Компьютерные преступления в финансовой сфере (А. Писемский, "Финансовая газета", N 9, март 2011 г.)

Компьютерные преступления в финансовой сфере

Внедрение информационных технологий привело к тому, что существенно изменились подходы к организации современного бизнеса. Несомненные преимущества, которые несут в себе ИТ, позволили не только вести бизнес более эффективно, но и автоматизировать функциональные процессы. Сегодня можно хранить корпоративные данные на сервере в Барселоне, осуществлять платежи в Лондоне или оказывать услуги американским партнерам, находясь в Москве. Однако активное применение информационных технологий обусловило возникновение рисков, с которыми многие до этого не сталкивались и даже не знали об их существовании. С приходом высоких технологий в мир бизнеса одной из важнейших угроз является вмешательство киберпреступников в работу финансовых учреждений.

Цель совершения любого правонарушения - получение той или иной выгоды лицом, осуществляющим данное правонарушение, либо заказчиком. Чаще всего злоумышленники нацелены на кражу денежных средств. Бывают также случаи, когда хакеры стремятся нанести ущерб репутации компании или похитить важную корпоративную информацию.

За время работы в сфере пресечения и расследования нарушений компьютерной безопасности нам приходилось сталкиваться с различными инцидентами, которые так или иначе затрагивали интересы финансовых организаций: DDoS-атаки (распределенные атаки отказа обслуживания), мошенничество в системах дистанционного банковского обслуживания (ДБО), взлом серверов и кража конфиденциальной информации, атаки на репутацию путем размещения клеветнической информации в Интернете. Каждый из этих инцидентов наложил негативный отпечаток на деятельность пострадавших компаний. Однако наибольший финансовый ущерб наносят мошенничества в системах ДБО. Широкое распространение данного вида киберпреступлений связано с возможностью получать многомиллионные прибыли. Например, самым крупным ущербом для одной организации, который зафиксировали наши специалисты, являлась сумма, превышающая 15 млн. долл.

Мошенничества в системах ДБО мы начали фиксировать в первой половине 2008 г. С тех пор злоумышленники отработали схемы кражи банковских ключей, данных для авторизации и методы "обналички" денежных средств, что дало им возможность поставить эти преступления на поток. За 2010 г. мы зафиксировали более 1500 случаев подобных преступлений. В феврале 2011 г. произошел резкий всплеск инцидентов с системами клиент-банк, что вызывает серьезное беспокойство у сотрудников служб безопасности банков, правоохранительных органов и экспертного сообщества.

Методы мошенников

При анализе обстоятельств инцидентов в ходе криминалистических исследований рабочих станций, на которых работали с системами ДБО, а также других источников информации эксперты определяют причины инцидента, методы и средства, которыми пользовались злоумышленники, а также восстанавливают хронологию события. Наиболее распространенный сценарий совершения такого преступления состоит из трех основных этапов: получение информации для доступа в систему клиент-банк, проведение мошеннической операции и "обналичка" денег. Рассмотрим каждый из них.

Получение информации для доступа в систему ДБО. В данной статье рассматриваются случаи, когда мошенник является внешним лицом по отношению к организации и не имеет физического доступа к авторизационным данным системы ДБО. В таких случаях для кражи этих данных - логин/пароль и ключи электронной цифровой подписи (ЭЦП) - используется вредоносное программное обеспечение. Чаще всего это вариации хорошо известного трояна Zeus, доработанные необходимым функционалом.

Схема работы такого вируса следующая. Сотрудник компании посещает зараженный веб-сайт, с которого на его компьютер, используя ту или иную уязвимость, загружается вредоносная программа. Она обходит антивирусную и другие виды защиты. Попадая на компьютер, эта программа "пытается" понять, с какими приложениями работает пользователь. При обнаружении следов работ с системами ДБО или системами электронных денег на компьютер дозагружаются вредоносные модули, предназначенные для кражи авторизационных данных. Все эти данные вместе с сопутствующей информацией, например о количестве денег на счетах, попадают в руки злоумышленникам. Современные банковские трояны имеют широкий функционал и способны работать одновременно с несколькими системами ДБО, обеспечивать хакерам возможность удаленного доступа и сокрытия следов преступлений.

Проведение мошеннической операции. При получении данных от трояна мошенники проверяют как полученные сведения, так и возможности для совершения преступления. Определяющую роль на этом этапе играют средства защиты, применяемые банком и его клиентом. Например, в случае хранения ключей ЭЦП на незащищенном носителе и отсутствия на сервере ДБО банка контроля IP-адресов клиентов злоумышленник может отправить мошенническое платежное поручение с любого внешнего IP-адреса, что существенно упрощает задачу.

Как только мошенническая операция проведена и платежное поручение отправлено, главная задача хакеров - ограничить доступ легитимного пользователя к системе клиент-банк. Для этой цели могут использоваться различные методы: смена пароля от системы ДБО, вывод из строя компьютера пользователя, DDoS-атака на сервер ДБО банка. Чаще всего удаляют один из компонентов операционной системы. В то время, когда все силы клиента банка брошены на восстановление работоспособности компьютера, деньги покидают его счет и попадают в руки преступников.

"Обналичка". Этот этап чаще всего выполняют специализированные группы лиц, которые обладают тесными связями с организованными преступными группировками. Схема "обналички" начинает готовиться еще во время подготовки к краже денег, так как она зависит от суммы денежных средств, которую надо вывести. В случае небольших сумм (до 2 млн. руб.) чаще всего используются пластиковые карты физических лиц, причем предпочтительны тех банков, в которых большие лимиты по выдаче наличных денежных средств в банкоматах. В случае крупных сумм используется цепочка счетов подставных компаний и физических лиц, в процессе переводов сумма дробится для облегчения снятия наличных денег.

Противодействие мошенничеству

Как же защитить свои деньги и деньги клиентов от неправомерных действий мошенников? Прежде всего следует понять, какие средства защиты имеются в системе ДБО и как их можно использовать. Часто клиенты банков даже не знают о возможности контролировать доступ к системе клиент-банк по IP-адресам или о возможности использовать токены (USB-устройство, которое служит для авторизации пользователя) для хранения ключей ЭЦП. Другой проблемой является нежелание клиента платить за дополнительные средства обеспечения безопасности, так как руководители компаний не всегда в полной мере оценивают существующие киберугрозы. При возможности выбрать банк нужно отдать предпочтение той финансовой организации, которая предлагает своим клиентам безопасный сервис по работе с системой ДБО: средства надежного хранения ключей, одноразовые пароли или систему противодействия мошенничеству, встроенную в ДБО.

В любом случае необходимо понимать, что наличие средств защиты на стороне банка не гарантирует абсолютной безопасности. Наш опыт показывает, что в 80% случаев причиной инцидента является несоблюдение требований безопасности со стороны клиента банка.

При организации рабочего места, на котором будут работать с системой клиент-банк или интернет-банк, важно предусмотреть возможные пути компрометации авторизационных данных и обеспечить их надежную защиту. Типовым сценарием защиты является использование выделенного персонального компьютера для интернет-банкинга, на котором действует множество ограничений.

Кроме того, существуют шаги, направленные на значительное снижение рисков:

покупается маленький нетбук для проведения платежей;

на нетбук устанавливается антивирус, обновления для операционной системы, межсетевой экран, клиент-банк. Необходимо автоматическое обновление всех компонентов системы для обеспечения постоянного уровня защищенности;

межсетевой экран настраивается таким образом, что разрешаются соединения лишь с серверами банка, обновления операционной системы и антивируса;

запрещается использовать нетбук для чего-либо, кроме работы с клиент-банком. Можно поставить программное обеспечение, например GuardianEdge (Symantec), контролирующее использование USB-накопителей и приложений;

нетбук можно хранить в сейфе, доставать лишь для проведения операций уполномоченными людьми.

Не следует забывать про организационные меры, которые в большинстве случаев являются гораздо эффективнее технических. Хорошо отлаженные процедуры по реагированию на инциденты позволят снизить ущерб в случае мошенничества и предотвратить хищение. Своевременное выявление факта мошенничества и оперативное реагирование в течение четырех часов с момента отправки платежного поручения гарантируют возврат денежных средств на счет в 80% случаев.

Наиболее существенными признаками готовящегося мошенничества являются:

нестабильное функционирование персонального компьютера, на котором работают с системой ДБО (медленная работа, произвольная перезагрузка и др.) или его выход из строя;

перебои с доступом в систему ДБО;

невозможность авторизации в системе ДБО;

DDoS-атака на ИТ-инфраструктуру компании;

несоответствие порядковых номеров платежных поручений;

попытки авторизации в ДБО с других IP-адресов или в нерабочее время.

В случае обнаружения факта мошенничества необходимо максимально быстро сообщить о происшествии в банк с целью остановки платежа и блокирования доступа к системе ДБО с похищенными ключами и паролем. Следует также немедленно обесточить персональный компьютер, с которого предположительно были похищены ключи и данные для авторизации в системе ДБО, и обеспечить неизменность его состояния до приезда правоохранительных органов. В случае самостоятельного расследования или привлечения независимых консультантов для этих целей не допускается работа с оригиналами носителей информации, так как это может повредить целостности доказательств, хранящихся на них. Оригиналы носителей необходимо опечатать и поместить в сейф, данные действия - оформить протоколом изъятия и скрепить его подписями свидетелей и исполнителя.

Кроме того, надо обязательно написать заявление о произошедшем в милицию и по возможности дополнить заявление результатами расследования инцидента. Даже если мошенничество было пресечено, инцидент является уголовным преступлением, которое включает ряд статей, начиная от создания и распространения вредоносного программного обеспечения и заканчивая попыткой хищения в особо крупном размере. Дежурный в отделении милиции обязан принять и зарегистрировать ваше заявление.

Осознание реальности угрозы является серьезным побуждением к действию. Применение простых, но эффективных мер по снижению рисков мошенничества даст возможность обезопасить ваши личные сбережения и денежные средства компании. Один день работы специалиста по информационной безопасности позволит провести аудит и создать защищенную среду для работы с системой ДБО.

А. Писемский,

заместитель генерального директора

компании Group-IB

"Финансовая газета", N 9, март 2011 г.