Обзор ограблений банков хакерами, "kommersant"
Добавлено: 11 янв 2025, 19:29
Помните эти эпичные фильмы про ограбления? Где крутые ребята придумывают гениальный план, меняют облики чаще, чем модели на показах, используют невероятные (нереализуемые) психологические трюки и рискуют своей шкурой в погоне за выгодой. Тяжело представить таких грабителей в наши дни. Основные экономические преступления происходят на цифровом поле. Сегодня грабитель — это не гений психологии и не строитель, знающий, где нужно начать копать. Сегодня грабитель — это хакер, знающий все тонкости работы банковской сферы. Также во многих странах существуют APT-группы, которые относят так называемым «правительственным» хакерам – молодым профессионалам своего дела, которых предположительно неофициально спонсируют государства. К примеру, такие хакеры применяют свои знания для проведения сложных кампаний кибершпионажа. APT-группы не занимаются хищением денег у банков и пользователей, у них совсем иные задачи и цели.
Кардинг
Один из самых распространенных видов «технологического» мошенничества — махинации с банковскими картами. Не удивительно, ведь сегодня практически все повсеместно расплачиваются карточками. Но безопасны ли такие платежи?
Большинство случаев мошенничества приходится на интернет-платежи, проходящие по схеме card-not-present (для проведения транзакции требуются лишь данные, написанные на карте и легко добываемые на теневых маркетах). Для борьбы с такими схемами изобрели 3-D Secure — схему дополнительной авторизации, использующую три сущности домена: домен интернет-магазина, домен платежной системы и домен банка-эквайера. Однако часть крупных магазинов, таких как Amazon, не готова работать с 3-D Secure, что является приятной новостью для мошенников.
Клонирование магнитной полосы
Несмотря на то, что современные карты оснащены чипом, клонирование магнитной полосы — второй по популярности вид мошенничества. Дело в том, что во многих магазинах США при оплате смарт картой можно провести транзакцию с использованием магнитной полосы. А если терминал откажется принимать магнитную полосу, есть схема technical fallback, работающая по Америке (как Северной, так и Южной) и Европе. Просто вставьте в терминал/банкомат карту с несуществующим чипом, и после трех неудачных попыток терминал предложит провести операцию с использованием магнитной полосы. В России терминалы не должны принимать к оплате магнитную полосу, если карта оснащена чипом. Однако, в некоторых магазинах можно встретить терминалы, принимающие операции по technical fallback. И к тому же, никто не запрещает злоумышленникам передавать данные в Европу/Америку для дальнейшей монетизации.
Офлайновая аутентификация
По современным правилам платежных систем, 99.9% операций должны совершаться онлайн (криптограмма подтверждается на стороне банка-эмитента), за исключением оплаты в метро, на самолетах и круизных лайнерах. В таких местах интернет не всегда работает стабильно. К тому же множество платежных систем работало раньше по Floor limit — операции выше определенного лимита подтверждалось онлайн, а ниже — самим терминалом. Несколько лет назад количество таких терминалов (особенно в Америке и Европе) было достаточно велико, чтобы атаковать недостатки офлайновой аутентификации карт.
Человеческий фактор
Человек — самое слабое звено в любой системе, насколько бы надежной она не была. Злоумышленники легко обходят защиту сетевого периметра с помощью банального фишинга, который доставляет вредоносное ПО в корпоративную сеть. Сотрудник банка может легко перейти по подозрительной ссылке в письме или скачать неопознанный файл. Что уж говорить об обычных пользователях. Ситуацию усугубляет то, что практически у каждого на смартфоне есть сервис системы дистанционного банковского обслуживания (например, мобильный банк). Рассмотрим типичную схему на примере вируса «5-ый рейх» от челябинских «кибер-фашистов» (система управления имела нацистскую символику).
Ничего не подозревающий пользователь скачивал троянскую программу, маскирующуюся под Adobe Flash Player. При установке программа запрашивала права администратора. Когда юзер запускал банковское приложение, троян подменял оригинальное окно на фишинговое, куда вводились необходимые данные, которые потом отсылались на сервер злоумышленников. Обладая логином, паролем и доступом ко всем СМС, в том числе и с банковскими кодами, мошенники могли успешно совершать банковские переводы. Программа распространялась с помощью СМС-рассылки с вредоносной ссылкой.
Проникновение в корпоративные сети после инсталляция вредоносного ПО
По данным исследования Positive Technologies, специалистам компании удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществлялось управление банкоматами. В 17% банков недостаточны защищены системы карточного процессинга, что позволяет манипулировать балансом на карточных счетах, указано в отчете. Уровень защиты сетевого периметра банков обычно выше, чем у других компаний, однако все еще далек от идеала.
Большую опасность для банков представляют интерфейсы удаленного доступа и управления (такие как SSH, Telnet, протоколы доступа к файловым серверам), которые зачастую доступны любому пользователю. Исследование также показало, слабым звеном являются и сотрудники банка, а также внутренние злоумышленники. В некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего доступом лишь к сетевым розеткам (охранники, уборщики). После получения доступа к внутренней сети, злоумышленникам необходимо завладеть привилегиями локального администратора на компьютере сотрудника или серверах. Атаки, согласно аналитике, полагаются, в основном, на слабую парольную политику (легкие пароли, стандартные учетные записи, плохая групповая политика) и недостаточную защиту от восстановления паролей из памяти ОС. Перемещаясь по внутренней сети с помощью уязвимостей и локального ПО, не вызывающего подозрения, злоумышленники могут получить полный контроль над инфраструктурой банка.
В целом атаку на банковскую систему можно описать следующими шагами:
Проникновение
Удаленный доступ
Получение привилегий
Поиск целей
Работа с целевыми системами
Обналичивание
Хакерские организации
КНДР
Ох, в каких только грехах не обвиняют Северную Корею. Ущемление свобод граждан, тоталитаризм, наркоторговля, агрессивная внешняя политика. Но в плане кибератак Северная Корея, пожалуй, переплюнула все остальные страны. Хакерские атаки, курируемые государством, приносят стране огромные деньги. Вероятное место базирования хакеров — гостиница «Рюгер» в Пхеньяне.
По оценкам ООН, всего Северная Корея заработала на хакерский кампаниях порядка 2-х миллиардов долларов, и это при 28 миллиардов долларов ВВП (на 2016 год)! 7% процентов — это не хило. Также не хило, как и спонсирование хакерской программы. По неофициальным данным (да и с чего бы им быть официальными в отношении КНДР?) до 20% годового военного бюджета тратится на хакерскую программу. Периодически, в школах КНДР проводятся специальные тестирования школьников, по результатам которых ученики старших классов отправляются углубленно изучать информатику. Вот оно, начало становления киберсолдата Ким Чен Ына. Зачастую, действия хакеров из КНДР связывают с хакерской организацией Lazarus. Одни из самых крупных атак, произведенные этой группой, являются атака на Sony в 2014 году(предположительно, за фильм «Интервью» 2014 года), атака на Центробанк Бангладеша в 2016 и запуск вируса-вымогателя WannaCry в 2017 году(который поразил более 200 тысяч компьютеров по всему миру). Считается, что Lazarus Group была создана в 2007 году под управление генерального штаба КНДР.
OldGremlin
Эта русскоязычная хакерская группировка, которая заявила о себе в 2020 году. Первая атака датируется мартом-апрелем 2020 года. На волне коронавируса OldGremlin от имени Союза микрофинансовых организаций «МиР» рассылала по финансовым организациям рекомендации по обеспечению безопасности на период пандемии. В целом, тактику этой группы можно охарактеризовать как конъюнктурную. В течение 2020 года они рассылали письма с вредоносной ссылкой в связи с различными общественными событиями: ковид, политические волнения в СНГ.
Silence
Эта группировка отличается тем, что в ней можно выделить 2 основные роли: оператора и разработчика. Возможно, в неё входит всего два человека! Конечно, это не уменьшает нанесенный ею вред. Подтвержденный ущерб от этой организации оценивается от 52 миллионов рублей (по другой информации 272 миллиона). Слитая схема группировки:
1 Оператор. Хорошо знаком на проведение тестов на проникновение, что позволяет ему отлично ориентироваться внутри банковской инфраструктуры. Роль в группе - получает доступ к защищенным системам внутри банка, запускает процесс хищений
2. Разработчик. Является высококвалифицированным реверс-инженером с развитой логикой и программированием. Роль в группе - разрабатывает инструменты для проведения онлайн атак, а также модифицирует сложные эксплойты и программы (банковские трои типа Gozi, Zeus).
Хронология атак Silence в отчете 2018 года от Group-IB
Дата Характеристика атаки
2016 год, июль Неудачная попытка вывода средств через российскую систему межбанковских переводов.
2016 год, август Попытка взлома того же банка. Атака предотвращена.
2017 год, октябрь Атака на сеть банкоматов. За одну ночь Silence похитили порядка 7 миллионов рублей.
2018 год февраль Атака через карточный процессинг. Через банкоматы злоумышленники сняли порядка 35 миллионов рублей.
2018 год, апрель Предыдущая схема. За ночь Silence похитили 10 миллионов рублей.
Многие зимой 2013 года наблюдали фантастические происшествия с банкоматами, когда люди шли по улице и видели, что банкоматы начинает выдавать деньги. Просто так. Что тут вообще происходит? Наверное, такой вопрос возникал у людей в декабре 2013 года, когда они лицезрели подобную картину. Ущерб от международной группировки хакеров из России, Китая и стран Европы оценивают приблизительно в один миллиард долларов. С помощью почтовой рассылки хакерами распространялся вирус Carbanak — он затронул порядка 100 финансовых организаций по всему миру. От момента заражения до кражи проходило порядка 2-4 месяцев. Одним из путей кражи денег были банкоматы. В определенный момент хакерами подавалась команда банкомату на выдачу наличных. Похитителям нужно было просто прийти и забрать деньги.
Итак, группировка рассылала электронные письма с бекдором Carbanak да так, что работники банков из-за любопытства открывали их. Через некоторое время вирус приступал к поиску компьютера администратора и параллельно скринил ценные данные с экранов служащих, фиксируя системы и логику денежных переводов. Через 2-4 месяца мошенники запускали онлайн-переводы на свои неприметные счета, применяли системы электронных платеже для перевода денег в китайские, американские банки и другие банки, также в некоторых счетах завышали баланс и присваивали "лишние" средства через фальшивую транзакцию. Перед новым годом Silence взяла сотни банкоматов под свое управление при котором определенный банкомат в определенное время начинал выдавать деньги
Эх, нужно было закупаться биткоином в 2010 году и жить припеваючи. Интересно, а как поступили хакеры с украденными 850 тысячами биткоинов в 2013 году? Ну, этого мы уже не узнаем. На момент кражи такое количество биткоинов равнялось примерно 480 миллионам долларов. Через 10 лет столько биткоинов стоят уже 51 миллиард. !
Биткоины со счетов клиентов начали утекать еще с 2011 года: тогда криптовалюта переживала первый бум в своей истории, в июне 2011 года цена на нее росла в геометрической прогрессии, что вызвало интерес хакеров. Мошенники создали фальшивые ордера и вывели несколько десятков тысяч биткоинов.
Криптобиржа Mt.Gox стала одной из первых, которая пострадала от преступных действий кибермошенников. В 2011 году хакеры похитили 25 000 биткоинов, которые в то время оценивались в $400 тыс. На тот момент биржа обрабатывала почти 70% всех транзакций в биткоинах.
В 2014 году Mt.Gox подверглась еще одной атаке, в результате которой было потеряно почти 650 000 биткоинов, числившихся на кошельках клиентов, и 100 000 биткоинов, принадлежавших самой бирже. Это составляло примерно 7% всех биткоинов, находящихся в обращении на тот момент. Общая сумма ущерба по итогам двух кибер-атак превысила $473 млн.
Спустя некоторое время после второй атаки Mt.Gox объявила о банкротстве, а общий долг биржи перед клиентами оценили в $414 млн.
В определенный момент у Mt.Gox начали возникать проблемы, что привело к оттоку клиентов. Но они начали обнаруживать, что средства со счетов могут выводиться по несколько недель, а то и месяцев. По итогу биржа была закрыта, кто-то успел вывести, а кто-то не успел, как говорится «кто успел, тот пролетел». Любопытно, что через некоторое время, владелец биржи внезапно обнаружил на одном из счетов 200 тысяч биткоинов. Дело о краже все ещё ведется.
Lazarus
HP LaserJet 400 — лазерный принтер. Стоит порядка 20 тысяч рублей. Одним прекрасным (как окажется дальше — нет) утром в Центробанке Бангладеша такой принтер в небольшой каморке без окон перестал работать. Но этот принтер был не простой. У него была очень важная задача — он должен был автоматически распечатывать физические записи SWIFT-транзакций банка. Но 5 февраля 2016 года лоток для печати был пуст. Сотрудники банка пытались привести его в чувство, но безуспешно.
Это был не обычный сбой. Этот сбой был кульминацией хакерской атаки Lazarus. Lazarus взломали компьютер в Центробанке и получили доступ к учетной записи банка в системе SWIFT, которая обладала огромными возможностями. В том числе позволяла совершать транзакции. Здесь стоит сделать отступление, и сказать, что Центробанк Бангладеша хранит часть денег в Федеральном резервном банке Нью-Йорка. 4 февраля Центробанк Бангладеша, сам того не желая, инициировал несколько десятков платежей общей суммой 951 миллион долларов. Таким образом, хакеры отправили запрос в Нью-Йорк, о котором в Бангладеше никто и не подозревал. Когда сотрудники банка узнали обо всей серьезности ситуации, было уже поздно. Рабочий день в Нью-Йорке уже завершился, и все сотрудники ушли на выходные.
Понедельник принес несколько новостей: как хороших, так и плохих. Поводом для хороших новостей послужила бдительность коллег из Нью-Йорка: транзакции на 870 миллионов долларов были отменены. Из-за английского языка. Одна из транзакций была направлена к странному получателю — Shalika Fandation в Шри-Ланке. Видимо, хакеры из Lazarus хотели отправить деньги на счет несуществующей организации Shalika Foundation, но грамотность их подвела. Плохой новостью оказалось то, что транзакции на 81 миллион были одобрены и деньги ушли на подставные счета на Филиппинах и в Шри-Ланке. Из возможных 951 миллиона хакеры получили только 81 миллион — 8.5 процентов.
Metel
Название группы Metel происходит от названия одноименной малвари, которую применяют злоумышленники. Вредонос также известен под именем Corkow.
Для заражения корпоративных сетей банков хакеры используют таргетированные фишинговые атаки, рассылая письма с вредоносными вложениями или используя эксплоит Niteris, направленный на уязвимости в браузерах. В случае успешного заражения, для «закрепления успеха» атакующие применяют легальные технологии, предназначенные для пентестинга. В итоге хакерам удается получить в свое распоряжение контроллер локального домена, а затем и доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.
Но примечательна группа Metel не этим, а изобретением интересного метода снятия украденных денег в банкоматах. Злоумышленники посылают своих сообщников в банкоматы других банков, чтобы те сняли деньги с действительного банковского счета в зараженном банке. Так как на данном этапе злоумышленники уже контролируют ресурсы внутри зараженного банка и имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), они осуществляют откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. Пропажа средств обнаруживается позже, когда след хакеров уже простыл.
Специалисты GReAT рассказали, что хакеры ездили по разным городам России и в течение всего одной ночи снимали через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. Только в одну из таких ночей преступники похитили несколько миллионов рублей. Это свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают все, что им нужно, и сворачивают операцию в течение считанных дней или даже часов.
На данный момент от малвари Metel пострадали более 30 финансовых учреждений.
GCMAN
Хакеры из GCMAN действуют иначе – их конек, это скрытность. Группа получила имя в честь GCC (GNU Compiler Collection), который используется в их кастомной малвари. Эти парни предпочитают заражать банки по-тихому, не привлекая внимания, а затем переводят средства малыми суммами, используя различные сервисы криптовалют.
Для заражения сетей финансовых учреждений злоумышленники тоже используют таргетированый почтовый фишинг. Если жертва откроет вредоносный RAR-архив, присланный во вложении, дело можно считать сделанным – компьютер заражен вредоносом GCMAN.
Впрочем, эксперты отмечают, что хакеры далеко не всегда использовали фишинг. Группа проводит успешные атаки, не применяя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты для пентестов. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка.
В отличие от Metel, GCMAN никуда не торопятся и подходят к делу обстоятельно. В одном случае злоумышленники находились в зараженной системе полтора года, прежде чем начали красть деньги. Но когда атака входит в активную фазу и перевод средств начинается, хакеры не медлят. Каждую минуту группа GCMAN может переводить до $200 – лимит для анонимных платежей в России. Все украденные деньги уходят на различные криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием средств. Поручения на транзакции в таких случаях направляются напрямую в банковский платежный шлюз, но не отображаются ни в одной из внутренних банковских систем.
Группировка: ANUNAK
Цели: Системы межбанковских переводов, системы мгновенных переводов для физических лиц, сети управления банкоматами, платежные шлюзы, карточный процессинг, POS-терминалы, трейдинговые платформы, государственные структуры.
Почему важна: Группа, ответственная за первые успешные целевые атаки на банки в России. Самая опытная группа: в 2013-2014 году атаковала более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей. Также атаковала POS-терминалы американских и европейских ритейл-сетей. Активно вовлекала людей в атаки и делилась опытом. Имеет целый ряд последователей, копирующих ее тактику.
Статус: Не совершила ни одного успешного хищения на территории России с начала 2015 года, троян еще используется для атак на компании за пределами СНГ. В России зафиксированы атаки с использованием ее вредоносной программы; цель таких атак — шпионаж.
Группировка: CORKOW
Цели: Карточный процессинг, банкоматы, биржевые терминалы.
Почему важна: В феврале 2015 года совершила первую в мировой практике атаку на брокера, вызвавшую аномальную волатильность на валютном рынке. Заразив внутреннюю сеть банка, преступники получили доступ к биржевому терминалу и провели серию операций, повлекшую скачок курса доллара по отношению к рублю почти на 20%. Ущерб банка составил 224 млн рублей.
Статус: Приостановила деятельность.
Группировка: BUHTRAP
Цели: Системы межбанковских переводов.
Почему важна: Образец успешной переориентации группы, занимавшей лидирующие позиции по объему хищений у юридических лиц. С августа 2015 по февраль 2016 года совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей. В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка.
Статус: Приостановила атаки на банки, продолжаются хищения у юридических лиц с помощью бот-сети, проданной другим атакующим.
Группировка: LURK
Цели: Системы межбанковских переводов.
Почему важна: Разработала один из самых продвинутых троянов для хищений у юридических лиц, позволявший незаметно для пользователя подменять реквизиты и сумму платежа в системах интернет-банкинга, а также обходить SMS-подтверждение платежей. В феврале 2015 года похитила 150 млн рублей из российского банка, после чего совершила еще две неудачных попытки атак в России и на Украине.
Статус: Участники преступной группы задержаны в мае 2016 года. Часть атакующих остается на свободе и в ближайшее время может вернуться к целенаправленным атакам на системы межбанковских переводов
А что в России?
Говорят, у российских продвинутых хакеров есть свой негласный «кодекс чести». Многим свойственно романтизировать образ киберпреступников, делая из них цифровых Робин Гудов. Одно из правил русскоязычных злоумышленников — «не работать по РУ». Правда непонятно, чего тут больше, патриотизма или страха перед ФСБ. Многие хакерские группировки «забивают» на это правило, действуя исключительно в СНГ. Достаточно вспомнить знаменитую OldGremlin, атакующую исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.
В России на электронных кражах специализируются порядка десяти преступных групп, каждая из которых совершает около пятисот преступлений ежедневно. От криминальных инженеров достается не только рядовым гражданам, но и крупным корпорациям — диверсионные атаки на банки, шантаж и вымогательство крупных сумм в биткоинах стали серийными.
В результате хакерской атаки один из российских банков потерял несколько миллионов рублей. Личности взломщиков удалось установить случайно: один из них попался с наркотиками около «закладки», заложенной оперативниками МВД в совершенно иных целях. При обыске в квартире задержанного полицейские нашли оборудование и ПО, использовавшееся для киберпреступлений. В обмен на смягчение наказания молодой человек выдал сообщников и раскрыл схему.
Преступники работали так: брали под контроль процессинговую систему банка-жертвы, заводили карты на так называемых дропов, убирали лимит на снятие наличных и включали овердрафт. Дропы за процент снимали наличные в банкоматах и за вычетом процентов отдавали одному из участников преступной группы. Позже банду задержали в Азии, экстрадировали и осудили.
12 апреля 2021 года Центральный Банк России сообщил о росте потерь россиян от кибермошенников на 52% в 2020 году, до 9,77 миллиарда рублей. Ответственность за преступления в сфере компьютерной информации описана в 28 главе УК РФ.
Статья 272. Неправомерный доступ к компьютерной информации
Статья 272.1. Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
Статья 274.2. Нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования
На данный момент не существует единого подхода к пониманию киберпреступления и информационного пространства, что в свою очередь ведет к разному пониманию однородных преступлений в законодательстве различных стран. Если говорить о России, то ее законодательство в плане киберпреступлений ничем особым не выделяется.
Для решение любой проблемы, необходимо понять её причины. Причин, почему банки, несмотря на совершенствование систем безопасности, остаются подверженными хакерским атакам несколько. Первая причина: отсутствие законодательной базы единых стандартов безопасности. Вторая причина: стремление банков экономить на системах безопасности. Третья причина: отсутствие необходимой корпоративной культуры в сфере кибербезопасности. Это три кита, без которых не получится грамотно противостоять атакам хакеров, и устранение этих причин — первый шаг на пути к снижению количества киберпреступлений в банковской сфере. Естественно, что уровень изощренности хакеров будет расти вместе с уровнем систем безопасности. Но если сотрудники банков будут и впредь переходить по подозрительным ссылкам в электронной почте, то и у хакеров будет намного больше возможностей для получения выгоды.
«Первая причина: отсутствие законодательной базы единых стандартов безопасности.»
Вот уж чего-чего у банков, много стандартов и требований. И кстати неплохих
«Вторая причина: стремление банков экономить на системах безопасности.»(единых стандартов есть только два — PCI DSS и PA DSS, не? СТО БР чисто российский, и рекомендальный)
Банкам все это тупо не интересно — закладывается в потери и страховку. Плюс неинтересно руководителям ИБ банков. Это слишком недешевые и скучные проекты на фоне куда более привлекательных и интересных
По сути грабят не банки, а клиентов банков, потому банки и не шевелятся. Зачем что то менять, если по каждому списанию можно сказать что клиент сам передал все данные.
О какой безопасности можно говорить, когда ключи шифрования из Центробанка передаются на дискетах. И нормативные документы проверяют журнал, введены эти дискеты в эксплуатацию или выведены.
IT-безопасник всего один. Основная его работа состоит в написании многочисленных писем в ЦБ и ФСБ.
Стоят файрволлы, антивирусы и всё, а вот систем обнаружения вторжений с отделом безопасности именно максимально квалифицированного - нет.
Шокирует рабочий момент в одном филиальном российском банке, когда прилетела злобная бумага из головного банка в эпохальный период. После жесткого пропесочивания, компьютер сотрудника, отвечающий за межбанковские платежи, перенесли в отдельную сеть и все платёжки в ЦБ девушка стала отправлять через флешку и видеокамеру, установленную напротив неё.
А по факту банкиры очень хорошо считают деньги, сколько они заработают на системе обнаружения вторжений? Нисколько, поэтому финансирование идёт по остаточному принципе в одном бюджете с картриджами и аккумуляторами для бесперебойников.
в середине июня 2017 года, окружной суд Нью-Джерси (США) должен огласить приговор двум гражданам России — Владимиру Дринкману и Дмитрию Смилянцу. Их, а также их подельников, россиян Александра Калинина и Романа Котова и гражданина Украины Михаила Рытикова (правда, эти трое находятся в международном розыске) обвиняют в том, что в течение семи лет — с 2005 по 2012 год — они похитили и перепродали данные 160 млн кредитных карт, сняли средства с 800 тыс. счетов по всему миру и причинили совокупный убыток более чем в 300 млн долларов.
Список корпоративных жертв хакеров впечатляет: NASDAQ, Dow Jones, Visa, платежная компания Heartland, торговые сети Carrefour S.A. и 7-Eleven, бельгийский банк Dexia Bank, авиакомпания Jet Blue и многие другие. Как видите, нынешняя паранойя американцев по поводу российских хакеров вообще-то не лишена оснований. «Они показывают меня как лидера группировки, которая разрушала финансовую инфраструктуру США в течение десяти лет», — пожаловался Владимир Дринкман журналистам Bloomberg. Он признался, что не верит в честное разбирательство и справедливый приговор.
Говорят, что хакеров выдал американец Альберто Гонсалес, который вместе с ними «вскрывал» Heartland и в 2010 году получил приговор в 20 лет тюрьмы.
27 лет тюрьмы — такой приговор вынес федеральный суд Сиэтла (США) сыну депутата Госдумы от ЛДПР Роману Селезневу. Это самый суровый приговор, когда-либо выносимый в США за киберпреступления. Депутат Валерий Селезнев и МИД РФ видят в этом недружелюбное отношение к России, но давайте посмотрим, чем так разозлил американскую Фемиду русский хакер: 3 700 финансовых учреждений, более 500 компаний по всему миру, 2 млн скомпрометированных кредиток — ущерб, причиненный Селезневым, прокуратура оценила не менее чем в 170 млн долларов. Но Роман Селезнев не только похищал и продавал данные кредиток. Он был криминальным предпринимателем, чьи новации преобразили индустрию кардинга. Хакер создал два пункта продажи реквизитов банковских карт — по сути, «магазины» ворованных данных. По словам прокурора США, благодаря этим сервисам заниматься карточным мошенничеством стало проще, чем покупать книги на Amazon.com. Селезнев пытался задобрить судью письмом, в котором описывал свое тяжелое детство с разведенной и много работающей матерью, но это не помогло. Арестовали хакера на Мальдивских островах. А ему действительно досталось от жизни. Несколько лет назад Роман Селезнев серьезно пострадал во время теракта: вместо трети черепа у него — титановая пластина.
Самый известный в мире спамер — бразилец Валдир Пауло де Алмейда на момент ареста в 2005 году содержал команду из 18 человек, которая рассылала 3 млн фишинговых писем в день. В рассылках был спрятан «троян», ворующий данные у посетителей онлайн-сервисов банков — преимущественно бразильских, но пострадали и зарубежные. По оценкам, за два года спамерам удалось похитить с карт 37 млн долларов. Среди пострадавших — не только частные лица, но и несколько фондов.
Василий Горшков и Алексей Иванов, сидя за домашними компьютерами в родном Челябинске, проникли в корпоративные сети PayPal, Western Union, американского представительства корейского банка Nara Bank и украли 16 тыс. номеров кредитных карт. Причиненный ими ущерб составил 25 млн долларов. Эта история интересна тем, как ловили челябинских парней. ФБР, которое вышло на хакеров и собрало доказательства их причастности, порывшись в их компьютерах (за что получило обвинение в несанкционированном доступе от ФСБ), решило выманить преступников из Челябинска. Для чего была создана подставная фирма Invita Computer Security, которая пригласила талантливых программистов поработать над системой безопасности. Арестовали хакеров в аэропорту Сиэтла, куда они прилетели на собеседование. Иванов в итоге получил четыре года лишения свободы, а Горшков — три, а также штраф почти в 700 тыс. долларов.
Скромный питерский интеллигент Владимир Левин в 1991 году защитил диплом про вирусы гриппа на территории СССР, а в 1994 году взломал внутреннюю сеть Citibank и вывел со счетов корпоративных клиентов банка 10,7 млн долларов на счета, расположенные в США, Израиле, Германии и других странах. Почти все деньги банку удалось вернуть, кроме примерно 400 тыс. долларов.
Показательно, что профессионально программированием Левин не занимался, это было его хобби. А английский язык он и вовсе знал лишь в пределах компьютерной терминологии. Общую лексику и грамматику пришлось подтягивать уже в тюрьме: сначала английской, потом американской. Хакера арестовали в Лондоне в марте 1995 года и позже приговорили к трем годам лишения свободы и штрафу в 240 015 долларов. В 2005 году появилась информация, что у Левина не было даже хакерских талантов: якобы систему Citibank взломали другие хакеры, а Левину просто продали алгоритм всего лишь за 100 долларов.
Титул крупнейшего в истории мошенника в сфере пластиковых карт принадлежит американцу кубинского происхождения Альберто Гонсалесу: в 2005—2007 годах ему удалось собрать данные 170 млн платежных карт.
Еще в 2002 году, будучи 21 года от роду, он создал «биржу хакеров» Shadowcrew, где можно было обменять, продать или купить ворованные данные по банковским картам. Через год на эту площадку вышло ФБР и предложило Гонсалесу или обвинения, или сотрудничество, предполагающее зарплату в 75 тыс. долларов. Гонсалес выбрал сотрудничество с федеральными органами, в результате чего в 2004 году было арестовано 28 хакеров. При этом сам Гонсалес вовсе не бросал любимое дело, продолжая взламывать сети крупных магазинов США и воруя там данные кредитных карт. Эксперты полагают, что всего хакер смог заработать за свою карьеру около 10 млн долларов. Гонсалеса арестовали в 2008 году, он попался на взломе сети общественного питания Dave & Buster's, и, уже когда он находился под стражей, ему предъявили обвинение и во взломе Heartland. Кстати, говорят, что именно Гонсалес сдал следствию имена своих сообщников в этом деле — Дринкмана и Смилянца. Полиция изъяла у хакера 1,6 млн долларов наличными, причем 1,1 млн были спрятаны в пластиковые пакеты и закопаны на заднем дворе родительского дома. В 2010 году суд приговорил Альберто Гонсалеса к 20 годам тюрьмы.
Ключевой причиной популярности блокчейна и криптовалют является их децентрализованный характер, при котором каждая транзакция может быть проверена и обеспечена. Однако, несмотря на это, некоторые злоумышленники находят способы атаковать блокчейн-сети и украсть сотни миллионов долларов. Блокчейн можно атаковать различными способами, такими как фишинг или вредоносный код. Кибератаки чаще всего направлены на криптокошелек, криптобиржу или кросс-чейн мосты. Согласно данным платформы Chainalysis, в 2022 году кибермошенники украли более $3,8 млрд. В 202х годах тенденция краж средств таким способом замедлилась, однако угроза хищения путем кибератак сохранилась
2 августа 2016 года гонконгская криптовалютная биржа Bitfinex сообщила о том, что биткоин-кошельки более чем 50 тыс. клиентов были взломаны и из них похищено 119 756 биткоинов. По курсу того дня это равнялось примерно 65 млн долларов.
Это крупнейшая хакерская атака на криптовалюту после случая с Mt.Gox, хотя ее последствия для курса криптовалюты оказались меньше. Прошлой осенью атака продолжилась, после чего к расследованию преступлений подключилось ФБР, а сама биржа опубликовала письмо к анонимному хакеру с просьбой рассказать об уязвимости в системе безопасности Bitfinex в обмен на крупный денежный приз и обещание снять все предъявленные обвинения..
Крупнейшее кибер-ограбление в мировой истории произошло в марте 2022 года. Хакеры атаковали сеть Ronnin, поддерживающую популярную игровую блокчейн-платформу Axie Infinity. Мошенники украли криптовалюту эфир и стейблкоин USDC на общую сумму порядка $625 млн. Позже стало известно, что хакеры похитили 173 600 эфиров на $595 млн и более $25,5 млн в USDC.
Власти США провели расследование и возложили ответственность за кражу средств Ronnin на хакерскую группа Lazarus Group, поддерживаемую Северной Кореей. Месяц спустя биржа Binance вернула часть украденных средств пострадавшим на сумму $5,8 млн.
В августе 2021 года хакер воспользовался уязвимостью в системе Poly Network, похитив средства на сумму чуть более $600 млн. Взлом затронул активы в биткоине, эфире и других цифровых валютах. Вместо того, чтобы скрыться с похищенной суммой, криптомошенник связался с платформой для того, чтобы вернуть большую часть средств, оставив себе стейблкоин USDT на сумму $33 млн. Позже хакер заявил, что атаковал Poly Network «ради развлечения». В свою очередь Poly Network предложила хакеру награду в размере $500 тыс. за то, что он вернул средства, а также предложила ему стать ведущим советником по безопасности в компании. «Этичный хакер» отказался от предложений Poly Network.
В октябре 2022 года криптовалютная биржа Binance стала жертвой одного из самых громких кибер-ограблений. Группе хакеров удалось вывести 2 млрд токенов BNB на сумму около $570 млн. По сообщениям Binance, злоумышленники атаковали кроссчейн-мост BSC Token Hub, связанный с её цепочкой BNB, что позволило хакерам перемещать токены BNB вне сети. В бирже также отметили, что в момент атаки ей удалось заморозить лишь $7 млн похищенных средств.
Японская криптовалютная биржа Coincheck стала жертвой хакерской атаки в 2018 году. Общая сумма нанесенного ущерба составила $534 млн. Преступники вывели криптовалюту NEM со счетов биржи. Через несколько месяцев после взлома Coincheck была приобретена Monex Group - японской компанией, предоставляющей финансовые услуги. Часть капитала Coincheck была использована для погашения долгов перед клиентами, чьи средства были украдены во время атаки.
Веб-сервис Wormhole, который позволяет осуществлять транзакции между блокчейнами, был подвергнут кибератаке, в результате которой платформа потеряла $320 млн в криптовалюте. Этот инцидент является шестым по объему похищенных средств в криптоиндустрии.
Хакеры воспользовались уязвимостью в программном обеспечении Wormhole. Злоумышленники подделали подписи хранителей цифровых активов и отчеканили 120 000 эфиров на Solana, из которых они перевели 93 750 обратно в блокчейн Ethereum. Wormhole предложила хакерам $10 млн в случае если они вернут украденные средства. Киберпреступники согласись с условиями платформы.
В последний день зимы 2016 года, 29 февраля, столичный Металлинвестбанк лишился 200 млн рублей. Их, как было установлено позже, украли хакеры. Все произошло быстро. Терминалы, с которых управляется корреспондентский счет кредитного учреждения в ЦБ, начали несанкционированно отправлять с него деньги на сторонние счета. Адресаты — частные лица в коммерческих банках по всей стране.
Подозрительное поведение компьютеров в Металлинвестбанке обнаружили сразу, заверил "Деньги" зампредправления Михаил Окунев. "Это был взлом канала автоматизированного рабочего места клиента Банка России, АРМ КБР",— сказал он. Взлом, по словам Окунева, продлился около часа. Чтобы остановить переводы, банк даже запросил ЦБ отключить его от системы расчетов. К этому времени с корсчета Металлинвестбанка ушло 667 млн рублей. "Треть денег вернулась сразу, примерно треть арестована на счетах в банках, мы рассчитываем, что они к нам вернутся по результатам суда, который, как мы ожидаем, начнется в апреле",— говорит Михаил Окунев. Около 200 млн рублей, как уже было сказано, банк все же не вернул: с подконтрольных счетов злоумышленники их либо быстро обналичили, либо перевели дальше.
У этой истории — нечастый для России финал. Через три месяца, в июне 2016-го, ФСБ и МВД сообщили, что совместно в 15 регионах РФ задержали 50 человек, входящих в хакерскую группу под названием Buhtrap. Ее заметили еще в 2014 году, когда она обчищала компании. А в августе 2015-го группировка переключилась исключительно на финансовые организации:
за полгода, по февраль 2016-го, Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей, отмечает Group-IB, специализирующаяся на предотвращении и расследовании кибератак.
Рост на 300%
Хищение у Металлинвестбанка 667 млн рублей было в числе самых крупных в РФ — из тех, что были обнародованы. Средняя хакерская кража у российских банков в период с июня 2015-го по май 2016 года составляла около 140 млн рублей. Хотя были и большие суммы. "В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка",— отмечается в прошлогоднем отчете Group-IB.
Всего за 2016 год, сообщил в феврале 2017-го ЦБ, у российских коммерческих банков хакеры похитили 2,2 млрд рублей.
"Если говорить о покушениях на хищения денежных средств со счетов кредитных организаций, то в 2016 году подобным атакам подверглись девять организаций,— уточнила "Деньгам" пресс-служба регулятора.— Злоумышленники пытались похитить около 5 млрд рублей. При этом удалось остановить хищения на общую сумму порядка 2,8 млрд рублей". Очевидно, банки в 2016 году лишились бы еще большей суммы, если бы не захват членов Buhtrap, группировки, на которую, по сведениям Group-IB, приходилось две трети украденного у банков.
Общая сумма киберхищений у финансовых организаций за минувший год, впрочем, может быть и больше. По крайней мере, по подсчетам Group-IB, за период с июня 2015-го по май 2016 года у российских банков в результате целевых атак (когда жертва не случайна, а подбирается со знанием дела) хакеры похитили 2,5 млрд рублей.
Сумма целевых киберхищений у банков, по сведениям Group-IB, к аналогичному периоду 2013-2014 годов выросла на 292%. (По данным ЦБ, с июня 2015-го по май 2016 года у российских банков хакеры украли 1,37 млрд рублей.) "Нас часто обвиняют, что мы цифры завышаем,— я считаю, что мы занижаем",— подчеркивает директор департамента киберразведки Group-IB Дмитрий Волков.
Более свежих цифр за 2017 год пока у компании нет, но в банковском сообществе неофициально "Деньгам" подтверждают если не увеличение суммы украденного, то рост числа кибератак в российских финансовых организациях. (При этом сумма похищенного за один раз может и снижаться.) "Атаки ради денег самих банков совершаются все чаще. Есть мнение, что в последние несколько лет число атак удваивается ежегодно",— подтверждает Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банков (АРБ). А компания Positive Technologies, также занимающаяся расследованиями киберпреступлений, прогнозирует, что в 2017 году хакерских атак на банки в РФ будет больше на 30%. Это касается и процессинговых, брокерских структур, операторов денежных переводов — их потери от киберхищений также возрастут.
Металлинвестбанк — редкое исключение из правила. Он публично признал факт кражи и сумму ущерба от действий хакеров. О киберкражах (правда, без подробностей) сообщали также Русский международный банк и казанский Алтынбанк. Остальные предпочитают о потерях не распространяться.
Между тем в США, например, финансовые организации, если хотят избежать больших штрафов, сведения об ущербе от хакеров обязаны не только доводить до регулятора, но и раскрывать публично. У нас, говорят банкиры, такую информацию финансовые и кредитные учреждения не предавали широкой огласке, опасаясь больших имиджевых и репутационных потерь (а закон их к откровенности не обязывает).
Открытых полных данных о том, сколько хакеры украли со счетов у банков, их клиентов — физических или юридических лиц — в России нет.
Соответствующая статистика ЦБ формируется из отчетности банков, которые до 2015 года не спешили делиться с регулятором конфиденциальной информацией о киберкражах. Чуть более года назад их обязали это делать. "Данные Центробанка в целом по киберхищениям в РФ не отражают картины,— считает бывший руководитель подразделения в управлении К МВД, пожелавший остаться неназванным.— Их гораздо больше, чем говорят банки". Это, правда, касается в первую очередь киберкраж у клиентов финансовых организаций. Скрывать от ЦБ такие атаки против самих себя не в интересах банков, уверены собеседники "Денег". Но сделать это вполне реально.
"Формируя статистическую отчетность, Банк России исходит из того, что кредитные организации добросовестно подходят к формированию отчетности,— сообщила пресс-служба регулятора.— По итогам 2016 года статистика Банка России практически полностью коррелирует со статистикой МВД по такого рода преступлениям".
Несколько тысяч рублей, украденных с вашей карты,— добыча "щипачей". Профессиональные компьютерные преступники "берут" за раз сотни миллионов.
Если еще в 2013 году главной мишенью опытных хакеров были клиенты банков, то теперь — сами финансовые организации, говорят опрошенные "Деньгами" эксперты. Самые профессиональные киберпреступники, потренировавшись на компаниях, переориентировались на банки. Там риски и азарт выше, дело — сложнее, но и куш куда заманчивее.
Доход хакеров от целевых атак на банки за период с июня 2015-го по май 2016 года, по данным Group-IB, "перекрыл суммарный заработок от всех остальных способов хищений, сделав банки самой привлекательной мишенью". Если у банков за указанный период хакеры украли 2,5 млрд рублей, то у юрлиц — 956 млн, у физлиц через настольные компьютеры — 6,4 млн, у них же, но через смартфоны,— 348,6 млн.
С юрлиц за одну кражу в интернет-банкинге можно было "получить" почти в 300 раз меньше, чем с банков: 480 тыс. против 140 млн рублей.
С теми и другими работают наиболее квалифицированные хакеры — "элита". Счета обычных граждан обчищает отдельная группа кибермошенников — это, говорят эксперты, по сути, аналог малоквалифицированных щипачей в цифровую эпоху. С банковских счетов граждан через настольные персональные компьютеры они похищают в среднем за раз по 51,6 тыс. рублей, через смартфоны на Android — в среднем по 4 тыс. за раз (немного, но зато тут кражи совершаются намного чаще).
Российский рынок киберхищений, к примеру, за II кв-л 2015 — I кв-л 2016 г.
Тип хищения Число хакерских групп Средняя сумма одного хищения, руб. Общая сумма хищения, руб. Рост к прошлому периоду, %
Целевые атаки на банки 5 140 млн 2,5 млрд 292
Интернет-банкинг у юрлиц 6 480 тыс. 956 млн -50
Настольные ПК у физлиц 1 51,6 тыс. 6,4 млн -83
Смартфоны на Android у физлиц 11 4 тыс. 348,6 млн 471
Обналичивание похищаемых средств 1,7 млрд 44
Итого 5,5 млрд 44
Неуязвимых нет
Всего в стране сейчас действует около 570 коммерческих банков, и хакеры, скорее всего, прощупали всех (включая более 300 закрытых в ходе затеянной ЦБ чистки). "Банков, которые не атакуют, нет",— уверен Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies. "Атакам хакеров подвергаются все,— соглашается Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-банка.— Но в защищенный банк, откуда сложно вывести деньги, мало кто полезет".
Многие финансовые организации, прежде всего региональные, слабо готовы к кибератакам. "Банки, особенно в регионах, до сих пор уверены, что кибермошенники потрошат лишь клиентов, за что уже поплатились",— замечает топ-менеджер из банковской сферы, пожелавший остаться анонимным. По словам Эльмара Набигаева, как правило, после первой кражи банки меняют свой подход. "Сейчас вообще таких стало меньше",— отмечает он. Меньше в том числе потому, что основная масса закрывшихся банков — региональные.
Как граждане помогают хакерам себя грабить
"Готовность — разная, в зависимости от величины банка. Крупные готовы к атакам, средние и малые — не все... Но никогда нельзя быть готовым на сто процентов к предательству внутри организации вне зависимости от размера банка",— замечает Эльман Мехтиев из АРБ. Роман Чаплыгин, директор направления анализа и контроля рисков кибербезопасности PwC, обращает внимание на нехватку финансирования: "В России существует множество банков, которые не обладают достаточным количеством финансовых средств для выстраивания системы кибербезопасности внутри организации и отражения атак". Впрочем, есть и другая проблема. "Некоторые банки в России и за ее пределами не верят, что компьютерная преступность существует,— говорит Илья Сачков, гендиректор Group-IB.— Даже в уважаемых государственных учреждениях есть люди, которые тоже в это не верят".
О слабой готовности кредитных учреждений к кибератакам свидетельствуют и тесты на проникновение в информационную систему компаний и банков, проведенные в 2015 году Positive Technologies. Проверялось 17 учреждений в России и за рубежом, треть из которых составляли банки и финорганизации.
В 82% систем оказалось возможным попасть в сеть, в каждом втором случае удалось получить контроль над критически важными ресурсами компаний, а в 28% был получен полный контроль над всей инфраструктурой организации.
По словам Эльмара Набигаева, ситуация к сегодняшнему дню существенно не изменилась: "В банковской сфере с точки зрения безопасности все не очень хорошо. У большинства злоумышленников не вызывает затруднений получение полных привилегий в сети. Результаты наших расследований инцидентов в банках показывают, что в большинстве случаев атаки заканчивались полной компрометацией сети и кражей средств".
Кредитные учреждения вроде бы вкладываются в кибербезопасность. Даже несмотря на кризис. В 2017 году в России бюджет на кибербезопасность вырос на 18%. Увеличение бюджета, однако, не всегда помогает. "Многие банки ограничиваются инвестициями в безопасность на уровне соответствия стандартам. Галочку поставили в документе, правильное средство защиты купили — значит, все хорошо. Но нельзя просто купить железку и забыть, информационная безопасность — это процесс, инфраструктура банковской организации меняется, киберпреступники обновляют инструменты и схемы атак, поэтому и в безопасности постоянно должно что-то совершенствоваться".
Те, кто обеспечивал киберзащиту, которая не помогла, оказывались в очень щекотливой ситуации. "К сожалению, многие сотрудники службы информационной безопасности скрывали от менеджмента банков проблему, и это могло длиться до 2013-2014 года,— рассказывает Илья Сачков.— Ты потратил много денег, но проблему это не решило. И ты должен потратить еще. У нас с некоторыми банками даже были конфликты, когда мы через систему мониторинга были способны определять преступления на этапе их подготовки, знали, у кого могли украсть деньги, сообщали об этом сотрудникам службы информбезопасности, а они эти сведения никак не использовали, боялись показать руководству. И происходило хищение".
Те же, кому руководство банка средств на киберзащиту не выделило, используют это как повод снять с себя ответственность: мол, мы же просили деньги, а вы не дали, говорит пожелавший остаться анонимным топ-менеджер из банковской сферы. "В тех банках, где IT-безопасность — это часть службы, выросшей из службы физической безопасности, так и происходит чаще всего",— уверен наш собеседник.
Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского", участвовавший в расследовании киберкраж в финансовых организациях, соглашается: "Чаще всего проблемы у банков не с бюджетами, а с информированностью об инцидентах.
Большинство атак происходит по глупости, недосмотру, случайно, если хотите. И так во всем мире.
Если банк формально следует букве закона (так называемая бумажная кибербезопасность), то он все равно станет жертвой злоумышленника".
Мало накупить дорогих систем. Для их эффективной эксплуатации и настройки необходим высококвалифицированный и весьма дорогостоящий персонал, а далеко не каждый банк может себе позволить держать в штате таких профессионалов. Да их и мало очень".
Знающих специалистов мало не только в банках, но и в правоохранительных органах, говорит источник "Денег" в управлении К МВД: "Почти нет оперативников, следователей, способных понять техническую сторону дел, объединить эпизоды и объяснить их суть прокурору и судье".
Пользуясь исключительно инсайдом, крадут в России деньги и у обнальных банков, которые принимают средства и получают указания, куда их перевести. "Есть группы злоумышленников — они получают доступ к такой почте у обнального банка или отправителя денег,— рассказывает Дмитрий Волков из Group-IB.— Мошенники видят переписку и со взломанной почты сами отправляют эти поручения банку.
Например, сегодня деньги должны уйти в Китай — злоумышленники перехватывают такое письмо, подменяют его: да, тоже Китай, но другое юрлицо. И 200 млн долларов уходят не в ту компанию.
Почту они контролируют. Банк спрашивает: "Точно туда отправлять?" Хакеры отвечают: "Да, туда". И все. Суммы хищений здесь большие, многое делается по наводке".
И кто признается ЦБ, клиентам или партнерам, что украли серые деньги, что пострадала отмывочная или обнальная, криминальная по сути, схема?
Оттуда открывается доступ в локальные сети, хакеры получают привилегии администратора, что позволяет атаковать системы, отвечающие за финансовые трансакции: АРМ КБР, банкоматные сети, биржевые терминалы, электронные расчеты и межбанковские переводы, SWIFT и процессинговые системы. Что и дает возможность красть средства.
Именно так, скорее всего, произошла кража в Металлинвестбанке: платежные терминалы и корпоративная сеть здесь были объединены, что сыграло на руку хакерам. "Достоверно сложно утверждать, что послужило изначальной точкой входа в банковскую систему,— говорит Михаил Окунев.— Но все уязвимости мы закрыли и постоянно совершенствуемся в этом. Мы разделили физически общую банковскую сеть и те машины, которые отвечают за отправку любых платежей. Банк провел полную перестройку системы информационной безопасности".
Способов проникновения на компьютер банковского служащего несколько. Самый распространенный — через электронную почту. Конкретным сотрудникам присылается некое письмо с документом, куда встроена вредоносная программа с так называемыми эксплойтами. Используя уязвимости в программном обеспечении, они находят черный ход на компьютер сотрудника. Чтобы вредоносный файл открыли, злоумышленники отправляют его от имени клиентов банка, или от ЦБ (как делала группа Buhtrap), или от госорганов.
Письмо может подтверждаться и телефонным звонком: мол, проверьте реквизиты договора, акт сверки, последние распоряжения. И необязательно это будет письмо с фальшивого адреса: хакеры могут отправлять зараженные файлы и с настоящих, но взломанных адресов. Кроме того, это может быть и подлинное письмо от партнеров, но с вредоносной программой.
"У злоумышленников появляются дополнительные возможности совершать атаки через многочисленных банковских контрагентов, у которых система защиты от киберугроз зачастую совсем не развита", —
Что происходит дальше? Сотрудник открывает документ, например, в формате .pdf, а встроенная в него вредоносная программа проверяет, есть ли уязвимости в "читалке". Часто они есть, так как обновления, которые ставят "заплатки" на программное обеспечение, делаются нерегулярно. Впрочем, обновления не панацея, они только снижают риски: у программ, на радость хакерам, существуют уязвимости, неизвестные разработчикам.
Используя эти уязвимости, с помощью эксплойтов, встроенных в присланный документ, киберпреступники входят через черный ход на компьютер жертвы. "Злоумышленник ставит программу, которая позволят получить пароли администратора сети, потом он ходит по разным компьютерам и получает полный доступ,— рассказывает Илья Сачков.— Мы расследовали случай, когда злоумышленники контролировали всю банковскую сеть, похитив большую сумму с корсчета, которую потом распылили по разным счетам и обналичили. У них был доступ на почтовый сервер, главные серверы, и они читали, как банк реагировал на расследование".
Другой способ попасть на компьютер к сотруднику банка — массовый, уходящий, как говорят эксперты, в прошлое. Мошенники совершают так называемый подлом популярных сайтов, например деловых и новостных изданий, юридических или государственных справочников. Незаметно для их владельцев хакеры встраивают в сайт небольшую программу, которая проверяет у всех посетителей, какой у них браузер, операционная система, флеш-проигрыватель, pdf-ридер, версии их обновлений и пр. "Таким образом находится уязвимое программное обеспечение — в среднем у 13-15% посетителей",— рассказывает Дмитрий Волков. Кстати, сейчас этот способ, по данным Group-IB, активно используется для заражения троянами и краж денег со смартфонов на Android. Затем через обнаруженные черные ходы на компьютер загружаются программы, которые проверяют, в частности, есть ли у него связь с банковскими или бухгалтерскими программами, какой антивирус стоит и пр. Часть таких компьютеров может оказаться в банке.
Но злоумышленники не знают, на какой компьютер они попали. Чтобы справиться с проблемой, они, например, загружали модифицированную вредоносную программу, выясняющую, есть ли следы работы с банковскими или бухгалтерскими приложениями. "В некоторых случаях это работает: повезет, и один из тысячи взломанных окажется компьютером бухгалтера, антивирус на нем окажется плохой, появляется возможность украсть деньги. Если дело касается проникновения в банковскую сеть, то мошенники в последнее время, проникнув в компьютер, часто используют законные или бесплатные инструменты удаленного управления. Это раньше нужно было писать трояны, сейчас система хищений в банках сильно автоматизируется и удешевляется, проникновение в банковскую сеть, отмечает Group-IB, "не требует особого опыта или труднодоступного программного обеспечения".
По словам источника в управлении К МВД, за обналичку киберпреступники платили 30-60% от похищенного, в зависимости от "чистоты" денег, сложности схем. Если сумма большая, деньги распыляются: скажем, заранее покупается так называемый зарплатный проект, когда 50 млн рублей через юрлицо выводится на 50 банковских карт.
Или деньги летят, например, на две тысячи Qiwi-кошельков и 100 тыс. сим-карт, а с них — на банковские карты. Для снятия денег нанимают людей, которым приходится "светиться" у банкоматов; им платят около 5% от снятого.
Если же нужно получить много и сразу, человека отправляют в отделение банка с заверенными документами от директора фирмы-однодневки, и он получает все через кассу. Когда группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения временно прекращаются. Впрочем, обналичить деньги можно где угодно: хакеры успешно пользуются зарубежными счетами.
Атака на банкомат
Новые технологии меняют схему. Проникнув в сеть банка, можно украсть деньги из банкоматов. "Сейчас хакеры проникают в корпоративную сеть банка, находят банкоматную сеть, то есть внедряются на компьютеры сотрудников, которые эти банкоматы обслуживают, и загружают вредоносное ПО на банкоматы",— рассказывает Набигаев. Сообщники хакеров, занимающиеся обналичиванием, подходят к банкоматам, а хакер удаленно дает команду устройству на выдачу наличных. Такая схема кражи денег, по его словам, набирает популярность. Случаи подобных хищений попадали в СМИ, но суммы краж, а также владельцы банкоматов не уточнялись.
Схема удобна хакерам тем, что небольшое число обнальщиков позволяет обчистить много банкоматов. "Банки могут это не сразу заметить, так как инкассация банкоматов не ежедневная, а банковские системы могут сообщать, что деньги в банкоматах еще есть,— говорит Набигаев.— Может пройти неделя, пока выяснится: деньги похищены. Найти злоумышленников трудно, так как время уже потеряно, а следы их преступления, как правило, заметаются — например, хакеры отключают камеры на банкоматах".
Проникнув в компьютерную систему финансовой организации, в июле 2016 года группа молодых людей в масках организованно атаковала 34 банкомата одного из крупнейших тайваньских банков, First Bank, унеся 83,27 млн тайваньских долларов (более $2 млн).
В августе по аналогичной схеме было похищено 12 млн бат (около $350 тыс.) из 21 банкомата Government Savings Banks в Таиланде. В сентябре подобные атаки, отмечает Group-IB, были зафиксированы в Европе, однако огласке их не предали.
"Этапы киберхищения денег у банков"
Проникновение Основной — отправка фишингового письма с вложением в виде документа с эксплойтом/макросом, исполняемого файла или запароленного архива с исполняемым файлом. Создать вложение c эксплойтом можно с помощью готовых инструментов. Для отправки исполняемого файла не требуется никаких специальных средств.
Удаленный доступ После успешного заражения все группы используют различные средства удаленного управления. Как правило, это легитимные и бесплатные инструменты.
Получение привилегий Получив удаленный доступ в сеть банка, атакующие часто применяют бесплатный инструмент, который позволяет извлекать логины и пароли в открытом виде из оперативной памяти зараженного компьютера. Исходный код этой утилиты доступен всем желающим без ограничений.
Поиск целей Имея привилегии администратора домена, мошенники начинают исследовать внутреннюю сеть банка в поисках интересующих систем. Целями могут быть системы межбанковских переводов, системы мгновенных переводов для физических лиц, сети управления банкоматами, платежные шлюзы, карточный процессинг. Поиск осуществляется в ручном режиме и не требует специальных инструментов.
Работа с целевыми системами Обнаружив интересующие системы, злоумышленники с помощью тех же средств удаленного управления отслеживают действия легальных операторов, чтобы впоследствии повторить их шаги и отправить деньги на подконтрольные счета. Более продвинутые группы используют готовые инструменты для модификации платежных документов — простые скрипты или исполняемые файлы, повторяющие работу скриптов, которые автоматизируют формирование мошеннических платежей.
Обналичивание Если первые пять этапов доступны многим хакерам и каждый из них можно реализовать с минимальными затратами, то для обналичивания больших объемов денежных средств нужны люди с опытом и ресурсами. Поэтому, когда профессиональные группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения прекращаются.
"Летняя волна хищений была лишь тестированием возможностей атак на банкоматы, которые в будущем станут одним из основных векторов целевых кибернападений на банки",— считают эксперты Group-IB. Группу, обчищающую по этой схеме банкоматы, компания назвала Cobalt. Она, по информации Group-IB, атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии. Техника проникновения в банки, отмечают эксперты по кибербезопасности, идентична методам, использованным группой Buhtrap. "Можно предполагать, что как минимум часть участников Buhtrap вошла в Cobalt или, что не менее вероятно, костяк Buhtrap просто переключился на атаки на банкоматы",— отмечает Group-IB.
Компания Group-IB считает, что против российских финансовых учреждений работает пять преступных групп, по многим признакам — русскоязычных. Собственно "кодеров", тех, кто пишет программы, используемые хакерами, немного, говорят расследователи киберпреступлений. И они, как правило, не участвуют в хищениях. Большинство кибервзломщиков копируют уже известное или используют имеющиеся в свободном доступе наработки.
Действуют они не в одиночку, поскольку реальную сложность для них представляет только финальный этап — обналичивание. "Такие группы работают с теми, кто занимается обналичкой. А это ОПГ.
Быстрые деньги
Кто ограбил Металлинвестбанк, официально не разглашается, но едва ли хакерская группа Buhtrap отличается по своему составу от аналогичных. Как правило, говорит Сергей Голованов из "Лаборатории Касперского", это молодые образованные ребята, у которых была твердая пятерка по информатике в школе и которые неплохо закончили технический вуз: "Они попробовали один раз украсть деньги, и у них получилось. Они понимают, что после университета у них по большому счету есть следующие варианты карьеры: работать на дядю по восемь--десять часов в офисе или в свободном режиме писать вредоносные программы и таким образом зарабатывать деньги".
Выбор для многих мошенников очевиден: есть опыт знакомых, которые на киберпреступлениях поднялись. С гламурным имиджем, далеким от уголовного. В компьютерных преступлениях в РФ доминируют банковские преступления То есть российские кибермошенники крадут в основном деньги. Сегодня, по словам Голованова, в мире есть два основных географических региона, где сконцентрированы злоумышленники, которые охотятся за деньгами банков и их клиентов,— Россия и страны СНГ, а также Бразилия.
Самый знаменитый из российских хакеров, видимо, 30-летний Дмитрий Федотов, также известный как Paunch (брюхо), чьи программы с эксплойтами Blackhole и Cool Exploit Kit обеспечили 40% заражений по всему миру, а ущерб от них исчислялся миллиардами долларов. Долларовый миллионер ездил по Тольятти на единственном в городе белом "Кайене", что и помогло его арестовать. В апреле 2016 года он был осужден на семь лет — случай беспрецедентный, поскольку сам Федотов в киберхищениях не участвовал, только писал для них программы.
Основные разработчики вредоносного обеспечения — русскоговорящие, и живут они по всему миру: "У таких людей высокий IQ, недостаток внимания родителей в детстве, отсутствие понимания, что такое хорошо и что такое плохо. Возможно, это потерянное поколение 1990-х".
16 из 19 известных банковских троянов связаны с русскоязычными хакерами, а российские кибервзломщики весьма успешно захватывают мировой рынок хакерского программного обеспечения.
"Появились маленькие преступные IT-компании, которые делают все необходимые для киберкраж инструменты. Теперь не нужно иметь 20-летний опыт, чтобы заняться компьютерной преступностью". И стоит это, говорит источник в управлении К МВД, дешево.
Кому выгодны преступления русских хакеров
После серии арестов в 2016 году (помимо членов Buhtrap задержали создателей банковского трояна Lurk, с помощью которого, по данным "Лаборатории Касперского", учувствовавшей в поимке, за последние пять лет украли 3 млрд рублей) мошенники стали переориентироваться на заграницу. Русскоязычные — как правило, из России и с Украины — хакеры вовсю администрируют крупные ботнеты, в которые уже попадают устройства "интернета вещей": умные холодильники, чайники и телевизоры. (И кажется, единственный способ быть уверенным, что ваша новая стиральная машина не взломала банк,— не подключать ее к сети.)
Эти хакеры сформировали рынок соответствующих услуг, отмечает Михаил Кондрашин, технический директор занимающейся анализом киберпреступности компании Trend Micro в России. Появившись году в 2004-м, русскоязычный хакерский андерграунд, по его словам, "кардинально изменил расстановку сил" в мире: "Теперь злоумышленникам не нужно было изобретать велосипед. Достаточно найти подходящего поставщика товара или услуги и реализовать задуманное сразу,— поясняет Кондрашин.— В результате атаки в интернете стали более сложными и многокомпонентными". Group-IB прогнозирует, что русскоязычные хакеры, получив успешный опыт атак на банки России и Украины, будут уходить в другие регионы мира.
В России хакеры занялись ограблением игроманов. Есть тысячи пострадавших от нового вируса XMRig. Майнер выводит компьютеры из строя, тормозит работу и похищает данные. Программа распространяется под видом бесплатной версии какой-либо известной игры. Под угрозой пользователи в РФ, Белоруссии, Казахстане, Бразилии и Германии, сообщает телеканал «Известия».
Поо словам главы департамента расследований T.Hunter Игоря Бедерова, пользователи могут лишиться своих игровых аккаунтов, валюты или даже данных банковских карт. Наконец, зараженные устройства могут быть включены в ботнет для массовой добычи криптовалюты в интересах злоумышленников . Чтобы избежать заражения, эксперты рекомендуют скачивать игры только из официальных источников. Но основная мера безопасности — антивирус с защитой от майнеров. Не стоит спешить скачивать только что опубликованные релизы программного обеспечения. Понять, что компьютер заражен майнером, можно по загрузке, говорят специалисты. Если все ресурсы заняты без видимой причины, машину стоит проверить
Кардинг
Один из самых распространенных видов «технологического» мошенничества — махинации с банковскими картами. Не удивительно, ведь сегодня практически все повсеместно расплачиваются карточками. Но безопасны ли такие платежи?
Большинство случаев мошенничества приходится на интернет-платежи, проходящие по схеме card-not-present (для проведения транзакции требуются лишь данные, написанные на карте и легко добываемые на теневых маркетах). Для борьбы с такими схемами изобрели 3-D Secure — схему дополнительной авторизации, использующую три сущности домена: домен интернет-магазина, домен платежной системы и домен банка-эквайера. Однако часть крупных магазинов, таких как Amazon, не готова работать с 3-D Secure, что является приятной новостью для мошенников.
Клонирование магнитной полосы
Несмотря на то, что современные карты оснащены чипом, клонирование магнитной полосы — второй по популярности вид мошенничества. Дело в том, что во многих магазинах США при оплате смарт картой можно провести транзакцию с использованием магнитной полосы. А если терминал откажется принимать магнитную полосу, есть схема technical fallback, работающая по Америке (как Северной, так и Южной) и Европе. Просто вставьте в терминал/банкомат карту с несуществующим чипом, и после трех неудачных попыток терминал предложит провести операцию с использованием магнитной полосы. В России терминалы не должны принимать к оплате магнитную полосу, если карта оснащена чипом. Однако, в некоторых магазинах можно встретить терминалы, принимающие операции по technical fallback. И к тому же, никто не запрещает злоумышленникам передавать данные в Европу/Америку для дальнейшей монетизации.
Офлайновая аутентификация
По современным правилам платежных систем, 99.9% операций должны совершаться онлайн (криптограмма подтверждается на стороне банка-эмитента), за исключением оплаты в метро, на самолетах и круизных лайнерах. В таких местах интернет не всегда работает стабильно. К тому же множество платежных систем работало раньше по Floor limit — операции выше определенного лимита подтверждалось онлайн, а ниже — самим терминалом. Несколько лет назад количество таких терминалов (особенно в Америке и Европе) было достаточно велико, чтобы атаковать недостатки офлайновой аутентификации карт.
Человеческий фактор
Человек — самое слабое звено в любой системе, насколько бы надежной она не была. Злоумышленники легко обходят защиту сетевого периметра с помощью банального фишинга, который доставляет вредоносное ПО в корпоративную сеть. Сотрудник банка может легко перейти по подозрительной ссылке в письме или скачать неопознанный файл. Что уж говорить об обычных пользователях. Ситуацию усугубляет то, что практически у каждого на смартфоне есть сервис системы дистанционного банковского обслуживания (например, мобильный банк). Рассмотрим типичную схему на примере вируса «5-ый рейх» от челябинских «кибер-фашистов» (система управления имела нацистскую символику).
Ничего не подозревающий пользователь скачивал троянскую программу, маскирующуюся под Adobe Flash Player. При установке программа запрашивала права администратора. Когда юзер запускал банковское приложение, троян подменял оригинальное окно на фишинговое, куда вводились необходимые данные, которые потом отсылались на сервер злоумышленников. Обладая логином, паролем и доступом ко всем СМС, в том числе и с банковскими кодами, мошенники могли успешно совершать банковские переводы. Программа распространялась с помощью СМС-рассылки с вредоносной ссылкой.
Проникновение в корпоративные сети после инсталляция вредоносного ПО
По данным исследования Positive Technologies, специалистам компании удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществлялось управление банкоматами. В 17% банков недостаточны защищены системы карточного процессинга, что позволяет манипулировать балансом на карточных счетах, указано в отчете. Уровень защиты сетевого периметра банков обычно выше, чем у других компаний, однако все еще далек от идеала.
Большую опасность для банков представляют интерфейсы удаленного доступа и управления (такие как SSH, Telnet, протоколы доступа к файловым серверам), которые зачастую доступны любому пользователю. Исследование также показало, слабым звеном являются и сотрудники банка, а также внутренние злоумышленники. В некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего доступом лишь к сетевым розеткам (охранники, уборщики). После получения доступа к внутренней сети, злоумышленникам необходимо завладеть привилегиями локального администратора на компьютере сотрудника или серверах. Атаки, согласно аналитике, полагаются, в основном, на слабую парольную политику (легкие пароли, стандартные учетные записи, плохая групповая политика) и недостаточную защиту от восстановления паролей из памяти ОС. Перемещаясь по внутренней сети с помощью уязвимостей и локального ПО, не вызывающего подозрения, злоумышленники могут получить полный контроль над инфраструктурой банка.
В целом атаку на банковскую систему можно описать следующими шагами:
Проникновение
Удаленный доступ
Получение привилегий
Поиск целей
Работа с целевыми системами
Обналичивание
Хакерские организации
КНДР
Ох, в каких только грехах не обвиняют Северную Корею. Ущемление свобод граждан, тоталитаризм, наркоторговля, агрессивная внешняя политика. Но в плане кибератак Северная Корея, пожалуй, переплюнула все остальные страны. Хакерские атаки, курируемые государством, приносят стране огромные деньги. Вероятное место базирования хакеров — гостиница «Рюгер» в Пхеньяне.
По оценкам ООН, всего Северная Корея заработала на хакерский кампаниях порядка 2-х миллиардов долларов, и это при 28 миллиардов долларов ВВП (на 2016 год)! 7% процентов — это не хило. Также не хило, как и спонсирование хакерской программы. По неофициальным данным (да и с чего бы им быть официальными в отношении КНДР?) до 20% годового военного бюджета тратится на хакерскую программу. Периодически, в школах КНДР проводятся специальные тестирования школьников, по результатам которых ученики старших классов отправляются углубленно изучать информатику. Вот оно, начало становления киберсолдата Ким Чен Ына. Зачастую, действия хакеров из КНДР связывают с хакерской организацией Lazarus. Одни из самых крупных атак, произведенные этой группой, являются атака на Sony в 2014 году(предположительно, за фильм «Интервью» 2014 года), атака на Центробанк Бангладеша в 2016 и запуск вируса-вымогателя WannaCry в 2017 году(который поразил более 200 тысяч компьютеров по всему миру). Считается, что Lazarus Group была создана в 2007 году под управление генерального штаба КНДР.
OldGremlin
Эта русскоязычная хакерская группировка, которая заявила о себе в 2020 году. Первая атака датируется мартом-апрелем 2020 года. На волне коронавируса OldGremlin от имени Союза микрофинансовых организаций «МиР» рассылала по финансовым организациям рекомендации по обеспечению безопасности на период пандемии. В целом, тактику этой группы можно охарактеризовать как конъюнктурную. В течение 2020 года они рассылали письма с вредоносной ссылкой в связи с различными общественными событиями: ковид, политические волнения в СНГ.
Silence
Эта группировка отличается тем, что в ней можно выделить 2 основные роли: оператора и разработчика. Возможно, в неё входит всего два человека! Конечно, это не уменьшает нанесенный ею вред. Подтвержденный ущерб от этой организации оценивается от 52 миллионов рублей (по другой информации 272 миллиона). Слитая схема группировки:
1 Оператор. Хорошо знаком на проведение тестов на проникновение, что позволяет ему отлично ориентироваться внутри банковской инфраструктуры. Роль в группе - получает доступ к защищенным системам внутри банка, запускает процесс хищений
2. Разработчик. Является высококвалифицированным реверс-инженером с развитой логикой и программированием. Роль в группе - разрабатывает инструменты для проведения онлайн атак, а также модифицирует сложные эксплойты и программы (банковские трои типа Gozi, Zeus).
Хронология атак Silence в отчете 2018 года от Group-IB
Дата Характеристика атаки
2016 год, июль Неудачная попытка вывода средств через российскую систему межбанковских переводов.
2016 год, август Попытка взлома того же банка. Атака предотвращена.
2017 год, октябрь Атака на сеть банкоматов. За одну ночь Silence похитили порядка 7 миллионов рублей.
2018 год февраль Атака через карточный процессинг. Через банкоматы злоумышленники сняли порядка 35 миллионов рублей.
2018 год, апрель Предыдущая схема. За ночь Silence похитили 10 миллионов рублей.
Многие зимой 2013 года наблюдали фантастические происшествия с банкоматами, когда люди шли по улице и видели, что банкоматы начинает выдавать деньги. Просто так. Что тут вообще происходит? Наверное, такой вопрос возникал у людей в декабре 2013 года, когда они лицезрели подобную картину. Ущерб от международной группировки хакеров из России, Китая и стран Европы оценивают приблизительно в один миллиард долларов. С помощью почтовой рассылки хакерами распространялся вирус Carbanak — он затронул порядка 100 финансовых организаций по всему миру. От момента заражения до кражи проходило порядка 2-4 месяцев. Одним из путей кражи денег были банкоматы. В определенный момент хакерами подавалась команда банкомату на выдачу наличных. Похитителям нужно было просто прийти и забрать деньги.
Итак, группировка рассылала электронные письма с бекдором Carbanak да так, что работники банков из-за любопытства открывали их. Через некоторое время вирус приступал к поиску компьютера администратора и параллельно скринил ценные данные с экранов служащих, фиксируя системы и логику денежных переводов. Через 2-4 месяца мошенники запускали онлайн-переводы на свои неприметные счета, применяли системы электронных платеже для перевода денег в китайские, американские банки и другие банки, также в некоторых счетах завышали баланс и присваивали "лишние" средства через фальшивую транзакцию. Перед новым годом Silence взяла сотни банкоматов под свое управление при котором определенный банкомат в определенное время начинал выдавать деньги
Эх, нужно было закупаться биткоином в 2010 году и жить припеваючи. Интересно, а как поступили хакеры с украденными 850 тысячами биткоинов в 2013 году? Ну, этого мы уже не узнаем. На момент кражи такое количество биткоинов равнялось примерно 480 миллионам долларов. Через 10 лет столько биткоинов стоят уже 51 миллиард. !
Биткоины со счетов клиентов начали утекать еще с 2011 года: тогда криптовалюта переживала первый бум в своей истории, в июне 2011 года цена на нее росла в геометрической прогрессии, что вызвало интерес хакеров. Мошенники создали фальшивые ордера и вывели несколько десятков тысяч биткоинов.
Криптобиржа Mt.Gox стала одной из первых, которая пострадала от преступных действий кибермошенников. В 2011 году хакеры похитили 25 000 биткоинов, которые в то время оценивались в $400 тыс. На тот момент биржа обрабатывала почти 70% всех транзакций в биткоинах.
В 2014 году Mt.Gox подверглась еще одной атаке, в результате которой было потеряно почти 650 000 биткоинов, числившихся на кошельках клиентов, и 100 000 биткоинов, принадлежавших самой бирже. Это составляло примерно 7% всех биткоинов, находящихся в обращении на тот момент. Общая сумма ущерба по итогам двух кибер-атак превысила $473 млн.
Спустя некоторое время после второй атаки Mt.Gox объявила о банкротстве, а общий долг биржи перед клиентами оценили в $414 млн.
В определенный момент у Mt.Gox начали возникать проблемы, что привело к оттоку клиентов. Но они начали обнаруживать, что средства со счетов могут выводиться по несколько недель, а то и месяцев. По итогу биржа была закрыта, кто-то успел вывести, а кто-то не успел, как говорится «кто успел, тот пролетел». Любопытно, что через некоторое время, владелец биржи внезапно обнаружил на одном из счетов 200 тысяч биткоинов. Дело о краже все ещё ведется.
Lazarus
HP LaserJet 400 — лазерный принтер. Стоит порядка 20 тысяч рублей. Одним прекрасным (как окажется дальше — нет) утром в Центробанке Бангладеша такой принтер в небольшой каморке без окон перестал работать. Но этот принтер был не простой. У него была очень важная задача — он должен был автоматически распечатывать физические записи SWIFT-транзакций банка. Но 5 февраля 2016 года лоток для печати был пуст. Сотрудники банка пытались привести его в чувство, но безуспешно.
Это был не обычный сбой. Этот сбой был кульминацией хакерской атаки Lazarus. Lazarus взломали компьютер в Центробанке и получили доступ к учетной записи банка в системе SWIFT, которая обладала огромными возможностями. В том числе позволяла совершать транзакции. Здесь стоит сделать отступление, и сказать, что Центробанк Бангладеша хранит часть денег в Федеральном резервном банке Нью-Йорка. 4 февраля Центробанк Бангладеша, сам того не желая, инициировал несколько десятков платежей общей суммой 951 миллион долларов. Таким образом, хакеры отправили запрос в Нью-Йорк, о котором в Бангладеше никто и не подозревал. Когда сотрудники банка узнали обо всей серьезности ситуации, было уже поздно. Рабочий день в Нью-Йорке уже завершился, и все сотрудники ушли на выходные.
Понедельник принес несколько новостей: как хороших, так и плохих. Поводом для хороших новостей послужила бдительность коллег из Нью-Йорка: транзакции на 870 миллионов долларов были отменены. Из-за английского языка. Одна из транзакций была направлена к странному получателю — Shalika Fandation в Шри-Ланке. Видимо, хакеры из Lazarus хотели отправить деньги на счет несуществующей организации Shalika Foundation, но грамотность их подвела. Плохой новостью оказалось то, что транзакции на 81 миллион были одобрены и деньги ушли на подставные счета на Филиппинах и в Шри-Ланке. Из возможных 951 миллиона хакеры получили только 81 миллион — 8.5 процентов.
Metel
Название группы Metel происходит от названия одноименной малвари, которую применяют злоумышленники. Вредонос также известен под именем Corkow.
Для заражения корпоративных сетей банков хакеры используют таргетированные фишинговые атаки, рассылая письма с вредоносными вложениями или используя эксплоит Niteris, направленный на уязвимости в браузерах. В случае успешного заражения, для «закрепления успеха» атакующие применяют легальные технологии, предназначенные для пентестинга. В итоге хакерам удается получить в свое распоряжение контроллер локального домена, а затем и доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.
Но примечательна группа Metel не этим, а изобретением интересного метода снятия украденных денег в банкоматах. Злоумышленники посылают своих сообщников в банкоматы других банков, чтобы те сняли деньги с действительного банковского счета в зараженном банке. Так как на данном этапе злоумышленники уже контролируют ресурсы внутри зараженного банка и имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), они осуществляют откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. Пропажа средств обнаруживается позже, когда след хакеров уже простыл.
Специалисты GReAT рассказали, что хакеры ездили по разным городам России и в течение всего одной ночи снимали через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. Только в одну из таких ночей преступники похитили несколько миллионов рублей. Это свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают все, что им нужно, и сворачивают операцию в течение считанных дней или даже часов.
На данный момент от малвари Metel пострадали более 30 финансовых учреждений.
GCMAN
Хакеры из GCMAN действуют иначе – их конек, это скрытность. Группа получила имя в честь GCC (GNU Compiler Collection), который используется в их кастомной малвари. Эти парни предпочитают заражать банки по-тихому, не привлекая внимания, а затем переводят средства малыми суммами, используя различные сервисы криптовалют.
Для заражения сетей финансовых учреждений злоумышленники тоже используют таргетированый почтовый фишинг. Если жертва откроет вредоносный RAR-архив, присланный во вложении, дело можно считать сделанным – компьютер заражен вредоносом GCMAN.
Впрочем, эксперты отмечают, что хакеры далеко не всегда использовали фишинг. Группа проводит успешные атаки, не применяя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты для пентестов. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка.
В отличие от Metel, GCMAN никуда не торопятся и подходят к делу обстоятельно. В одном случае злоумышленники находились в зараженной системе полтора года, прежде чем начали красть деньги. Но когда атака входит в активную фазу и перевод средств начинается, хакеры не медлят. Каждую минуту группа GCMAN может переводить до $200 – лимит для анонимных платежей в России. Все украденные деньги уходят на различные криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием средств. Поручения на транзакции в таких случаях направляются напрямую в банковский платежный шлюз, но не отображаются ни в одной из внутренних банковских систем.
Группировка: ANUNAK
Цели: Системы межбанковских переводов, системы мгновенных переводов для физических лиц, сети управления банкоматами, платежные шлюзы, карточный процессинг, POS-терминалы, трейдинговые платформы, государственные структуры.
Почему важна: Группа, ответственная за первые успешные целевые атаки на банки в России. Самая опытная группа: в 2013-2014 году атаковала более 50 российских банков и 5 платежных систем, похитив в общей сложности более 1 млрд рублей. Также атаковала POS-терминалы американских и европейских ритейл-сетей. Активно вовлекала людей в атаки и делилась опытом. Имеет целый ряд последователей, копирующих ее тактику.
Статус: Не совершила ни одного успешного хищения на территории России с начала 2015 года, троян еще используется для атак на компании за пределами СНГ. В России зафиксированы атаки с использованием ее вредоносной программы; цель таких атак — шпионаж.
Группировка: CORKOW
Цели: Карточный процессинг, банкоматы, биржевые терминалы.
Почему важна: В феврале 2015 года совершила первую в мировой практике атаку на брокера, вызвавшую аномальную волатильность на валютном рынке. Заразив внутреннюю сеть банка, преступники получили доступ к биржевому терминалу и провели серию операций, повлекшую скачок курса доллара по отношению к рублю почти на 20%. Ущерб банка составил 224 млн рублей.
Статус: Приостановила деятельность.
Группировка: BUHTRAP
Цели: Системы межбанковских переводов.
Почему важна: Образец успешной переориентации группы, занимавшей лидирующие позиции по объему хищений у юридических лиц. С августа 2015 по февраль 2016 года совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей. В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка.
Статус: Приостановила атаки на банки, продолжаются хищения у юридических лиц с помощью бот-сети, проданной другим атакующим.
Группировка: LURK
Цели: Системы межбанковских переводов.
Почему важна: Разработала один из самых продвинутых троянов для хищений у юридических лиц, позволявший незаметно для пользователя подменять реквизиты и сумму платежа в системах интернет-банкинга, а также обходить SMS-подтверждение платежей. В феврале 2015 года похитила 150 млн рублей из российского банка, после чего совершила еще две неудачных попытки атак в России и на Украине.
Статус: Участники преступной группы задержаны в мае 2016 года. Часть атакующих остается на свободе и в ближайшее время может вернуться к целенаправленным атакам на системы межбанковских переводов
А что в России?
Говорят, у российских продвинутых хакеров есть свой негласный «кодекс чести». Многим свойственно романтизировать образ киберпреступников, делая из них цифровых Робин Гудов. Одно из правил русскоязычных злоумышленников — «не работать по РУ». Правда непонятно, чего тут больше, патриотизма или страха перед ФСБ. Многие хакерские группировки «забивают» на это правило, действуя исключительно в СНГ. Достаточно вспомнить знаменитую OldGremlin, атакующую исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.
В России на электронных кражах специализируются порядка десяти преступных групп, каждая из которых совершает около пятисот преступлений ежедневно. От криминальных инженеров достается не только рядовым гражданам, но и крупным корпорациям — диверсионные атаки на банки, шантаж и вымогательство крупных сумм в биткоинах стали серийными.
В результате хакерской атаки один из российских банков потерял несколько миллионов рублей. Личности взломщиков удалось установить случайно: один из них попался с наркотиками около «закладки», заложенной оперативниками МВД в совершенно иных целях. При обыске в квартире задержанного полицейские нашли оборудование и ПО, использовавшееся для киберпреступлений. В обмен на смягчение наказания молодой человек выдал сообщников и раскрыл схему.
Преступники работали так: брали под контроль процессинговую систему банка-жертвы, заводили карты на так называемых дропов, убирали лимит на снятие наличных и включали овердрафт. Дропы за процент снимали наличные в банкоматах и за вычетом процентов отдавали одному из участников преступной группы. Позже банду задержали в Азии, экстрадировали и осудили.
12 апреля 2021 года Центральный Банк России сообщил о росте потерь россиян от кибермошенников на 52% в 2020 году, до 9,77 миллиарда рублей. Ответственность за преступления в сфере компьютерной информации описана в 28 главе УК РФ.
Статья 272. Неправомерный доступ к компьютерной информации
Статья 272.1. Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
Статья 274.2. Нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования
На данный момент не существует единого подхода к пониманию киберпреступления и информационного пространства, что в свою очередь ведет к разному пониманию однородных преступлений в законодательстве различных стран. Если говорить о России, то ее законодательство в плане киберпреступлений ничем особым не выделяется.
Для решение любой проблемы, необходимо понять её причины. Причин, почему банки, несмотря на совершенствование систем безопасности, остаются подверженными хакерским атакам несколько. Первая причина: отсутствие законодательной базы единых стандартов безопасности. Вторая причина: стремление банков экономить на системах безопасности. Третья причина: отсутствие необходимой корпоративной культуры в сфере кибербезопасности. Это три кита, без которых не получится грамотно противостоять атакам хакеров, и устранение этих причин — первый шаг на пути к снижению количества киберпреступлений в банковской сфере. Естественно, что уровень изощренности хакеров будет расти вместе с уровнем систем безопасности. Но если сотрудники банков будут и впредь переходить по подозрительным ссылкам в электронной почте, то и у хакеров будет намного больше возможностей для получения выгоды.
«Первая причина: отсутствие законодательной базы единых стандартов безопасности.»
Вот уж чего-чего у банков, много стандартов и требований. И кстати неплохих
«Вторая причина: стремление банков экономить на системах безопасности.»(единых стандартов есть только два — PCI DSS и PA DSS, не? СТО БР чисто российский, и рекомендальный)
Банкам все это тупо не интересно — закладывается в потери и страховку. Плюс неинтересно руководителям ИБ банков. Это слишком недешевые и скучные проекты на фоне куда более привлекательных и интересных
По сути грабят не банки, а клиентов банков, потому банки и не шевелятся. Зачем что то менять, если по каждому списанию можно сказать что клиент сам передал все данные.
О какой безопасности можно говорить, когда ключи шифрования из Центробанка передаются на дискетах. И нормативные документы проверяют журнал, введены эти дискеты в эксплуатацию или выведены.
IT-безопасник всего один. Основная его работа состоит в написании многочисленных писем в ЦБ и ФСБ.
Стоят файрволлы, антивирусы и всё, а вот систем обнаружения вторжений с отделом безопасности именно максимально квалифицированного - нет.
Шокирует рабочий момент в одном филиальном российском банке, когда прилетела злобная бумага из головного банка в эпохальный период. После жесткого пропесочивания, компьютер сотрудника, отвечающий за межбанковские платежи, перенесли в отдельную сеть и все платёжки в ЦБ девушка стала отправлять через флешку и видеокамеру, установленную напротив неё.
А по факту банкиры очень хорошо считают деньги, сколько они заработают на системе обнаружения вторжений? Нисколько, поэтому финансирование идёт по остаточному принципе в одном бюджете с картриджами и аккумуляторами для бесперебойников.
в середине июня 2017 года, окружной суд Нью-Джерси (США) должен огласить приговор двум гражданам России — Владимиру Дринкману и Дмитрию Смилянцу. Их, а также их подельников, россиян Александра Калинина и Романа Котова и гражданина Украины Михаила Рытикова (правда, эти трое находятся в международном розыске) обвиняют в том, что в течение семи лет — с 2005 по 2012 год — они похитили и перепродали данные 160 млн кредитных карт, сняли средства с 800 тыс. счетов по всему миру и причинили совокупный убыток более чем в 300 млн долларов.
Список корпоративных жертв хакеров впечатляет: NASDAQ, Dow Jones, Visa, платежная компания Heartland, торговые сети Carrefour S.A. и 7-Eleven, бельгийский банк Dexia Bank, авиакомпания Jet Blue и многие другие. Как видите, нынешняя паранойя американцев по поводу российских хакеров вообще-то не лишена оснований. «Они показывают меня как лидера группировки, которая разрушала финансовую инфраструктуру США в течение десяти лет», — пожаловался Владимир Дринкман журналистам Bloomberg. Он признался, что не верит в честное разбирательство и справедливый приговор.
Говорят, что хакеров выдал американец Альберто Гонсалес, который вместе с ними «вскрывал» Heartland и в 2010 году получил приговор в 20 лет тюрьмы.
27 лет тюрьмы — такой приговор вынес федеральный суд Сиэтла (США) сыну депутата Госдумы от ЛДПР Роману Селезневу. Это самый суровый приговор, когда-либо выносимый в США за киберпреступления. Депутат Валерий Селезнев и МИД РФ видят в этом недружелюбное отношение к России, но давайте посмотрим, чем так разозлил американскую Фемиду русский хакер: 3 700 финансовых учреждений, более 500 компаний по всему миру, 2 млн скомпрометированных кредиток — ущерб, причиненный Селезневым, прокуратура оценила не менее чем в 170 млн долларов. Но Роман Селезнев не только похищал и продавал данные кредиток. Он был криминальным предпринимателем, чьи новации преобразили индустрию кардинга. Хакер создал два пункта продажи реквизитов банковских карт — по сути, «магазины» ворованных данных. По словам прокурора США, благодаря этим сервисам заниматься карточным мошенничеством стало проще, чем покупать книги на Amazon.com. Селезнев пытался задобрить судью письмом, в котором описывал свое тяжелое детство с разведенной и много работающей матерью, но это не помогло. Арестовали хакера на Мальдивских островах. А ему действительно досталось от жизни. Несколько лет назад Роман Селезнев серьезно пострадал во время теракта: вместо трети черепа у него — титановая пластина.
Самый известный в мире спамер — бразилец Валдир Пауло де Алмейда на момент ареста в 2005 году содержал команду из 18 человек, которая рассылала 3 млн фишинговых писем в день. В рассылках был спрятан «троян», ворующий данные у посетителей онлайн-сервисов банков — преимущественно бразильских, но пострадали и зарубежные. По оценкам, за два года спамерам удалось похитить с карт 37 млн долларов. Среди пострадавших — не только частные лица, но и несколько фондов.
Василий Горшков и Алексей Иванов, сидя за домашними компьютерами в родном Челябинске, проникли в корпоративные сети PayPal, Western Union, американского представительства корейского банка Nara Bank и украли 16 тыс. номеров кредитных карт. Причиненный ими ущерб составил 25 млн долларов. Эта история интересна тем, как ловили челябинских парней. ФБР, которое вышло на хакеров и собрало доказательства их причастности, порывшись в их компьютерах (за что получило обвинение в несанкционированном доступе от ФСБ), решило выманить преступников из Челябинска. Для чего была создана подставная фирма Invita Computer Security, которая пригласила талантливых программистов поработать над системой безопасности. Арестовали хакеров в аэропорту Сиэтла, куда они прилетели на собеседование. Иванов в итоге получил четыре года лишения свободы, а Горшков — три, а также штраф почти в 700 тыс. долларов.
Скромный питерский интеллигент Владимир Левин в 1991 году защитил диплом про вирусы гриппа на территории СССР, а в 1994 году взломал внутреннюю сеть Citibank и вывел со счетов корпоративных клиентов банка 10,7 млн долларов на счета, расположенные в США, Израиле, Германии и других странах. Почти все деньги банку удалось вернуть, кроме примерно 400 тыс. долларов.
Показательно, что профессионально программированием Левин не занимался, это было его хобби. А английский язык он и вовсе знал лишь в пределах компьютерной терминологии. Общую лексику и грамматику пришлось подтягивать уже в тюрьме: сначала английской, потом американской. Хакера арестовали в Лондоне в марте 1995 года и позже приговорили к трем годам лишения свободы и штрафу в 240 015 долларов. В 2005 году появилась информация, что у Левина не было даже хакерских талантов: якобы систему Citibank взломали другие хакеры, а Левину просто продали алгоритм всего лишь за 100 долларов.
Титул крупнейшего в истории мошенника в сфере пластиковых карт принадлежит американцу кубинского происхождения Альберто Гонсалесу: в 2005—2007 годах ему удалось собрать данные 170 млн платежных карт.
Еще в 2002 году, будучи 21 года от роду, он создал «биржу хакеров» Shadowcrew, где можно было обменять, продать или купить ворованные данные по банковским картам. Через год на эту площадку вышло ФБР и предложило Гонсалесу или обвинения, или сотрудничество, предполагающее зарплату в 75 тыс. долларов. Гонсалес выбрал сотрудничество с федеральными органами, в результате чего в 2004 году было арестовано 28 хакеров. При этом сам Гонсалес вовсе не бросал любимое дело, продолжая взламывать сети крупных магазинов США и воруя там данные кредитных карт. Эксперты полагают, что всего хакер смог заработать за свою карьеру около 10 млн долларов. Гонсалеса арестовали в 2008 году, он попался на взломе сети общественного питания Dave & Buster's, и, уже когда он находился под стражей, ему предъявили обвинение и во взломе Heartland. Кстати, говорят, что именно Гонсалес сдал следствию имена своих сообщников в этом деле — Дринкмана и Смилянца. Полиция изъяла у хакера 1,6 млн долларов наличными, причем 1,1 млн были спрятаны в пластиковые пакеты и закопаны на заднем дворе родительского дома. В 2010 году суд приговорил Альберто Гонсалеса к 20 годам тюрьмы.
Ключевой причиной популярности блокчейна и криптовалют является их децентрализованный характер, при котором каждая транзакция может быть проверена и обеспечена. Однако, несмотря на это, некоторые злоумышленники находят способы атаковать блокчейн-сети и украсть сотни миллионов долларов. Блокчейн можно атаковать различными способами, такими как фишинг или вредоносный код. Кибератаки чаще всего направлены на криптокошелек, криптобиржу или кросс-чейн мосты. Согласно данным платформы Chainalysis, в 2022 году кибермошенники украли более $3,8 млрд. В 202х годах тенденция краж средств таким способом замедлилась, однако угроза хищения путем кибератак сохранилась
2 августа 2016 года гонконгская криптовалютная биржа Bitfinex сообщила о том, что биткоин-кошельки более чем 50 тыс. клиентов были взломаны и из них похищено 119 756 биткоинов. По курсу того дня это равнялось примерно 65 млн долларов.
Это крупнейшая хакерская атака на криптовалюту после случая с Mt.Gox, хотя ее последствия для курса криптовалюты оказались меньше. Прошлой осенью атака продолжилась, после чего к расследованию преступлений подключилось ФБР, а сама биржа опубликовала письмо к анонимному хакеру с просьбой рассказать об уязвимости в системе безопасности Bitfinex в обмен на крупный денежный приз и обещание снять все предъявленные обвинения..
Крупнейшее кибер-ограбление в мировой истории произошло в марте 2022 года. Хакеры атаковали сеть Ronnin, поддерживающую популярную игровую блокчейн-платформу Axie Infinity. Мошенники украли криптовалюту эфир и стейблкоин USDC на общую сумму порядка $625 млн. Позже стало известно, что хакеры похитили 173 600 эфиров на $595 млн и более $25,5 млн в USDC.
Власти США провели расследование и возложили ответственность за кражу средств Ronnin на хакерскую группа Lazarus Group, поддерживаемую Северной Кореей. Месяц спустя биржа Binance вернула часть украденных средств пострадавшим на сумму $5,8 млн.
В августе 2021 года хакер воспользовался уязвимостью в системе Poly Network, похитив средства на сумму чуть более $600 млн. Взлом затронул активы в биткоине, эфире и других цифровых валютах. Вместо того, чтобы скрыться с похищенной суммой, криптомошенник связался с платформой для того, чтобы вернуть большую часть средств, оставив себе стейблкоин USDT на сумму $33 млн. Позже хакер заявил, что атаковал Poly Network «ради развлечения». В свою очередь Poly Network предложила хакеру награду в размере $500 тыс. за то, что он вернул средства, а также предложила ему стать ведущим советником по безопасности в компании. «Этичный хакер» отказался от предложений Poly Network.
В октябре 2022 года криптовалютная биржа Binance стала жертвой одного из самых громких кибер-ограблений. Группе хакеров удалось вывести 2 млрд токенов BNB на сумму около $570 млн. По сообщениям Binance, злоумышленники атаковали кроссчейн-мост BSC Token Hub, связанный с её цепочкой BNB, что позволило хакерам перемещать токены BNB вне сети. В бирже также отметили, что в момент атаки ей удалось заморозить лишь $7 млн похищенных средств.
Японская криптовалютная биржа Coincheck стала жертвой хакерской атаки в 2018 году. Общая сумма нанесенного ущерба составила $534 млн. Преступники вывели криптовалюту NEM со счетов биржи. Через несколько месяцев после взлома Coincheck была приобретена Monex Group - японской компанией, предоставляющей финансовые услуги. Часть капитала Coincheck была использована для погашения долгов перед клиентами, чьи средства были украдены во время атаки.
Веб-сервис Wormhole, который позволяет осуществлять транзакции между блокчейнами, был подвергнут кибератаке, в результате которой платформа потеряла $320 млн в криптовалюте. Этот инцидент является шестым по объему похищенных средств в криптоиндустрии.
Хакеры воспользовались уязвимостью в программном обеспечении Wormhole. Злоумышленники подделали подписи хранителей цифровых активов и отчеканили 120 000 эфиров на Solana, из которых они перевели 93 750 обратно в блокчейн Ethereum. Wormhole предложила хакерам $10 млн в случае если они вернут украденные средства. Киберпреступники согласись с условиями платформы.
В последний день зимы 2016 года, 29 февраля, столичный Металлинвестбанк лишился 200 млн рублей. Их, как было установлено позже, украли хакеры. Все произошло быстро. Терминалы, с которых управляется корреспондентский счет кредитного учреждения в ЦБ, начали несанкционированно отправлять с него деньги на сторонние счета. Адресаты — частные лица в коммерческих банках по всей стране.
Подозрительное поведение компьютеров в Металлинвестбанке обнаружили сразу, заверил "Деньги" зампредправления Михаил Окунев. "Это был взлом канала автоматизированного рабочего места клиента Банка России, АРМ КБР",— сказал он. Взлом, по словам Окунева, продлился около часа. Чтобы остановить переводы, банк даже запросил ЦБ отключить его от системы расчетов. К этому времени с корсчета Металлинвестбанка ушло 667 млн рублей. "Треть денег вернулась сразу, примерно треть арестована на счетах в банках, мы рассчитываем, что они к нам вернутся по результатам суда, который, как мы ожидаем, начнется в апреле",— говорит Михаил Окунев. Около 200 млн рублей, как уже было сказано, банк все же не вернул: с подконтрольных счетов злоумышленники их либо быстро обналичили, либо перевели дальше.
У этой истории — нечастый для России финал. Через три месяца, в июне 2016-го, ФСБ и МВД сообщили, что совместно в 15 регионах РФ задержали 50 человек, входящих в хакерскую группу под названием Buhtrap. Ее заметили еще в 2014 году, когда она обчищала компании. А в августе 2015-го группировка переключилась исключительно на финансовые организации:
за полгода, по февраль 2016-го, Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей, отмечает Group-IB, специализирующаяся на предотвращении и расследовании кибератак.
Рост на 300%
Хищение у Металлинвестбанка 667 млн рублей было в числе самых крупных в РФ — из тех, что были обнародованы. Средняя хакерская кража у российских банков в период с июня 2015-го по май 2016 года составляла около 140 млн рублей. Хотя были и большие суммы. "В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка",— отмечается в прошлогоднем отчете Group-IB.
Всего за 2016 год, сообщил в феврале 2017-го ЦБ, у российских коммерческих банков хакеры похитили 2,2 млрд рублей.
"Если говорить о покушениях на хищения денежных средств со счетов кредитных организаций, то в 2016 году подобным атакам подверглись девять организаций,— уточнила "Деньгам" пресс-служба регулятора.— Злоумышленники пытались похитить около 5 млрд рублей. При этом удалось остановить хищения на общую сумму порядка 2,8 млрд рублей". Очевидно, банки в 2016 году лишились бы еще большей суммы, если бы не захват членов Buhtrap, группировки, на которую, по сведениям Group-IB, приходилось две трети украденного у банков.
Общая сумма киберхищений у финансовых организаций за минувший год, впрочем, может быть и больше. По крайней мере, по подсчетам Group-IB, за период с июня 2015-го по май 2016 года у российских банков в результате целевых атак (когда жертва не случайна, а подбирается со знанием дела) хакеры похитили 2,5 млрд рублей.
Сумма целевых киберхищений у банков, по сведениям Group-IB, к аналогичному периоду 2013-2014 годов выросла на 292%. (По данным ЦБ, с июня 2015-го по май 2016 года у российских банков хакеры украли 1,37 млрд рублей.) "Нас часто обвиняют, что мы цифры завышаем,— я считаю, что мы занижаем",— подчеркивает директор департамента киберразведки Group-IB Дмитрий Волков.
Более свежих цифр за 2017 год пока у компании нет, но в банковском сообществе неофициально "Деньгам" подтверждают если не увеличение суммы украденного, то рост числа кибератак в российских финансовых организациях. (При этом сумма похищенного за один раз может и снижаться.) "Атаки ради денег самих банков совершаются все чаще. Есть мнение, что в последние несколько лет число атак удваивается ежегодно",— подтверждает Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банков (АРБ). А компания Positive Technologies, также занимающаяся расследованиями киберпреступлений, прогнозирует, что в 2017 году хакерских атак на банки в РФ будет больше на 30%. Это касается и процессинговых, брокерских структур, операторов денежных переводов — их потери от киберхищений также возрастут.
Металлинвестбанк — редкое исключение из правила. Он публично признал факт кражи и сумму ущерба от действий хакеров. О киберкражах (правда, без подробностей) сообщали также Русский международный банк и казанский Алтынбанк. Остальные предпочитают о потерях не распространяться.
Между тем в США, например, финансовые организации, если хотят избежать больших штрафов, сведения об ущербе от хакеров обязаны не только доводить до регулятора, но и раскрывать публично. У нас, говорят банкиры, такую информацию финансовые и кредитные учреждения не предавали широкой огласке, опасаясь больших имиджевых и репутационных потерь (а закон их к откровенности не обязывает).
Открытых полных данных о том, сколько хакеры украли со счетов у банков, их клиентов — физических или юридических лиц — в России нет.
Соответствующая статистика ЦБ формируется из отчетности банков, которые до 2015 года не спешили делиться с регулятором конфиденциальной информацией о киберкражах. Чуть более года назад их обязали это делать. "Данные Центробанка в целом по киберхищениям в РФ не отражают картины,— считает бывший руководитель подразделения в управлении К МВД, пожелавший остаться неназванным.— Их гораздо больше, чем говорят банки". Это, правда, касается в первую очередь киберкраж у клиентов финансовых организаций. Скрывать от ЦБ такие атаки против самих себя не в интересах банков, уверены собеседники "Денег". Но сделать это вполне реально.
"Формируя статистическую отчетность, Банк России исходит из того, что кредитные организации добросовестно подходят к формированию отчетности,— сообщила пресс-служба регулятора.— По итогам 2016 года статистика Банка России практически полностью коррелирует со статистикой МВД по такого рода преступлениям".
Несколько тысяч рублей, украденных с вашей карты,— добыча "щипачей". Профессиональные компьютерные преступники "берут" за раз сотни миллионов.
Если еще в 2013 году главной мишенью опытных хакеров были клиенты банков, то теперь — сами финансовые организации, говорят опрошенные "Деньгами" эксперты. Самые профессиональные киберпреступники, потренировавшись на компаниях, переориентировались на банки. Там риски и азарт выше, дело — сложнее, но и куш куда заманчивее.
Доход хакеров от целевых атак на банки за период с июня 2015-го по май 2016 года, по данным Group-IB, "перекрыл суммарный заработок от всех остальных способов хищений, сделав банки самой привлекательной мишенью". Если у банков за указанный период хакеры украли 2,5 млрд рублей, то у юрлиц — 956 млн, у физлиц через настольные компьютеры — 6,4 млн, у них же, но через смартфоны,— 348,6 млн.
С юрлиц за одну кражу в интернет-банкинге можно было "получить" почти в 300 раз меньше, чем с банков: 480 тыс. против 140 млн рублей.
С теми и другими работают наиболее квалифицированные хакеры — "элита". Счета обычных граждан обчищает отдельная группа кибермошенников — это, говорят эксперты, по сути, аналог малоквалифицированных щипачей в цифровую эпоху. С банковских счетов граждан через настольные персональные компьютеры они похищают в среднем за раз по 51,6 тыс. рублей, через смартфоны на Android — в среднем по 4 тыс. за раз (немного, но зато тут кражи совершаются намного чаще).
Российский рынок киберхищений, к примеру, за II кв-л 2015 — I кв-л 2016 г.
Тип хищения Число хакерских групп Средняя сумма одного хищения, руб. Общая сумма хищения, руб. Рост к прошлому периоду, %
Целевые атаки на банки 5 140 млн 2,5 млрд 292
Интернет-банкинг у юрлиц 6 480 тыс. 956 млн -50
Настольные ПК у физлиц 1 51,6 тыс. 6,4 млн -83
Смартфоны на Android у физлиц 11 4 тыс. 348,6 млн 471
Обналичивание похищаемых средств 1,7 млрд 44
Итого 5,5 млрд 44
Неуязвимых нет
Всего в стране сейчас действует около 570 коммерческих банков, и хакеры, скорее всего, прощупали всех (включая более 300 закрытых в ходе затеянной ЦБ чистки). "Банков, которые не атакуют, нет",— уверен Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies. "Атакам хакеров подвергаются все,— соглашается Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-банка.— Но в защищенный банк, откуда сложно вывести деньги, мало кто полезет".
Многие финансовые организации, прежде всего региональные, слабо готовы к кибератакам. "Банки, особенно в регионах, до сих пор уверены, что кибермошенники потрошат лишь клиентов, за что уже поплатились",— замечает топ-менеджер из банковской сферы, пожелавший остаться анонимным. По словам Эльмара Набигаева, как правило, после первой кражи банки меняют свой подход. "Сейчас вообще таких стало меньше",— отмечает он. Меньше в том числе потому, что основная масса закрывшихся банков — региональные.
Как граждане помогают хакерам себя грабить
"Готовность — разная, в зависимости от величины банка. Крупные готовы к атакам, средние и малые — не все... Но никогда нельзя быть готовым на сто процентов к предательству внутри организации вне зависимости от размера банка",— замечает Эльман Мехтиев из АРБ. Роман Чаплыгин, директор направления анализа и контроля рисков кибербезопасности PwC, обращает внимание на нехватку финансирования: "В России существует множество банков, которые не обладают достаточным количеством финансовых средств для выстраивания системы кибербезопасности внутри организации и отражения атак". Впрочем, есть и другая проблема. "Некоторые банки в России и за ее пределами не верят, что компьютерная преступность существует,— говорит Илья Сачков, гендиректор Group-IB.— Даже в уважаемых государственных учреждениях есть люди, которые тоже в это не верят".
О слабой готовности кредитных учреждений к кибератакам свидетельствуют и тесты на проникновение в информационную систему компаний и банков, проведенные в 2015 году Positive Technologies. Проверялось 17 учреждений в России и за рубежом, треть из которых составляли банки и финорганизации.
В 82% систем оказалось возможным попасть в сеть, в каждом втором случае удалось получить контроль над критически важными ресурсами компаний, а в 28% был получен полный контроль над всей инфраструктурой организации.
По словам Эльмара Набигаева, ситуация к сегодняшнему дню существенно не изменилась: "В банковской сфере с точки зрения безопасности все не очень хорошо. У большинства злоумышленников не вызывает затруднений получение полных привилегий в сети. Результаты наших расследований инцидентов в банках показывают, что в большинстве случаев атаки заканчивались полной компрометацией сети и кражей средств".
Кредитные учреждения вроде бы вкладываются в кибербезопасность. Даже несмотря на кризис. В 2017 году в России бюджет на кибербезопасность вырос на 18%. Увеличение бюджета, однако, не всегда помогает. "Многие банки ограничиваются инвестициями в безопасность на уровне соответствия стандартам. Галочку поставили в документе, правильное средство защиты купили — значит, все хорошо. Но нельзя просто купить железку и забыть, информационная безопасность — это процесс, инфраструктура банковской организации меняется, киберпреступники обновляют инструменты и схемы атак, поэтому и в безопасности постоянно должно что-то совершенствоваться".
Те, кто обеспечивал киберзащиту, которая не помогла, оказывались в очень щекотливой ситуации. "К сожалению, многие сотрудники службы информационной безопасности скрывали от менеджмента банков проблему, и это могло длиться до 2013-2014 года,— рассказывает Илья Сачков.— Ты потратил много денег, но проблему это не решило. И ты должен потратить еще. У нас с некоторыми банками даже были конфликты, когда мы через систему мониторинга были способны определять преступления на этапе их подготовки, знали, у кого могли украсть деньги, сообщали об этом сотрудникам службы информбезопасности, а они эти сведения никак не использовали, боялись показать руководству. И происходило хищение".
Те же, кому руководство банка средств на киберзащиту не выделило, используют это как повод снять с себя ответственность: мол, мы же просили деньги, а вы не дали, говорит пожелавший остаться анонимным топ-менеджер из банковской сферы. "В тех банках, где IT-безопасность — это часть службы, выросшей из службы физической безопасности, так и происходит чаще всего",— уверен наш собеседник.
Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского", участвовавший в расследовании киберкраж в финансовых организациях, соглашается: "Чаще всего проблемы у банков не с бюджетами, а с информированностью об инцидентах.
Большинство атак происходит по глупости, недосмотру, случайно, если хотите. И так во всем мире.
Если банк формально следует букве закона (так называемая бумажная кибербезопасность), то он все равно станет жертвой злоумышленника".
Мало накупить дорогих систем. Для их эффективной эксплуатации и настройки необходим высококвалифицированный и весьма дорогостоящий персонал, а далеко не каждый банк может себе позволить держать в штате таких профессионалов. Да их и мало очень".
Знающих специалистов мало не только в банках, но и в правоохранительных органах, говорит источник "Денег" в управлении К МВД: "Почти нет оперативников, следователей, способных понять техническую сторону дел, объединить эпизоды и объяснить их суть прокурору и судье".
Пользуясь исключительно инсайдом, крадут в России деньги и у обнальных банков, которые принимают средства и получают указания, куда их перевести. "Есть группы злоумышленников — они получают доступ к такой почте у обнального банка или отправителя денег,— рассказывает Дмитрий Волков из Group-IB.— Мошенники видят переписку и со взломанной почты сами отправляют эти поручения банку.
Например, сегодня деньги должны уйти в Китай — злоумышленники перехватывают такое письмо, подменяют его: да, тоже Китай, но другое юрлицо. И 200 млн долларов уходят не в ту компанию.
Почту они контролируют. Банк спрашивает: "Точно туда отправлять?" Хакеры отвечают: "Да, туда". И все. Суммы хищений здесь большие, многое делается по наводке".
И кто признается ЦБ, клиентам или партнерам, что украли серые деньги, что пострадала отмывочная или обнальная, криминальная по сути, схема?
Оттуда открывается доступ в локальные сети, хакеры получают привилегии администратора, что позволяет атаковать системы, отвечающие за финансовые трансакции: АРМ КБР, банкоматные сети, биржевые терминалы, электронные расчеты и межбанковские переводы, SWIFT и процессинговые системы. Что и дает возможность красть средства.
Именно так, скорее всего, произошла кража в Металлинвестбанке: платежные терминалы и корпоративная сеть здесь были объединены, что сыграло на руку хакерам. "Достоверно сложно утверждать, что послужило изначальной точкой входа в банковскую систему,— говорит Михаил Окунев.— Но все уязвимости мы закрыли и постоянно совершенствуемся в этом. Мы разделили физически общую банковскую сеть и те машины, которые отвечают за отправку любых платежей. Банк провел полную перестройку системы информационной безопасности".
Способов проникновения на компьютер банковского служащего несколько. Самый распространенный — через электронную почту. Конкретным сотрудникам присылается некое письмо с документом, куда встроена вредоносная программа с так называемыми эксплойтами. Используя уязвимости в программном обеспечении, они находят черный ход на компьютер сотрудника. Чтобы вредоносный файл открыли, злоумышленники отправляют его от имени клиентов банка, или от ЦБ (как делала группа Buhtrap), или от госорганов.
Письмо может подтверждаться и телефонным звонком: мол, проверьте реквизиты договора, акт сверки, последние распоряжения. И необязательно это будет письмо с фальшивого адреса: хакеры могут отправлять зараженные файлы и с настоящих, но взломанных адресов. Кроме того, это может быть и подлинное письмо от партнеров, но с вредоносной программой.
"У злоумышленников появляются дополнительные возможности совершать атаки через многочисленных банковских контрагентов, у которых система защиты от киберугроз зачастую совсем не развита", —
Что происходит дальше? Сотрудник открывает документ, например, в формате .pdf, а встроенная в него вредоносная программа проверяет, есть ли уязвимости в "читалке". Часто они есть, так как обновления, которые ставят "заплатки" на программное обеспечение, делаются нерегулярно. Впрочем, обновления не панацея, они только снижают риски: у программ, на радость хакерам, существуют уязвимости, неизвестные разработчикам.
Используя эти уязвимости, с помощью эксплойтов, встроенных в присланный документ, киберпреступники входят через черный ход на компьютер жертвы. "Злоумышленник ставит программу, которая позволят получить пароли администратора сети, потом он ходит по разным компьютерам и получает полный доступ,— рассказывает Илья Сачков.— Мы расследовали случай, когда злоумышленники контролировали всю банковскую сеть, похитив большую сумму с корсчета, которую потом распылили по разным счетам и обналичили. У них был доступ на почтовый сервер, главные серверы, и они читали, как банк реагировал на расследование".
Другой способ попасть на компьютер к сотруднику банка — массовый, уходящий, как говорят эксперты, в прошлое. Мошенники совершают так называемый подлом популярных сайтов, например деловых и новостных изданий, юридических или государственных справочников. Незаметно для их владельцев хакеры встраивают в сайт небольшую программу, которая проверяет у всех посетителей, какой у них браузер, операционная система, флеш-проигрыватель, pdf-ридер, версии их обновлений и пр. "Таким образом находится уязвимое программное обеспечение — в среднем у 13-15% посетителей",— рассказывает Дмитрий Волков. Кстати, сейчас этот способ, по данным Group-IB, активно используется для заражения троянами и краж денег со смартфонов на Android. Затем через обнаруженные черные ходы на компьютер загружаются программы, которые проверяют, в частности, есть ли у него связь с банковскими или бухгалтерскими программами, какой антивирус стоит и пр. Часть таких компьютеров может оказаться в банке.
Но злоумышленники не знают, на какой компьютер они попали. Чтобы справиться с проблемой, они, например, загружали модифицированную вредоносную программу, выясняющую, есть ли следы работы с банковскими или бухгалтерскими приложениями. "В некоторых случаях это работает: повезет, и один из тысячи взломанных окажется компьютером бухгалтера, антивирус на нем окажется плохой, появляется возможность украсть деньги. Если дело касается проникновения в банковскую сеть, то мошенники в последнее время, проникнув в компьютер, часто используют законные или бесплатные инструменты удаленного управления. Это раньше нужно было писать трояны, сейчас система хищений в банках сильно автоматизируется и удешевляется, проникновение в банковскую сеть, отмечает Group-IB, "не требует особого опыта или труднодоступного программного обеспечения".
По словам источника в управлении К МВД, за обналичку киберпреступники платили 30-60% от похищенного, в зависимости от "чистоты" денег, сложности схем. Если сумма большая, деньги распыляются: скажем, заранее покупается так называемый зарплатный проект, когда 50 млн рублей через юрлицо выводится на 50 банковских карт.
Или деньги летят, например, на две тысячи Qiwi-кошельков и 100 тыс. сим-карт, а с них — на банковские карты. Для снятия денег нанимают людей, которым приходится "светиться" у банкоматов; им платят около 5% от снятого.
Если же нужно получить много и сразу, человека отправляют в отделение банка с заверенными документами от директора фирмы-однодневки, и он получает все через кассу. Когда группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения временно прекращаются. Впрочем, обналичить деньги можно где угодно: хакеры успешно пользуются зарубежными счетами.
Атака на банкомат
Новые технологии меняют схему. Проникнув в сеть банка, можно украсть деньги из банкоматов. "Сейчас хакеры проникают в корпоративную сеть банка, находят банкоматную сеть, то есть внедряются на компьютеры сотрудников, которые эти банкоматы обслуживают, и загружают вредоносное ПО на банкоматы",— рассказывает Набигаев. Сообщники хакеров, занимающиеся обналичиванием, подходят к банкоматам, а хакер удаленно дает команду устройству на выдачу наличных. Такая схема кражи денег, по его словам, набирает популярность. Случаи подобных хищений попадали в СМИ, но суммы краж, а также владельцы банкоматов не уточнялись.
Схема удобна хакерам тем, что небольшое число обнальщиков позволяет обчистить много банкоматов. "Банки могут это не сразу заметить, так как инкассация банкоматов не ежедневная, а банковские системы могут сообщать, что деньги в банкоматах еще есть,— говорит Набигаев.— Может пройти неделя, пока выяснится: деньги похищены. Найти злоумышленников трудно, так как время уже потеряно, а следы их преступления, как правило, заметаются — например, хакеры отключают камеры на банкоматах".
Проникнув в компьютерную систему финансовой организации, в июле 2016 года группа молодых людей в масках организованно атаковала 34 банкомата одного из крупнейших тайваньских банков, First Bank, унеся 83,27 млн тайваньских долларов (более $2 млн).
В августе по аналогичной схеме было похищено 12 млн бат (около $350 тыс.) из 21 банкомата Government Savings Banks в Таиланде. В сентябре подобные атаки, отмечает Group-IB, были зафиксированы в Европе, однако огласке их не предали.
"Этапы киберхищения денег у банков"
Проникновение Основной — отправка фишингового письма с вложением в виде документа с эксплойтом/макросом, исполняемого файла или запароленного архива с исполняемым файлом. Создать вложение c эксплойтом можно с помощью готовых инструментов. Для отправки исполняемого файла не требуется никаких специальных средств.
Удаленный доступ После успешного заражения все группы используют различные средства удаленного управления. Как правило, это легитимные и бесплатные инструменты.
Получение привилегий Получив удаленный доступ в сеть банка, атакующие часто применяют бесплатный инструмент, который позволяет извлекать логины и пароли в открытом виде из оперативной памяти зараженного компьютера. Исходный код этой утилиты доступен всем желающим без ограничений.
Поиск целей Имея привилегии администратора домена, мошенники начинают исследовать внутреннюю сеть банка в поисках интересующих систем. Целями могут быть системы межбанковских переводов, системы мгновенных переводов для физических лиц, сети управления банкоматами, платежные шлюзы, карточный процессинг. Поиск осуществляется в ручном режиме и не требует специальных инструментов.
Работа с целевыми системами Обнаружив интересующие системы, злоумышленники с помощью тех же средств удаленного управления отслеживают действия легальных операторов, чтобы впоследствии повторить их шаги и отправить деньги на подконтрольные счета. Более продвинутые группы используют готовые инструменты для модификации платежных документов — простые скрипты или исполняемые файлы, повторяющие работу скриптов, которые автоматизируют формирование мошеннических платежей.
Обналичивание Если первые пять этапов доступны многим хакерам и каждый из них можно реализовать с минимальными затратами, то для обналичивания больших объемов денежных средств нужны люди с опытом и ресурсами. Поэтому, когда профессиональные группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения прекращаются.
"Летняя волна хищений была лишь тестированием возможностей атак на банкоматы, которые в будущем станут одним из основных векторов целевых кибернападений на банки",— считают эксперты Group-IB. Группу, обчищающую по этой схеме банкоматы, компания назвала Cobalt. Она, по информации Group-IB, атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии. Техника проникновения в банки, отмечают эксперты по кибербезопасности, идентична методам, использованным группой Buhtrap. "Можно предполагать, что как минимум часть участников Buhtrap вошла в Cobalt или, что не менее вероятно, костяк Buhtrap просто переключился на атаки на банкоматы",— отмечает Group-IB.
Компания Group-IB считает, что против российских финансовых учреждений работает пять преступных групп, по многим признакам — русскоязычных. Собственно "кодеров", тех, кто пишет программы, используемые хакерами, немного, говорят расследователи киберпреступлений. И они, как правило, не участвуют в хищениях. Большинство кибервзломщиков копируют уже известное или используют имеющиеся в свободном доступе наработки.
Действуют они не в одиночку, поскольку реальную сложность для них представляет только финальный этап — обналичивание. "Такие группы работают с теми, кто занимается обналичкой. А это ОПГ.
Быстрые деньги
Кто ограбил Металлинвестбанк, официально не разглашается, но едва ли хакерская группа Buhtrap отличается по своему составу от аналогичных. Как правило, говорит Сергей Голованов из "Лаборатории Касперского", это молодые образованные ребята, у которых была твердая пятерка по информатике в школе и которые неплохо закончили технический вуз: "Они попробовали один раз украсть деньги, и у них получилось. Они понимают, что после университета у них по большому счету есть следующие варианты карьеры: работать на дядю по восемь--десять часов в офисе или в свободном режиме писать вредоносные программы и таким образом зарабатывать деньги".
Выбор для многих мошенников очевиден: есть опыт знакомых, которые на киберпреступлениях поднялись. С гламурным имиджем, далеким от уголовного. В компьютерных преступлениях в РФ доминируют банковские преступления То есть российские кибермошенники крадут в основном деньги. Сегодня, по словам Голованова, в мире есть два основных географических региона, где сконцентрированы злоумышленники, которые охотятся за деньгами банков и их клиентов,— Россия и страны СНГ, а также Бразилия.
Самый знаменитый из российских хакеров, видимо, 30-летний Дмитрий Федотов, также известный как Paunch (брюхо), чьи программы с эксплойтами Blackhole и Cool Exploit Kit обеспечили 40% заражений по всему миру, а ущерб от них исчислялся миллиардами долларов. Долларовый миллионер ездил по Тольятти на единственном в городе белом "Кайене", что и помогло его арестовать. В апреле 2016 года он был осужден на семь лет — случай беспрецедентный, поскольку сам Федотов в киберхищениях не участвовал, только писал для них программы.
Основные разработчики вредоносного обеспечения — русскоговорящие, и живут они по всему миру: "У таких людей высокий IQ, недостаток внимания родителей в детстве, отсутствие понимания, что такое хорошо и что такое плохо. Возможно, это потерянное поколение 1990-х".
16 из 19 известных банковских троянов связаны с русскоязычными хакерами, а российские кибервзломщики весьма успешно захватывают мировой рынок хакерского программного обеспечения.
"Появились маленькие преступные IT-компании, которые делают все необходимые для киберкраж инструменты. Теперь не нужно иметь 20-летний опыт, чтобы заняться компьютерной преступностью". И стоит это, говорит источник в управлении К МВД, дешево.
Кому выгодны преступления русских хакеров
После серии арестов в 2016 году (помимо членов Buhtrap задержали создателей банковского трояна Lurk, с помощью которого, по данным "Лаборатории Касперского", учувствовавшей в поимке, за последние пять лет украли 3 млрд рублей) мошенники стали переориентироваться на заграницу. Русскоязычные — как правило, из России и с Украины — хакеры вовсю администрируют крупные ботнеты, в которые уже попадают устройства "интернета вещей": умные холодильники, чайники и телевизоры. (И кажется, единственный способ быть уверенным, что ваша новая стиральная машина не взломала банк,— не подключать ее к сети.)
Эти хакеры сформировали рынок соответствующих услуг, отмечает Михаил Кондрашин, технический директор занимающейся анализом киберпреступности компании Trend Micro в России. Появившись году в 2004-м, русскоязычный хакерский андерграунд, по его словам, "кардинально изменил расстановку сил" в мире: "Теперь злоумышленникам не нужно было изобретать велосипед. Достаточно найти подходящего поставщика товара или услуги и реализовать задуманное сразу,— поясняет Кондрашин.— В результате атаки в интернете стали более сложными и многокомпонентными". Group-IB прогнозирует, что русскоязычные хакеры, получив успешный опыт атак на банки России и Украины, будут уходить в другие регионы мира.
В России хакеры занялись ограблением игроманов. Есть тысячи пострадавших от нового вируса XMRig. Майнер выводит компьютеры из строя, тормозит работу и похищает данные. Программа распространяется под видом бесплатной версии какой-либо известной игры. Под угрозой пользователи в РФ, Белоруссии, Казахстане, Бразилии и Германии, сообщает телеканал «Известия».
Поо словам главы департамента расследований T.Hunter Игоря Бедерова, пользователи могут лишиться своих игровых аккаунтов, валюты или даже данных банковских карт. Наконец, зараженные устройства могут быть включены в ботнет для массовой добычи криптовалюты в интересах злоумышленников . Чтобы избежать заражения, эксперты рекомендуют скачивать игры только из официальных источников. Но основная мера безопасности — антивирус с защитой от майнеров. Не стоит спешить скачивать только что опубликованные релизы программного обеспечения. Понять, что компьютер заражен майнером, можно по загрузке, говорят специалисты. Если все ресурсы заняты без видимой причины, машину стоит проверить