Активнее всего нападают на пользователей интернет-банкинга
В 2013 г. на украинские банки было совершено две массированные DDoS атаки, целью которых были сайты более 30 финучреждений, сообщили «Вестям» финансисты.
«Ряд признаков позволил нам сделать вывод, что атаки на внешние сервисы банков — это просто прикрытие попыток вывода средств со счетов клиента. Мошенники знают, что дорогостоящие системы безопасности банков позволяют успешно противостоять DDos атакам, и пытаются установить дистанционный контроль над рабочими местами пользователей. А сама DDos атака на банк должна просто отвлечь внимание человека от проведения несанкционированного платежа, — объяснил «Вестям» руководитель по безопасности технологий розничного бизнеса «Альфа-Банка» (Украина) Сергей Досенко. — Так, под прикрытием DDos атаки в октябре, со счета одного из наших клиентов пытались вывести более 500 тыс. грн, но безуспешно. Мы дали ему рекомендации, и он к ним прислушался».
DDoS-атака — перегрузка сервера запросами с множества компьютеров с целью блокирования к нему доступа других пользователей. Таким образом, злоумышленники отвлекают внимание жертв и банковского персонала от подозрительных переводов и выигрывают время для легализации похищенных средств. Ведущие разработчики средств антивирусной защиты и систем информационной безопасности регулярно информируют о появлении и распространении вредоносных программ (троян) с целью воровства данных с бытовых компьютеров пользователей. С помощью таких программ хакеры взламывают личную переписку, профиль социальной сети, электронные кошельки виртуальных платёжных систем и аккаунты интернет-банкинга пользователей.
Грабят компании и предпринимателей
В Независимой ассоциации банков «Вестям» сообщили, что особый интерес кибермошенников представляет получение доступа к интернет-банкингу крупных компаний. В первую очередь, это система «Клиент-банк», с помощью которой бухгалтера и финдиректора управляют счетами компании. Отсутствие у сотрудников компании достаточной компетентности в вопросах информационной безопасности позволяет мошенникам без труда получить доступ к рабочему месту бухгалтера. Затем от имени клиента мошенники формируют платеж и направляют банку. В финучреждения такие платежки приходят идеально оформленными, со всеми необходимыми подписями и печатями, с адреса клиента. По словам Сергея Досенко, мошенники могут выжидать от недель до нескольких месяцев, отслеживая специфику работы заинтересовавшего их клиента, прежде чем украсть деньги. Сделав проплату на подставную фирму, деньги оперативно «обналят».
«Все реже такие взломы устраивают преступники-одиночки, и все чаще организованные группы. Самая крупная преступная операция в 2013 г. составила 32 млн грн и была разбита на части. Обнаружить ее удалось лишь благодаря финансовому мониторингу», — сообщили нам в НАБУ.
В конце октября СБУ задержала четырех подозреваемых в попытке украсть 16 млн грн со счетов одного из украинских банков. Схема кражи готовилась пять месяцев. Сначала мошенники открыли фиктивное предприятие-однодневку. Затем договорились с банком об установке в его офисе POS-терминала, с помощью которого им удалось подключиться к платежной системе финучреждения, и перечислить на свой счет чужие деньги.
Аналогичным образом преступники пытаются обворовывать и рядовых граждан: только в этом случае мошенники пытаются с помощью вирусных программ украсть данные пластиковой карты, чтобы потом списать с нее деньги в каком-то з интернет-магазинов.
По данным МВД, в текущем году было зафиксировано 270 попыток незаконного списания средств с банковских счетов через систему «Клиент-банк» на общую сумму 180 млн. грн и $115 тыс. «Порядка 67 млн грн удалось «увести», из них 47 млн было возвращено на счета потерпевших», — рассказал «Вестям» начальник управления по борьбе с киберпреступностью МВД Украины Максим Литвинов. Всего, по его словам, в госреестр досудебных расследований в этом году включено около 700 заявлений, связанных с мелким мошенничеством в интернете.
Особое беспокойство у правоохранителей вызывает то, с какой легкостью компании и частные лица втягиваются в преступную схему кибермошенников. Возможно, не до конца понимая степень ответственности, граждане предоставляют свои счета для обналичивания средств, украденных в ходе совершения киберпреступления (получая оговоренный процент и не интересуясь историей их происхождения).
Банкоматы переоборудуют
Не перестают жулики охотиться на деньги украинцев и через банкоматы, но финансисты и правоохранители все эффективнее борются со скиммингом: установкой на банкоматы специальных устройств, позволяющих считывать данные с магнитных лент на картах (после чего мошенники подделывают пластик). «В этом году с банкоматов сняли в два раза больше накладок, чем в прошлом. Поэтому в ноябре-декабре уже все банкоматы ПриватБанка будут оборудованы активными антискимминговыми устройствами, которые «возмущаются» при попытке вмешаться в работу банкомата», — сообщил «Вестям» первый заместитель руководителя службы безопасности Приватбанка Михаил Фролов.
К сожалению, наказание за такое преступление в Украине не соответствует его тяжести, по сути, считает директор Украинской межбанковской ассоциации членов платежных систем «ЕМА» Александр Карпов. «Если вы украдете 200 тыс. из банкомата и вас даже поймают, вы заплатите штраф 80 тыс. грн. и пойдете дальше «мутить», — говорит он. По мнению эксперта, в ст. 200 Уголовного кодекса (незаконный действия с документами на перевод, платежными картами и другими средствами доступа к банковским счетам и оборудованием для их изготовления) нужно как можно быстрее ужесточить.
Как избежать угрозы
Чтобы не стать жертвой кибер-мошенников, банкиры советуют не экономить на элементарных средствах информационной защиты и контроля электронных платежей: лицензионных антивирусах, смс-информировании и, так называемых, «электронных ключах». «Такие элементы безопасности стоят от 5 гривен (за смс-информирование) до 400 грн. в месяц (за интегрированные с сервисами банка системы защиты операций). Попытки со стороны клиента сэкономить на информационной безопасности и безопасности платежей могут в итоге стоить миллионы гривен», — говорит Сергей Досенко.
При этом в банковских и платежных ассоциациях отмечают, что все больше внимания обращают именно на повышение финансовой грамотности клиентов: ведь, без их вовлечения в противостояние кибермошенникам эффективно бороться с постоянно меняющимися «подходами» жуликов не удастся и вернуть украденные деньги клиентам может быть очень сложно.
По материалам: Вести.UA
