолжительное время, несколько лет. Когда они появились, их основной целью были все-таки банкоматы. Они провели достаточно большое количество успешных атак в России, на постсоветском пространстве, в том числе в некоторых азиатских странах. После этого они переключились на карточный процессинг. Но при этом они всегда старались обходить системы межбанковских переводов. Основная проблема — это все-таки сложность обналичивания подобного рода денег. Видимо, сейчас настал переломный момент, они поняли, что заработать на системах межбанковских переводов можно еще больше. Видимо, они все-таки нашли контакты «правильных» людей, которые могут этот процесс поддержать.
Именно в этом случае как удалось получить доступ к данным банка, войти в систему?
Дмитрий Волков: Основной способ получения доступа в сеть банка — отправка фишингового письма с вредоносным вложением. Если сотрудники банка открывают это вложение, то на их компьютер попадает вредоносная программа, которая предоставляет злоумышленнику удаленный доступ к одному из компьютеров. Получая доступ, злоумышленник начинает исследовать внутреннюю сеть банка. Для подобного рода атак они, естественно, используют уже готовые инструменты. Сами по себе инструменты редко меняются. Отслеживать проникновение именно этой группы достаточно легко, технические средства, которые позволяют эффективно это делать, есть. Но, к сожалению, не все банки используют современные средства. Все, как правило, полагаются на такие традиционные средства защиты, как межсетевые экраны, антивирусы, которые в данном случае не могут предоставить адекватный уровень защиты.

По данным «Коммерсанта», банк, подвергшийся кибератаке, некоторое время назад прошел проверку ЦБ. У регулятора возникли претензии к уровню информбезопасности банка. Кредитная организация получила от регулятора рекомендации по повышению уровня безопасности. Были они выполнены или нет, неизвестно.

Хакеры могли использовать и другие платежные системы, отмечает директор по методологии стандартизации Positive Technologies Дмитрий Кузнецов. «Хакеры проникают в информационную инфраструктуру банка, и, как правило, их основная задача — получить доступ к терминалу одной из платежных систем, с которой взаимодействует банк, — объясняет эксперт. — Дальше два варианта. Первый вариант — когда хакеры используют строго определенную схему вывода денег. Например, если они выводят деньги через пластиковые карты, то им нужно получить доступ к терминалам Visa, Mastercard, и они целенаправленно атакуют его. Второй вариант, когда хакеры получают доступ хоть к какому-то терминалу взаимодействия, например к терминалу SWIFT. Тогда они отрабатывают схему вывода денег через SWIFT. В любом случае терминалы платежных систем используются просто как средство коммуникации, как способ отправить платежное поручение, инициировав денежный перевод из атакованного банка в банк, где находятся счета их сообщников. Это атака на банк».

Атаки в последнее время однозначно стали более сложными, добавляет Дмитрий Кузнецов. «Все более сложные троянские программы, хакеры научились лучше маскировать свои действия от защищающейся стороны, — рассказывает он. — Если людям стали известны, например, адреса электронной почты сотрудников, отвечающих за противодействие легализации доходов, им отправляются электронные письма, выполненные как будто на фирменном бланке службы финансового мониторинга. Адрес, оформление письма, должности очень похожи на настоящие. Получив такое письмо, сотрудник банка обязательно его прочтет, это его обязанность. В письмо обычно или вкладывается вредоносная программа как приложение к письму, или же оно закодировано в виде активного содержания письма, то есть вирус может сработать, либо когда человек открывает прикрепленный файл, либо когда он просто просматривает само сообщение».

В апреле 2016 года SWIFT разослала тысячам своих клиентов уведомления, сообщив, что было зафиксировано множество случаев, когда хакеры отправляли фиктивные платежные поручения, имитируя сообщения SWIFT. В мае прошлого года платежная система сообщила о второй крупной кибератаке на банк, но подробностей в SWIFT не раскрыли.

Представители компании Group-IB отказываются даже охарактеризовать пострадавший российский банк: крупный он или мелкий, государственный или частный. В SWIFT не стали комментировать «отдельных клиентов», но подчеркнули, что компания очень серьезно относится к кибербезопасности и изучает все угрозы, принимая соответствующие меры. SWIFT также готова предлагать свою помощь кредитным организациям при возможном мошенничестве, сообщили РИА Новости в компании.

Начальник аналитического управления Банка корпоративного финансирования Максим Осадчий считает, что атаке подвергся небольшой российский банк. «Жертвами хакерских атак в первую очередь становятся банки, которые не в состоянии проводить большие расходы на антивирусную защиту, на защиту от хакеров, то есть это слабое звено в цепи, — говорит эксперт. — Вспомним, что первой успешной хакерской атаке на расчеты с помощью системы SWIFT подвергся государственный банк Бангладеш, так что и в России пострадал, скорее всего, какой-то небольшой банк. Я видел пока сумму около 100 млн рублей, то есть даже для достаточно небольшого банка с активами в несколько миллиардов рублей это не критичная сумма».

Как пишет издание, хищение средств через SWIFT в мире не редкость. В 2016 году хакеры получили доступ к аккаунтам сотрудников Центробанка Бангладеш и направили серию запросов на перевод денег. Средства списывались со счетов ЦБ в Федеральном резервном банке Нью-Йорка. Сотрудники ФРС одобрили некоторые транзакции. Таким образом, более 80 млн долларов перевели на счета филиппинских казино. Лишь одна операция вызвала сомнения: в инструкции на перевод средств была ошибка в слове «фонд». После проверки выяснилось, что указанного получателя денег не существует.

Добавить BFM.ru в ваши источники новостей?

Рекомендуем:

Фотоистории

BFM.ru на вашем мобильном
Посмотреть инструкцию