18:06 / 25 июня 2012

Тысячи клиентов банков в России уже потеряли 300-400 тыс. руб. от атак хакеров

ИБ-эксперты говорят о тысячах случаев атак на системы интернет-банкинга ежегодно. Если средняя потеря компании-клиента оценивается в сотни тысяч рублей, то за месяц такие организации теряют уже сотни миллионов. С 2013 г. банкам придется возмещать потери от неавторизованных клиентами транзакций.

Средний ущерб юрлица-клиента российского банка от успешной атаки на системы дистанционного банковского обслуживания (ДБО) составляет 300-400 тыс. руб. В день в среднем происходит порядка 50 атак. Такую оценку привел CNews генеральный директор «Аладдин Р.Д.» Сергей Груздев.

«За два последних года мы видим экспоненциальный рост числа атак на системы ДБО, — говорит он. – Атакам подвергаются клиенты ДБО практически каждого российского банка». Для юридических лиц, как правило, такие суммы являются неприятными, но не критическими потерями, поэтому до обращения в полицию часто дело не доходит, либо после обращения в полицию пострадавшие компании, видя бесперспективность надежд вернуть похищенное, оставляют попытки.

Неофициальные экспертные данные компании «Андэк» еще более впечатляющи: на каждый крупный и средний банк общая сумма попыток незаконных списаний составляет 10-20 млн. руб. ежемесячно. При этом со счетов физлиц средняя попытка мошеннического списания составляет от 30 до 50 000 руб. (по зарплатным картам). «Для юрлиц попытки списаний измеряются цифрой от 500 тыс. руб. и выше», — оценивает эксперт «Андэк» Олег Глебов. — По обобщенному мнению экспертного банковского и околобанковского сообщества ежемесячный ущерб от атак на все системы ДБО можно смело оценивать в 450–500 млн. руб. Пиковый дневной ущерб по всем банкам достигал 90 млн. руб.».

«Официальной статистики нет, сейчас вся информация о хищениях в ДБО закрыта и не покидает пределов банка, — говорит Олег Глебов. — С изменением законодательства и скором выходе указаний ЦБ банки будут обязаны предоставлять официальную статистику».

По словам гендиректора «Аладдин Р.Д.», в некоторых случаях ущерб от атак на систему интернет-банкинга может быть значительно выше суммы в несколько сотен тысяч рублей. «Клиенты одного из банков проводили через ДБО оплату сделки по продаже части бизнеса, — рассказывает CNews Груздев. – Транзакцию по переводу суммы свыше 1 млрд руб. на счет, отличный от счета получателя, удалось заблокировать только на уровне скоринговой системы, диагностировавшей подозрительную активность».

Троянские программы пишутся мошенниками под конкретные системы ДБО и, более того, под конкретную установку в том или ином банке, говорит Груздев: «Заражение компьютеров клиентов банка происходит с помощью фишинговых писем, через социальные сети или инфицированные страницы популярных сайтов. Атаковать серверную часть системы ДБО в самих банках сложнее, в среднем такие организации обращают на ИБ больше внимания, чем их клиенты».

Груздев условно делит злоумышленников на две большие категории: начинающие взломщики (пользующиеся доступным хакерским инструментарием) и профессионалы. Первые, после покупки специальных программ, атакуют клиентов ДБО с использованием известных уязвимостей. Вторые способны провести виртуозный взлом, в ходе которого перехватываются данные, защищенные, в том числе, с помощью аппаратных ключей защиты. В этом случае злоумышленники способны выводить средства на свои счета, несанкционированно (и скрытно от владельца) подписывая документы ЭЦП клиента. Пока число таких атак и ущерб от них не настолько велики, чтобы банки начали прицельно с ними бороться, но их количество будет расти, уверен Груздев.

Проблемой расследования таких случаев он называет территориальную распределенность атаки. «Следственные действия должны вестись по месту преступления, — говорит Груздев. – Но какое территориальное подразделение будет заниматься расследованием, если деньги московского клиента были выведены в Магадан? Задержания и суды сейчас скорее исключение из правил».

Сегодня банк, как правило, не отвечает перед клиентами за такие потери. «В договоре с банком прописываются требования по защите рабочих мест у клиента, выполнить которые может только зрелый с точки зрения информационной безопасности клиент, особенно когда дело касается криптографии (СКЗИ), — говорит Сергей Груздев. – Но с начала 2013 г. банки, в ряде случаев, должны будут компенсировать потери».

Речь идет о законе «О национальной платежной системе» (НПС), вступающем в силу с 1 января 2013 г. Одна из его статей обязывает банки информировать клиентов об операциях со счетом, а в случае перевода денежных средств без подтверждения компанией банк должен будет возместить ущерб.

Напомним, что в последнее время стало известно сразу о нескольких случаях задержания злоумышленников, пользовавшихся программой Carberp для атак на системы ДБО. В июне 2012 г. Управление «К» объявило о задержании обвиняемого в хищении 150 млн руб. Весной стало известно о задержании группы из восьми человек, специализировавшейся на таких хищениях в течение двух лет.