Кибератаки на банковские счета: виды и способы борьбы с ними
focuspocusltd / Depositphotos.com |
Сегодня злоумышленники используют различные способы хищения денежных средств со счетов юрлиц и кредитных организаций. Некоторые из них были представлены экспертами на кейс-форуме, посвященному вопросам мошенничества в финансовой сфере, организатором которого выступила компания Business Summit of Future. Специалисты объяснили, что сложно отследить кибератаки из-за отсутствия соответствующих программ. Однако, они дали рекомендации, с помощью которых можно минимизировать риски и потенциальный ущерб. Какие виды существующих кибератак сегодня наиболее популярны и проблемы доказывания их применения в суде – в материале.
Виды атак, которым может подвергнуться компания
Директор по методологии и стандартизации компании "Позитив Текнолоджиз" Дмитрий Кузнецов отметил, что в большинстве случае злоумышленники стремятся технически закрепиться в структуре организации для получения информации и доступа к управлению компьютером для проведения финансовых операций. Он выделил следующие возможные способы:
- адаптация вредоносного программного обеспечения путем рассылки писем;
- осуществление взлома веб-приложений или проникновение через сторонние организации, например, через обновление системы, созданной для бухгалтерской отчетности – в этом случае инфицированный модуль обновления охватывает все компьютеры, на которых стоит программа.
По словам эксперта, злоумышленники проводят предварительную разведку и подготовку атаки, собирая сведения об организации или банке: используемое ПО, сведения о сотрудниках, партнерах, контрагентах и бизнес-процессах. После того как атака подготовлена и осуществлена, они организовывают инфраструктуру для обналичивания денежных средств. Дмитрий Кузнецов отметил, что не всегда получается вычислить злоумышленников, так как они нередко подделывают адрес электронной почты отправителя, указывая, например, адрес контрагента или партнера. Он сообщил, что заражение компьютера вирусом происходит на стадии просмотра вложенного файла к письму. При этом визуально никакого сбоя в работе не произойдет, однако злоумышленник получит контроль над машиной конкретного сотрудника и вирус установит соединение с другими компьютерами, которые с ним связаны. "Если есть доступ к информационной системе, то дальше можно попытаться использовать уязвимость рабочего места руководителя или бухгалтера, слабые пароли, уставленные на рабочей почте, для расширения своего присутствия в инфраструктуре", – отметил Дмитрий Кузнецов. Он подчеркнул, что злоумышленник, получая управление над доменом и сервером, может использовать информацию в своих интересах, а также установить связь с платежной системой и осуществить попытки списания денег со счетов. По оценке эксперта, отслеживать информацию злоумышленники могут на протяжении года, а вот выявить их самих без специальных программ, как правило, не представляется возможным.
К каналам проникновения в систему компании независимый эксперт Николай Пятиизбянцев относит также установление съемных носителей информации, с помощью которых вредоносное программное обеспечение может попасть в систему компьютера (например, найденные специально "потерянные" или подаренные флеш-накопители).
При этом на практике нередко встречаются схемы хищения денежных средств удаленно. Так, организация-истец обратилась в суд с иском о взыскании суммы ущерба в размере больше 469 млн руб. к компании-ответчика, осуществляющей функции оператора услуг платежной инфраструктуры (решение Арбитражного суда города Москвы от 30 мая 2016 г. по делу № А40-209112/15-3-519).
Из материалов дела следует, что истец привлек ответчика в качестве оператора по информационно-технологическому обслуживанию платежной системы. В его обязанности также входило осуществление контроля за выполнением участниками своих обязательств по переводу денежных средств в режиме реального времени, пользовавшимися данной системой. А также ответчик должен был следить, что совершенные операции по картам производились только в пределах расходных лимитов и отклонять запросы на транзакции по операциям с картами в случае их превышения.
Несмотря на то, что истец своевременно уведомил ответчика об установлении лимита в пределах 3 млн руб. на период проведения всех операций, граждане получили в банкоматах наличные денежные средства на сумму превышающую 469 млн руб. Истец как расчетный центр платежной системы не мог отказаться от проведения операций, тем самым понеся убытки в размере завершенных за счет собственных денежных средств расчетов.
При рассмотрении дела в суде ответчик предоставил документы, подтверждающие совершение около 3 тыс. операций по снятию наличных денежных средств по картам, из которых сразу были отменены больше половины операций. По словам ответчика, все действия по списанию денежных средств и подтверждению операций были выполнены уполномоченными на их совершение представителями банка через систему удаленного доступа, однако в суде он не смог это доказать.
Арбитражный суд отметил, что ответчик не предпринял меры контроля за операциями, совершенными в платежной системе по банковским картам, несмотря на имеющееся программное обеспечение. По мнению суда, им также не были выполнены действия для урегулирования нестандартной ситуации, возникшей в связи с большим количество отмен операций по картам банка. При этом операционный центр несет ответственность за реальный ущерб, причиненный участникам платежной системы, вследствие ненадлежащего оказания операционных услуг (ст. 17 Федерального закона от 27 июня 2011 г. № 161-ФЗ "О национальной платежной системе"). В связи с тем, что ответчик нарушил расходный лимит и не проконтролировал операции по банковским картам, арбитражный суд взыскал в пользу истца сумму более 469 млн руб., с чем согласился суд апелляционной инстанции (постановление Девятого арбитражного апелляционного суда от 31 августа 2016 года по делу № А40-209112/15-3-519).
Если с расчетного счета организации похищены деньги через систему "Банк-Клиент", то как отразить кражу в бухгалтерском учете? Ответ на этот и другие практические вопросы – в "Базе знаний службы Правового консалтинга" в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!
Получить доступПо другому делу, судья Московского городского суда оставила в силе приговор нижестоящих судов о привлечении граждан к уголовной ответственности за мошенничество в сфере компьютерной информации (ч. 4 ст. 159.6 Уголовного кодекса, постановление Московского городского суда от 16 марта 2018 г. по делу № 4у-1053/2018). Суть дела заключалась в том, что сотрудники организации получили письмо, содержащее вредоносное программное обеспечение, при прочтении которого вирусная программа активировалась и распространилась по всей внутренней сети компании. Далее злоумышленники получили доступ к серверам и программному обеспечению, которое отвечает за формирование платежных сообщений. Согласно материалам дела, на лицевые счета, указанные в сфальсифицированных платежных сообщениях, были переведены денежные средства, которые осужденные обналичивали через банкоматы. В качестве доказательств виновности злоумышленников суд учел свидетельские показания, изъятые документы, предметы, в том числе жесткий диск с данными о вредоносном программном обеспечении.
Существенная разница между двумя рассмотренными делами заключается в том, что в первом случае не удалось доказать факт внедрения в систему организации вредоносного программного обеспечения, с помощью которого злоумышленники смогли получить доступ к денежных средствам и обналичить их через банкоматы.
Мошенничество по телефону
Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов отметил, что одним из наиболее часто встречающихся способов мошенничества сегодня является телефонное, несмотря на постоянные предупреждения государственных органов о подобных случаях. "В 2018 году зафиксировано 417 тыс. несанкционированных операций по картам на сумму 1,4 млрд руб., причем в России более 90% хищений с банковских счетов совершаются психологами, способными уговорить клиента совершить платеж в своих корыстных интересах", – добавил заместитель председателя Комиссии по цифровым финансовым технологиям Совета по финансово-промышленной и инвестиционной политике ТПП РФ Тимур Аитов. При этом эксперт подчеркнул, что банки снимают с себя ответственность в случае, если гражданин сообщил сам злоумышленнику номер карты, персональные данные и кодовое слово. По его словам, нередко сотрудники банка работают с злоумышленниками в сговоре, например, изучают базу данных клиентов, переписывают их номера телефонов в обеденный перерыв. А после они передают данные злоумышленнику, который звонит клиенту или направляет СМС-сообщение на абонентский номер либо на электронную почту.
Так, гражданке на мобильный номер пришло СМС-сообщение с информацией о блокировке ее личной банковской карты с указанием номера телефона, по которому она может обратиться для получения дополнительной информации (решение Кетовского районного суда Курганской области от 3 октября 2017 г. по делу № 2-1330/2017). На звонок ответил мужчина, представившийся сотрудником отдела контроля. Женщина попросила объяснить причину блокировки банковской карты и в процессе общения сообщила свои ФИО, номер банковской карты и кодовое слово. Сотрудник, с которым она общалась, пояснил, что проведет операции по зачислению и списанию денежных средств для разблокировки счета. В связи с чем гражданке поступили два СМС-сообщения: о зачислении денежных средств и списании 500 тыс. руб., причем без ее согласия. В отделении банка, куда она обратилась после списания денег, ей сообщили, что злоумышленник, используя ее личные данные, осуществил перевод денежных средств с ее банковского счета на счет другого лица, с которого деньги дальше были перечислены с помощью мобильного банка на карты третьим лицам.
В ходе расследования правоохранительные органы установили, какому лицу поступили денежные средства гражданки, а также установили лиц, которые в последующем обналичили денежные средства через банкомат. Гражданка обратилась в суд с иском к женщине, которой первоначально поступили денежные средства, с требованием их возврата. Однако ответчица отрицала получение денег, ссылаясь на то, что банковская карта была заблокирована в связи с утратой.
Суд первой инстанций отказал истице в удовлетворении заявленных требований, указав на то, что при осуществлении операций по переводу денежных средств, были верно введены в онлайн-системе идентификатор, логин и пароли. В связи с чем лицо, осуществившее вход в систему, было определено как клиент банка в соответствии с условиями договора банковского счета. Суд апелляционной инстанции также встал на сторону ответчицы, отметив, что истицей не представлено доказательств, подтверждающих увеличение стоимости имущества ответчицы за счет поступивших с банковского счета истицы денежных средств (апелляционное определение СК по гражданским делам Курганского областного суда от 16 января 2018 г. по делу № 33-180/2018). Кроме того, по мнению суда, отсутствует причинно-следственная связь между перечислением денежных средств ответчице и их последующим поступлением на банковские карты третьих лиц. Суды обеих инстанций отметили, что в связи с утратой банковской карты, ответчица не имела возможности распоряжаться денежными средствами, поступившими на счет этой карты.
Однако Верховный Суд Российской Федерации нашел основания для удовлетворения жалобы истицы (Определение ВС РФ от 30 октября 2018 г. № 82-КГ18-2). По его мнению, суды не дали оценку такому обстоятельству, что осуществлять какие-либо операции с банковской картой ответчицы могло только лицо, обладающее сведениями о пароле и ПИН-коде. В связи с этим ВС РФ пришел к выводу, что утрата банковской карты сама по себе не лишает клиента прав в отношении денежных средств, находящихся на банковском счете, и возможности распоряжаться ими. Кроме того, Суд обратил внимание на то, что из перечисленных на банковский счет ответчицы 500 тыс. руб. на счете осталось 87 тыс. руб., которыми она вправе распоряжаться, а значит вернуть истице, так как не было оснований для их получения. ВС РФ также подчеркнул, что при передаче персональных данных – логина и пароля посторонним лицам ответчица несет риск наступления негативных последствий по операциям, проведенным по ее банковской карте, в том числе за неосновательное обогащение. Однако Суд не установил наличие согласованности действий между злоумышленником, ответчицей и третьими лицами. В связи с этим ВС РФ отменил решения нижестоящих судов и направил дело на новое рассмотрение.
Тимур Аитов сообщил, что правоохранительные органы и банки не заинтересованы противодействовать телефонным мошенничествам. По его словам, это объясняется тем, что правоохранительным органам сложно обнаружить злоумышленников из-за отсутствия доступа к инфраструктуре банковских сетей. Эксперт отметил, что на сегодняшний день ему неизвестны судебные решения о возврате клиентам средств, которые были получены вследствие использования уговоров по телефону. "Если же банк захочет противодействовать мошенничеству и усложнит доступ к счету многочисленными проверками, то он сам же может пострадать: клиенты будут уходить из банка из-за сложных процедур при проведении платежей", – добавил Тимур Аитов. В качестве метода борьбы с подобными правонарушениями он предложил банкам усложнить процедуры перевода денежных средств только при возрастании их сумм, например, на сумму до 100 тыс. руб. порядок подтверждения операции будет заключаться только в предоставлении пароля из СМС-сообщения, от 100 тыс. руб. до 1 млн руб. – не только пароль, но и подтверждение кодовым словом, а свыше 1 млн руб. еще и отпечатком пальца;
"Станет ли биометрия заменой пароля?", – задается вопросом Николай Пятиизбянцев. По его мнению, нет, во-первых, потому что не на всех устройствах это возможно реализовать, а, во-вторых, устанавливать специальный считыватель дорого. Кроме того, эксперт отметил отсутствие инфраструктуры для хранения биометрических данных и их защиты. Николай Пятиизбянцев не видит и выгоды в применении биометрии, так как если пароль будет скомпрометирован, то его можно изменить, а физические возможности человека ограничены. "Биометрия, как возможность опознать человека по лицу, работает великолепно, проблема возникает на стыке биометрии с операционной системой: если злоумышленник контролирует операционную систему, то вы один раз делаете селфи, а он это селфи многократно использует для подтверждения различных операций", – добавил Дмитрий Кузнецов. По его мнению, биометрия может быть использована в качестве подтверждения операций, при условии, что защищена операционная система.
Рекомендации экспертов по борьбе с кибератаками
Эксперты отметили, что в компаниях должна быть выстроена процедура реагирования на кибератаки: от профилактики предотвращения взломов серверов до оперативного обращения в банк для приостановления операций по счету и дальнейшего расследования при неправомерном списании денежных средств. В качестве дополнительных рекомендаций они предложили следующее:
- закрепить положение во внутренних документах организации о том, какие сотрудники будут иметь доступ в систему с указанием набора возможных операций в ней;
- предусмотреть дополнительные меры идентификации лиц при проведении платежей или запросов на них, например, сотрудник организации не только вводит логин и пароль, но и запрос на списание денежных средств или его подтверждение подписывает простой электронной подписью, а клиент в этой ситуации – квалифицированной;
- предоставить каждому сотруднику компании контрольно-измерительные материалы, в которых будут указаны существующие угрозы со стороны злоумышленников и применимые в связи с этим меры безопасности;
- указать в договоре на оказание услуг, что за все действия, которые клиент совершает под своей учетной записью на сайте или портале организации, он сам несет ответственность;
- использовать антифрод – интеллектуальную блокировку транзакций без необходимости постоянного привлечения сотрудников – например, программа будет отслеживать устройства, с которых выполнены запросы на списание денежных средств, и сравнивать с "черными" списками злоумышленников;
- страховать риски от потенциальных кибератак.