Новое открытие шлюза хакерами

Стало известно об апробации группировкой «Кобальт» нового для себя способа вывода денежных средств из банков — речь о шлюзах платежных систем. Так, в сентябре Банк жилищного финансирования (БЖФ) лишился через эти шлюзы порядка $100 тыс. По словам представителей правоохранительных органов, заражению подверглись еще три банка, с крайне низким уровнем информбезопасности, который, как считают эксперты, мог быть выявлен только в ходе внеплановых проверок.

Атака группировкой «Кобальт» БЖФ, закончившаяся выводом из него $100 тыс. через шлюзы платежных систем - явление, по словам экспертов, не просто не характерное для группировки, денежные средства через шлюзы платежных систем не выводили уже на протяжении многих лет. Но, по словам директора по безопасности Почта-банка Станислава Павлунина, мы знаем о случаях подобного вывода средств 2-летней давности. С того времени, по словам главы управления информбезопасности банка «Ренессанс кредит» Дмитрия Стурова, внимание хакеров переключилось на атаки с выводом средств по другим каналам. Вполне возможно, это связано главным образом с тем, что для хакеров вывод крупных денежных сумм через шлюзы платежных систем осложнен.

Как сказал исполнительный директор CyberPlat Владимир Кузнецов, когда деньги переводятся через шлюз платежной системы, их можно переводить как в режиме онлайн, так и в виде траншей. Причем платежной системой и банком настраиваются лимиты на переводы — как по общему размеру переводов за день, так и по максимальной сумме перевода, по количеству однотипных переводов и т. д. Такие двухсторонние лимиты и были призваны оградить банк, в том числе и от угрозы несанкционированных списаний. Но в последнем случае, как сказали знакомые с ситуацией источники, хакерами была взломана АБС банка для увеличения установленных лимитов на перевод денежных средств и через шлюзы платежных систем деньги были выведены на банковские карточки для последующего обналичивания.

Вредонос занесло в банк фишинговое письмо, отправлено якобы Альфа-банком. В письме высказывалась заинтересованность банка в урегулировании вопроса с трансакциями мошеннического характера, которые якобы исходили из БЖФ. Но, по словам представителей пресс-службы Альфа-банка, взлома почта Альфа-банка не было. А вот атака с почты, имеющей название, схожее с адресом известного банка - прием, ставший для хакеров крайне распространенным, рассчитанным на невнимательность.

По мнению экспертов, причины, по которым хакеры стали снова использовать старые схемы, в том числе заключаются и в том, что платежная система плохо распознает несанкционированный платеж. По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, платежная система практически не отличает легитимные платежи от нелегитимных. КАк правило, только из сообщения, пришедшего от банка, платежная система узнает, что денежные средства перевели злоумышленники.

ФинЦЕРТ писал о том, что была проведена фишинговая рассылка, помогшая злоумышленникам проникнуть в банк, в бюллетене, вышедшем 16 августа. В нем было сказано об эксплуатации одной из уязвимостей Microsoft и был дан ряд рекомендаций по ее устранению. По словам Новикова, речь шла о троянской программе Beacon, используемой для того, чтобы организовать удаленный доступ к рабочему компьютеру сотрудника.

По словам источника из правоохранительных органов, известно, что было заражено еще три кредитные организации. Мы смогли выяснить, что между пострадавшим банком и другими зараженными банками есть одна общая черта: крайне низкий уровень информбезопасности. В них отсутствуют российские антивирусы, лицензионное ПО, обновления. Выявление этих недочетов было бы возможно при внеплановых проверках ЦБ. Необходимо, чтобы ЦБ располагал дополнительными полномочиями и мог проводить внеплановые проверки информбезопасности в банках. Если это не будет сделано, мы столкнемся с волной хищений. Что характерно, последнюю рассылку с вредоносом от «Кобальта» эксперты Positive Technologies зафиксировали в конце сентября 2018 года, уже после того, как была совершена описанная атака.

Но в банках уверены, что и в нынешней реальности они могут защититься. Как сказал глава управления информбезопасности ОТП-банка Сергей Чернокозинский, нужно как минимум наладить внимательное отслеживание всех рекомендаций ФинЦЕРТа. Нужно разработать усиленную защиту контура шлюзов платежных систем и ключей доступа. В существенном снижении вероятности такого рода хищений может помочь надежно выстроенная эшелонная система киберзащиты.