Группировка «Кобальт» опробовала новый для себя способ вывода средств из кредитных организаций — через шлюзы платежных систем. В сентябре из Банка жилищного финансирования (БЖФ) через шлюзы вывели около $100 тыс. Как сообщают собеседники “Ъ” в правоохранительных органах, также заражены были еще три кредитные организации. Во всех банках крайне низкий уровень информбезопасности, который, по мнению экспертов, могли бы выявить лишь внеплановые проверки.
Как стало известно “Ъ”, в сентябре хакеры из группировки «Кобальт» вывели из БЖФ около $100 тыс. через шлюзы платежных систем. Подобная атака не просто не характерна для группировки, отмечают эксперты, вывода денежных средств через шлюзы платежных систем не было уже много лет. «Однако известны случаи подобного вывода средств двухлетней давности»,— отметил директор по безопасности Почта-Банка Станислав Павлунин. С тех пор хакеры переключились на атаки, когда средства выводились через другие каналы, указывает глава управления информбезопасности «Ренессанс-кредита» Дмитрий Стуров. «Полагаю, связано это в первую очередь с тем, что через шлюзы платежных систем хакерам сложно вывести крупные суммы»,— отмечает он.
По словам исполнительного директора CyberPlat Владимира Кузнецова, при переводе денежных средств через шлюз платежной системы деньги могут переводиться как в режиме онлайн, так и траншами. При этом и платежная система, и банк настраивают лимиты на переводы — как на общий размер переводов в течение дня, так и на максимальную сумму перевода, на количество однотипных переводов и т. д. «Подобные двухсторонние лимиты и должны защитить банк, в том числе от несанкционированных списаний»,— отметил он. В данном случае, по словам знакомых с ситуацией источников “Ъ”, злоумышленники взломали АБС банка, увеличили установленные лимиты на перевод денежных средств и через шлюзы платежных систем вывели деньги на банковские карточки, затем обналичив их.
Вредонос попал в банк с помощью фишингового письма, которое было отправлено якобы от имени Альфа-Банка. В письме банк хотел урегулировать вопрос с мошенническими трансакциями, которые якобы шли из БЖФ. В пресс-службе Альфа-Банка “Ъ” сообщили, что почту Альфа-Банка никто не взламывал. «Атака с почты, названием схожей с адресом известной организации, крайне распространенный хакерский прием, рассчитанный на невнимательность»,— отметили там.
Причины же возврата хакеров к старым схемам эксперты видят в том числе и в том, что платежной системе сложно увидеть несанкционированный платеж. Руководитель экспертного центра безопасности Positive Technologies Алексей Новиков отмечает, что платежной системе отличить легитимный платеж от нелегитимного довольно сложно. «В большинстве случаев только из сообщения от банка платежная система может узнать, что перевод денежных средств был совершен злоумышленниками»,— отмечает Владимир Кузнецов.
О фишинговой рассылке, с помощью которой злоумышленники проникли в банк, ФинЦЕРТ (подразделение ЦБ по информбезопасности) сообщал в своем бюллетене от 16 августа. В нем говорилось, что эксплуатируется одна из уязвимостей Microsoft и были даны рекомендации по ее устранению. «Речь шла о трояне Beacon,— отметил Алексей Новиков.— Он используется для организации удаленного доступа к рабочему компьютеру сотрудника».
Собеседник “Ъ” в правоохранительных органах отметил, что им известно о заражении еще трех кредитных организаций. «Мы выяснили, что и пострадавший банк, и других зараженных объединяют низкий уровень информационной безопасности, отсутствие российских антивирусов, лицензионного ПО, обновлений,— отметил он.— Выявить эти недочеты можно было в рамках внеплановых проверок ЦБ». Он уверен, что необходимо дать ЦБ дополнительные полномочия для внеплановых проверок информационной безопасности в банках. «Если не сделать этого, может быть волна хищений»,— предупреждают правоохранители. При этом последняя рассылка с вредоносом от «Кобальта» была зафиксирована экспертами Positive Technologies в конце сентября этого года, уже после описанной атаки.
Впрочем, в банках уверены, что и в нынешних реалиях есть возможность защититься. По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, необходимо как минимум внимательно отслеживать все рекомендации ФинЦЕРТа. Нужна усиленная защита контура шлюзов платежных систем и ключей доступа, добавляет Дмитрий Стуров. «Существенно снизить вероятность подобных хищений может надежно построенная эшелонная система киберзащиты»,— уверен Станислав Павлунин.