Найдено на сайте www.banki.ru
http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=38&TID=63085&MID=803899#message803899
Хронология событий и предварительные выводы с рекомендациями по защите.
Возможно, Вы читали или слышали о случаях мошенничества с пластиковыми картами разных банков, это уже прошлый век, добро пожаловать в век высоких технологий и продвинутого цинизма, а также всеобщего молчания и бездействия.
03 февраля
На протяжении всего дня компьютер бухгалтера нашей фирмы, на котором установлена система «Банк-Клиент», был не в сети. В связи с тем, что было подозрение на наличие вируса, ибо комп. забивал весь канал связи. Мы его отключили до выяснения, но никаким образом этот факт не связывали с тем, что произошло далее.
04 февраля
Нам необходимо было узнать о поступлении средств и сделать плановые проплаты. Так как с компьютером бухгалтера так и не разобрались (он всё ещё проверялся Касперским и был отключен от сети), бухгалтер позвонила в банк, чтобы по телефону узнать о поступивших средствах.
Именно в этот момент выяснилось, что днём ранее (03 февраля) через нашу систему «Банк-клиент» (но не с нашего IP адреса) была произведена проплата в адрес физического лица - клиента «Альфа Банка» (Само физическое лицо, его ИНН, р.с. и т.п. нам, естественно, известны). Воровство было совершено на самом высоком техническом уровне, и очень оперативно были сняты деньги, как мы потом выяснили.
Непосредственно в нашем банке (а обслуживаемся мы в ОАО «Гранд Инвест Банк» г. Москва) нам заявили, что «сломать» систему «Банк Клиент» невозможно, что там была моя цифровая подпись и операционист машинально, согласно инструкциям, перевела деньги. В банке сказали: «Ищите среди своих…». Если бы не одно «Но». Когда мы позвонили в «Альфа банк», то там это восприняли абсолютно спокойно, как будто у них это происходит не раз и не десять в день, такое сложилось первое впечатление. По их словам, они заблокировали счёт того физического лица, но денег там уже не оказалось (это мы выяснили своими силами), а от любых комментариев «Альфа-банк» отказывается категорически, ссылаясь на большую тайну и инструкции.
В этот же день я подал заявление в ОБЭП Восточного округа (по месту нахождения фирмы), в процессе беседы с представителем он меня остановил на полуслове и продолжил мой рассказ сам, а именно, что деньги ушли в адрес физ. лица «Альфа Банка» и на том счёте их естественно нет, и что деньги были переведены с IP адреса компании «Скартел», т.е. оператора 4G Yota. Я оказался не один, нас оказывается сотни, а то и тысячи пострадавших.
Как выяснилось таких заявлений у них скопилось много и абсолютно все были обворованы по одной схеме, а именно через «сверхнадёжный» «Банк-клиент» и у всех деньги уходили в адрес физ.лиц «Альфа-банка». В ОБЭПе мне порекомендовали ехать и подавать заявление сразу в Центральное УВД, потому как именно под его юрисдикцией находится головной офис «Альфа-Банка».
Через 30 минут я уже был в ЦАО УВД, представитель власти принял меня, выслушал, попросил написать подробности, что я и сделал. Пока я писал, к следователю пришёл ещё один человек, который пострадал по абсолютно такой же схеме, с одной лишь разницей, что физическое лицо «Альфа-банка» было другое (как потом выяснилось все физ. Лица разные, но все клиенты «Альфа-Банка»), но время перевода средств, а также наименование платежа было точно таким же (13:23 по МСК, за капитальный ремонт на улице Ленина 15…. в общем, ребята с юмором…).
Я обменялся контактами с другими пострадавшими, чтобы держать друг друга в курсе вновь открывшихся обстоятельств.
Уже выходя из УВД, и анализируя слова следователя, что пострадавших не просто много, а очень много и «Альфа-банк» ведет очень странную политику закрытости информации (не исключаю, что просто ведут расследование, хотелось бы верить), невольно возникают разные нехорошие мысли, хотя это только догадки…, просто наверное люди хорошо исполняют работу согласно их компетенции…
Так прошёл день 04 февраля.
Далее происходили разные события, появлялись новые пострадавшие, нашу вторую организацию пытались обворовать по такой же схеме, но по каким то причинам платёж не прошёл (как потом выяснилось, там была вторая цифровая подпись и воры не стали тратить время, ведь процесс поставлен на поток).
Итак, собрав все данные (в том числе полученные позже) и проведя элементарный анализ можно констатировать следующее:
ФАКТЫ:
1) Кража происходит у всех по одной схеме: комп., на котором «Банк-клиент» блокируется, чтобы не было оперативного доступа к счёту (блокируется у всех по разному, у кого то не работает пароль в «Банк-клиент», у кого-то забивается канал, у кого то вообще разрушается жесткий диск), в это время преступники действуют (переводят деньги используя цифровую подпись «которую нельзя подделать» и оперативно снимают деньги с помощью банкоматов и просто из банка со счёта), когда пострадавшие совершенно случайным образом узнают, что был несанкционированный платёж, то уже слишком поздно, денег нет. Все пострадавшие из разных банков, но все следы ведут туда (по крайней мере в тех многочисленных случаях, которые мне известны)– физ. лица клиенты «Альфа Банка».
2) Имея все данные о мошенниках, IP адреса откуда были произведены проплаты, видео с банкоматов и многое другое. НИКТО не собирается ничего предпринимать оперативно по горячим следам, бюрократия бьёт все рекорды. Я лично с этим столкнулся, как и другие пострадавшие готовые подтвердить каждое слово.
3) Случай носит массовый характер и убытки исчисляются огромными суммами (я полагаю, несколько десятков млн. $ точно)
4) Все суммы снимаются до 600 т.р. (именно эта сумма не требует дополнительного запроса банка, такое наше законодательство). У большинства пострадавших сняли от 500 до 590 т.р. Только мне «повезло», сняли 300 с копейками, до этого у меня были проплаты и я считаю мне повезло к какой-то мере, если так уместно говорить в этой ситуации.
5) Все пострадавшие использовали софт «Банк-клиент» старой версии (более года), у всех пострадавших была одна цифровая подпись, т.е. совершенно очевидно, что взломана версия «Банк-клиент». Сами банки, где обслуживаются пострадавшие, принимают позицию «мы не виноваты, подпись была подлинной» и на аргументы, что вскрыли именно их софт, а пострадали невинные организации – на них не действуют. И самое главное, что ВСЕ организации, использующие этот софт подвержены атаке на свои счета…, не спасает ничего, никакие антивирусы, даже железная защита… НИЧЕГО! Я предупредил всех своих знакомых, партнёров и клиентов и некоторым это уже помогло.
6) Один из пострадавших, у которого разрушили жесткий диск, а деятельность его связана именно с компьютерным «железом», после его восстановления выяснил, что с огромной вероятностью, полный доступ ко всем данным был получен посредством программы-трояна troyan.pws.ibank18. Эта вредоносная программа на момент кражи не ловилась НИ ОДНИМ антивирусом и только пару дней назад DrWEB внёс его в свои базы (со слов пострадавшего). Это лишний раз подтверждает, что ни один из потерпевших ничего не мог сделать!
Выводы:
1) Пострадавшие организации, которых великое множество, абсолютно ничего не могли сделать в силу того, что методов уберечься просто не было, за исключением превентивных мер, таких как: блокировка доступа с других IP (и это тоже не панацея от всех бед, я слышал, у некоторых было, то , что платили они якобы со своего компа, когда он был выключен -даже так (!!!)), криптомодуль новой версии и т.п. Ни один из банков (в случаях мне известных), где размещают счета пострадавшие не оповестил и не предпринял ничего заранее, будучи полностью уверенным в том, что вскрыть систему «Банк-клиент» невозможно. Тем не менее, факты говорят за себя.
2) Откуда у «Альфа-Банка» столько «мертвых душ», и мёртвые ли они? И почему именно «Альфа-банк» ведь многие из них (преступников) являются не простыми клиентами, ибо лимиты снятия за день у них не как у «простых обывателей». Я, являясь владельцем золотой визы одного известного банка имею лимит снятия за день меньше, гораздо меньше, учитывая, что каждое моё заявление на увеличение кредита и лимита снятия в день тщательно проверяется СБ Банка… Вот это не просто странно, а очень и очень странно. Думаю, учитывая размах содеянного тут не обошлось без «не последних» лиц СБ… ну вы поняли кого. Работают не банальные воры кредиток, а серьёзная группировка, которая и продолжает действовать, снимая средства по всей России.
3) Обратите внимание на то, что в СМИ вы не найдете НИ ОДНОГО упоминания об этих случаях, всё по мелочи, всё не то. Т.е. информация тщательно куда-то исчезает или просто не появляется по причинам мне неизвестным, по крайней мере, мои поиски в сети были тщетными. Хотя пострадавших очень много.
4) Да, вот ещё интересный момент, пару дней назад ехал в машине и по радио слышал, что «Альфа-банк» обменивает порядка двух с половиной тысяч карт, которые якобы использовались нашими туристами в Европе и которые «подвержены риску» быть скопированными. Сказать честно, я бы тоже что-либо подобное выкинул бы в СМИ, чтобы хотя бы как-то реабилитировать своё честное пречестное имя и подготовить плацдарм для отбеливания репутации, когда все эти случаи, а также масса уголовных дел всплывет в СМИ. И человек непосвящённый таки подумает, что не просто так «Альфа-банк» менял карточки «вот оно чё…», сказал бы Иван Дулин. Да, но для чего ждать полгода, если эти события как-то связаны между собой?
5) Очень интересен тот факт, что вирус не был обнаружен на других компьютерах локальной сети. Ведь в антивирусных базах этого вируса не было и следовательно инфицированных этим вирусов компьютеров должно быть очень много. А по факту – только компьютеры, с которых был доступ к «Банку-клиенту». Это наводит на мысль, что вирус мог попасть с сайта «Банка-клиента», т.е. был взломан сам ресурс и туда был закачан вредоносный код, который потом был загружен в момент доступа к «Банку-клиенту». Версия, которая имеет право на жизнь и вполне логичная.
Много вопросов, и много очевидных вещей…,но нет ответов, точнее ответы есть, но все они неофициальные и расследования проводятся силами пострадавших, некоторые из которых объединяются.
p.s. Вчера позвонил в ЦАО УВД, спустя несколько дней мне сказали имя сотрудника, к которому приписали моё заявление. Оказался, очень адекватный человек. На мой вопрос по срокам заведения уголовного дела мне дан предварительный ответ: «В лучшем случае дело будет заведено не ранее, чем через 30 дней и то на усмотрение следователя». Вот так. Думаю за 30 дней, с n-ой суммой красиво ворованных средств можно не просто уйти на заслуженный отдых, но и пару раз объехать мир и концов уже не найти.
Рекомендации по защите средств:
1) В письменном виде в банк сообщение о том, чтобы установили новый «Банк-клиент».
2) В письменном виде в банк, чтобы блокировали проплаты до выяснения (самый простой способ - звонок) перечисления средств с вашего счёта на расчётные счета физ.лиц, в случае зарплат на карточки предоставляйте список лиц кому можно без уведомления, некий белый список
3) В письменном виде в банк просьбу об уведомлении на указанный телефон с любой проплаты на физ. лицо.
4) В письменной форме в банк заявление о привязке IP адреса или нескольких адресов к вашему «Банку-клиенту».
5) Если есть возможность заведите вторую цифровую подпись (т.е. бух. и ген. Директор не в одном лице), это помогает.
6) Если вдруг бухгалтерский комп. начинает «странно» себя вести, СРОЧНО звонить в банк и перестраховываться, блокировать платежи и предупредить свой банк, возможно и ваша организация попала под удар.
Будьте осторожны. Возможно, этот текст поможет Вам.
p.s. Всё выше написанное опубликовано исключительно с целью затруднить, а в идеале остановить преступные действия злоумышленников. А также информировать общественность о превентивных мерах по устранению подобных неприятностей. Само собой, все вышеизложенное является только констатацией событий и фактов с моими личными домыслами (надеюсь не лишенными элементарной логики). Готов по первому требованию предоставить все известные мне и другим пострадавшим факты, IP-адреса и другое, соответствующим органам (в том числе для СБ заинтересованных банков), а также оказать содействие по мере сил и возможностей, в борьбе с этим беспределом, который начался два месяца назад (по известным мне данным) и только набирает обороты.
