Международная компания Group-IB подготовила «противомошенническую» инструкцию (есть в распоряжении Банки.ру), в которой объясняет, почему не стоит удалять вредоносное программное обеспечение антивирусом и как правильно доказывать правоохранительным органам, что деньги с расчетного счета организации были списаны мошенническим путем.
В Group-IB отмечают, что за последнее время значительно увеличилось количество инцидентов в системах дистанционного банковского обслуживания (ДБО). В данном случае под инцидентом понимаются любые попытки хищения денежных средств. Финансовые потери от одного такого инцидента в системе ДБО, по расчетам Group-IB, составляют от 300 тыс. до нескольких миллионов рублей (в зависимости от того, сколько денег есть на счете клиента). Как отмечают в самой Group-IB, разработанная компанией инструкция рассчитана главным образом на банковских клиентов — юридических лиц разных сегментов бизнеса.
Расследования показали, что сотрудники служб информационной безопасности многих компаний и другие уполномоченные лица (в том числе и системные администраторы) неосознанно уничтожают криминалистически значимые данные, которые бы помогли привлечь злоумышленников к уголовной ответственности. Нередки и случаи, когда в ходе внутреннего расследования инцидента существенно снижается юридическая значимость данных, необходимых для оспаривания мошеннических операций.
Основная проблема, связанная с безопасностью ДБО, такова: злоумышленники с помощью нецеленаправленных атак на клиентов банков получают доступ к ключам электронной подписи, используемым компаниями для подписи платежных поручений, и передают в банк мошеннические платежные поручения. В результате низкой осведомленности и нерешительности действий работников пострадавшей организации такие платежные поручения исполняются, и счет клиента банка «опустошается».
«Чем крупнее компания, тем выше вероятность, что ее компьютеры хорошо обслуживаются (сисадмины устанавливают необходимое программное обеспечение (ПО), регулярно его обновляют и так далее) и никакие сторонние платежные поручения через ее систему не проскочат, — говорит руководитель экспертной группы банковских технологий СБ Банка Максим Волков. — В средних компаниях, как правило, существуют приходящие администраторы. Но между их приходами может пройти несколько часов и даже недель, в течение которых существующая уязвимость в операционной системе может быть атакована злоумышленниками. В результате атаки злоумышленники, вероятно, могут получить возможность подменять платежные поручения. В мелких компаниях пользователи вообще зачастую обслуживают свои компьютеры сами. В этой ситуации степень опасности сильно зависит от дисциплинированности пользователей. А если руководитель подписывает электронной цифровой подписью несколько документов, что называется, «не глядя», то и количеству подменных платежный поручений тогда удивляться не стоит».
Несмотря на то, что кредитные организации повышают безопасность своих интернет-банков за счет внедрения аппаратных ключей (устройств с неизвлекаемыми криптографическими ключами), создания возможности ограничения доступа в систему ДБО по сетевым адресам или создания особых систем, распознающих подложные платежные поручения перед их исполнением, мошенники находят все новые пути обхода. Например, подменяют реквизиты легитимных платежных поручений перед их подписанием и передачей в банк с помощью вредоносного программного обеспечения, установленного на компьютеры бухгалтеров, а после передачи платежных поручений — корректируют перечень платежных поручений и остаток на счете, чтобы минимизировать вероятность раннего обнаружения бухгалтером факта мошенничества.
Правильное реагирование — залог успеха
В Group-IB уверены: правильное реагирование на инцидент в системе ДБО позволяет в ряде случаев остановить движение похищенных средств и даже вернуть их.
Одними из самых важных при раскрытии мошенничеств в системах интернет-банкинга являются технические мероприятия. Их задача состоит в том, чтобы сохранить данные, имеющие отношение к мошенническим действиям, в полном объеме. Для этого необходимо в первую очередь отключить от электропитания все компьютеры, с которых осуществлялся вход в ДБО. Далее следует отсоединить, упаковать и опечатать с прикреплением пояснительной записки с печатью организации и подписями присутствовавших при опечатывании лиц соответствующие носители информации (например, накопители на жестких магнитных дисках, флеш-накопители и аппаратные ключи для подписи платежных поручений). Хранить запечатанные носители лучше в сейфе. Немедленное отключение компьютера от сети электропитания сводит к нулю риск того, что вредоносная программа самоликвидируется с вашего устройства, а злоумышленник успеет удалить все следы собственной деятельности.
«Очень сложно найти подобные «следы», — рассуждает Волков. — Как правило, профессиональные мошенники одновременно с подменой платежного поручения организуют DDoS-атаку, чтобы осложнить ситуацию. Кроме того, программа, принесенная на компьютер «червем» или вирусом, сразу же постарается удалить себя с данного устройства».
Одновременно необходимо уведомить руководство организации, а также службы информационной безопасности организации и банка о факте мошенничества в системе ДБО с передачей им реквизитов поддельных платежных поручений. Настоятельно рекомендуется привлечь стороннего незаинтересованного специалиста, имеющего опыт реагирования на подобные инциденты.
Документы, составленные в виде заявлений, докладных записок и т. п. в рамках организационных мероприятий, могут использоваться как основание для возбуждения уголовного дела, а затем и для грамотной формулировки вопросов, решаемых в ходе судебных экспертиз. Нелишним будет зафиксировать факт инцидента в системе ДБО в правоохранительных органах, написав заявление по факту хищения денежных средств с расчетного счета. Это поможет избежать ряда проблем с налоговой при необходимости отчитаться за переводы со счета организации крупных сумм.
Предупрежден — значит вооружен
Распознать попытку проведения мошеннической операции через дистанционный канал обслуживания банка, в принципе, можно. Следует обратить внимание на платежные поручения, которые передавались в банк неуполномоченными работниками организации, а также на сообщения банка с требованием подтвердить исполнение того или иного платежного поручения. Также «сигнальным звонком» должна стать невозможность входа в систему ДБО без видимых на то технических причин на стороне банка и невозможность загрузки операционной системы компьютера, используемого для работы с ДБО.
«Платежные поручения клиентов всегда проходят контроль операционистов, — обращает внимание Максим Волков. — Компьютер автоматизированной банковской системы подсказывает сотруднику, если распоряжение сильно отличается от привычной деятельности клиента. Для платежных распоряжений юридических лиц контроль всегда проводится до совершения операции. Но есть ряд других документов, которые могут исполняться до «ручного» контроля. К таким документам относятся распоряжения на оплату услуг, таких как услуги сотовой связи. Есть риск, что мошенник отправит деньги со счета клиента на «свой» мобильный телефон. Этот риск понятен и ограничен».
Примечательно, что в Group-IB настоятельно не рекомендуют проводить антивирусную проверку компьютера, с которого осуществлялся вход в интернет-банк, после обнаружения инцидента, так как антивирус удалит вредоносные файлы, которые могут стать доказательством мошеннической атаки в судебной инстанции. По этой же причине не стоит переустанавливать на компьютере операционную систему.
В Group-IB отмечают, что за последнее время значительно увеличилось количество инцидентов в системах дистанционного банковского обслуживания (ДБО). В данном случае под инцидентом понимаются любые попытки хищения денежных средств. Финансовые потери от одного такого инцидента в системе ДБО, по расчетам Group-IB, составляют от 300 тыс. до нескольких миллионов рублей (в зависимости от того, сколько денег есть на счете клиента). Как отмечают в самой Group-IB, разработанная компанией инструкция рассчитана главным образом на банковских клиентов — юридических лиц разных сегментов бизнеса.
Расследования показали, что сотрудники служб информационной безопасности многих компаний и другие уполномоченные лица (в том числе и системные администраторы) неосознанно уничтожают криминалистически значимые данные, которые бы помогли привлечь злоумышленников к уголовной ответственности. Нередки и случаи, когда в ходе внутреннего расследования инцидента существенно снижается юридическая значимость данных, необходимых для оспаривания мошеннических операций.
Основная проблема, связанная с безопасностью ДБО, такова: злоумышленники с помощью нецеленаправленных атак на клиентов банков получают доступ к ключам электронной подписи, используемым компаниями для подписи платежных поручений, и передают в банк мошеннические платежные поручения. В результате низкой осведомленности и нерешительности действий работников пострадавшей организации такие платежные поручения исполняются, и счет клиента банка «опустошается».
«Чем крупнее компания, тем выше вероятность, что ее компьютеры хорошо обслуживаются (сисадмины устанавливают необходимое программное обеспечение (ПО), регулярно его обновляют и так далее) и никакие сторонние платежные поручения через ее систему не проскочат, — говорит руководитель экспертной группы банковских технологий СБ Банка Максим Волков. — В средних компаниях, как правило, существуют приходящие администраторы. Но между их приходами может пройти несколько часов и даже недель, в течение которых существующая уязвимость в операционной системе может быть атакована злоумышленниками. В результате атаки злоумышленники, вероятно, могут получить возможность подменять платежные поручения. В мелких компаниях пользователи вообще зачастую обслуживают свои компьютеры сами. В этой ситуации степень опасности сильно зависит от дисциплинированности пользователей. А если руководитель подписывает электронной цифровой подписью несколько документов, что называется, «не глядя», то и количеству подменных платежный поручений тогда удивляться не стоит».
Несмотря на то, что кредитные организации повышают безопасность своих интернет-банков за счет внедрения аппаратных ключей (устройств с неизвлекаемыми криптографическими ключами), создания возможности ограничения доступа в систему ДБО по сетевым адресам или создания особых систем, распознающих подложные платежные поручения перед их исполнением, мошенники находят все новые пути обхода. Например, подменяют реквизиты легитимных платежных поручений перед их подписанием и передачей в банк с помощью вредоносного программного обеспечения, установленного на компьютеры бухгалтеров, а после передачи платежных поручений — корректируют перечень платежных поручений и остаток на счете, чтобы минимизировать вероятность раннего обнаружения бухгалтером факта мошенничества.
Правильное реагирование — залог успеха
В Group-IB уверены: правильное реагирование на инцидент в системе ДБО позволяет в ряде случаев остановить движение похищенных средств и даже вернуть их.
Одними из самых важных при раскрытии мошенничеств в системах интернет-банкинга являются технические мероприятия. Их задача состоит в том, чтобы сохранить данные, имеющие отношение к мошенническим действиям, в полном объеме. Для этого необходимо в первую очередь отключить от электропитания все компьютеры, с которых осуществлялся вход в ДБО. Далее следует отсоединить, упаковать и опечатать с прикреплением пояснительной записки с печатью организации и подписями присутствовавших при опечатывании лиц соответствующие носители информации (например, накопители на жестких магнитных дисках, флеш-накопители и аппаратные ключи для подписи платежных поручений). Хранить запечатанные носители лучше в сейфе. Немедленное отключение компьютера от сети электропитания сводит к нулю риск того, что вредоносная программа самоликвидируется с вашего устройства, а злоумышленник успеет удалить все следы собственной деятельности.
«Очень сложно найти подобные «следы», — рассуждает Волков. — Как правило, профессиональные мошенники одновременно с подменой платежного поручения организуют DDoS-атаку, чтобы осложнить ситуацию. Кроме того, программа, принесенная на компьютер «червем» или вирусом, сразу же постарается удалить себя с данного устройства».
Одновременно необходимо уведомить руководство организации, а также службы информационной безопасности организации и банка о факте мошенничества в системе ДБО с передачей им реквизитов поддельных платежных поручений. Настоятельно рекомендуется привлечь стороннего незаинтересованного специалиста, имеющего опыт реагирования на подобные инциденты.
Документы, составленные в виде заявлений, докладных записок и т. п. в рамках организационных мероприятий, могут использоваться как основание для возбуждения уголовного дела, а затем и для грамотной формулировки вопросов, решаемых в ходе судебных экспертиз. Нелишним будет зафиксировать факт инцидента в системе ДБО в правоохранительных органах, написав заявление по факту хищения денежных средств с расчетного счета. Это поможет избежать ряда проблем с налоговой при необходимости отчитаться за переводы со счета организации крупных сумм.
Предупрежден — значит вооружен
Распознать попытку проведения мошеннической операции через дистанционный канал обслуживания банка, в принципе, можно. Следует обратить внимание на платежные поручения, которые передавались в банк неуполномоченными работниками организации, а также на сообщения банка с требованием подтвердить исполнение того или иного платежного поручения. Также «сигнальным звонком» должна стать невозможность входа в систему ДБО без видимых на то технических причин на стороне банка и невозможность загрузки операционной системы компьютера, используемого для работы с ДБО.
«Платежные поручения клиентов всегда проходят контроль операционистов, — обращает внимание Максим Волков. — Компьютер автоматизированной банковской системы подсказывает сотруднику, если распоряжение сильно отличается от привычной деятельности клиента. Для платежных распоряжений юридических лиц контроль всегда проводится до совершения операции. Но есть ряд других документов, которые могут исполняться до «ручного» контроля. К таким документам относятся распоряжения на оплату услуг, таких как услуги сотовой связи. Есть риск, что мошенник отправит деньги со счета клиента на «свой» мобильный телефон. Этот риск понятен и ограничен».
Примечательно, что в Group-IB настоятельно не рекомендуют проводить антивирусную проверку компьютера, с которого осуществлялся вход в интернет-банк, после обнаружения инцидента, так как антивирус удалит вредоносные файлы, которые могут стать доказательством мошеннической атаки в судебной инстанции. По этой же причине не стоит переустанавливать на компьютере операционную систему.