Дебет и кредит

Поскольку в последнее время интересы хакеров сместились с банков на их клиентов, сегодня рождаются все новые и новые идеи для поиска жертв. Group-IB выявила группу, представленную пятью полноценными бухгалтерскими сайтами, которые были созданы специально для хищения средств через систему «банк—клиент». Как оценивают эксперты, потенциально при помощи такого профильного «контента» злоумышленники могут ежедневно получать до 1,2 млн руб. И пока банкам с трудом удается защитить своих клиентов.

Group-IB выявила и заблокировала сеть, в которую входило пять бухгалтерских сайтов, созданных для того, чтобы заражать посетителей троянами Buhtrap и RTM. Среди жертв атак - юристы, бухгалтеры и другие специалисты, работа которых связана с системами ДБО. Как оценили в Group-IB, посетителями трех ресурсов, появление которых пришлось на апрель, стало как минимум н200 тыс. человек.

Схему раскрыли после как того, попытались загрузить вредонос в одном из банков России. При расследовании удалось установить, что для загрузки трояна использовался профильный бухгалтерский ресурс buh-docum.ru, содержащий бухгалтерскую документацию. Регулярное появление ресурсо отмечено в топе поисковых выдач по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.).

Документ заражался при скачивании. Сперва компьютер жертвы «проходил обследование» на предмет доступа с него к ДБО, и при подтверждении сервером отдавалась команда по загрузке троянов.

По оценкам Group-IB, от каждой успешной атаки ежедневно злоумышленники в среднем получали 1,2 млн руб.

По мнению экспертов, в этом случае преступники не стали использовать прежние схемы — они не взламывали легальный бухгалтерский сайт и не создавали его клон. Суть в том, что заразив легально работающий сайт, вредонос может быть обнаружен его владельцем. В итоге сегодня можно воспользоваться полноценными ресурсами, на которых есть сотни полезных документов. По словам партнера Energy Consulting Юлии Гладышевой, если бухгалтер нуждается в конкретном документе, которого нигде нет, он может зайти на любой сайт или форум, и получить информацию об этом. Причем, как сказала главный редактор «Клерк.ру» Марина Снеговская, оказаться в топе запросов в поисковике несложно, если знать механизм поисковой оптимизации.

По данным Positive Technologies, использование вредоносного ПО - это наиболее распространенный метод атаки (63% всех атак - такова статистика за 1-й квартал т.г.), причем примерно 31% всех заражений вредоносным ПО связано с посещениями зараженных сайтов. И первый, кто должен защищать себя от вредоносов в подобных ситуациях - сама компания.

Как сказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков, необходимо подумать о внедрении эшелонированной системы защиты и сконцентрировать внимание на том, как создать процесс мониторинга событий ИБ на критических узлах. В частности, необходим контроль безопасности компьютеров, на которых осуществляется обработка критической для организации информации, в т.ч. по финансовым трансакциям.

Банки в этом случае не могут гарантировать своим клиентам 100%-й защиты от хищений. По словам начальника управления информбезопасности Златкомбанка Александра Виноградова, мы не можем контролировать посещение бухгалтером на компьютере которого установлено ДБО, сомнительных сайтов, скачивались ли им файлы с неизвестных ресурсов, пользуется ли он антивирусом. По словам представителя Сбербанка, изначально банковские продукты проектировались с учетом этой угрозы. И даже если на ПК бухгалтера установлен вирус, в том числе выше указанного типа, средствам клиентов ничего не угрожает.

Напомним, с 1 января 2020 года начнется действие поправок к нормативным документам ЦБ, требующих, чтобы банки - если они не могут обеспечить защиту от воздействия зловреда - разделяли технологии в части формирования платежного документа и его подтверждения. В частности, если это, например, корпоративный клиент, то, как сказал консультант по безопасности Cisco Алексей Лукацкий, на одном компьютере будет готовиться платежка, а с другого ее будут отправлять в банк. В ЦБ надеются, что с помощью такой меры удастся задачи злоумышленникам существенно осложнятся.