«За пароль к аккаунту платят от 3 до 12 долларов». Как воруют деньги через интернет-банкинг?

В прошлом году количество киберхищений выросло более чем вполовину – было зарегистрировано почти 3,6 тысячи таких преступлений. Помимо нашумевших схем, когда злоумышленники выманивают реквизиты банковских карт в соцсетях, стали набирать обороты и более изощренные подходы. Например, всю ценную информацию держатель карты сохраняет в тайне. И все же деньги пропадают: их магическим образом уводят... через интернет-банкинг. Что стоит за подобными случаями?

Взломать по-тихому

О том, что творится неладное, 30-летний минчанин Игорь понял вечером в магазине. Неловкая ситуация возникла на кассе – оплата не проходила, терминал настойчиво твердил: «Недостаточно средств». После нескольких неудачных попыток Игорь отправился в банкомат:

– Оказалось, на счету осталось 5 копеек. Хотя я точно знал, что должно быть больше. Сразу стал звонить в банк. Оказалось, ночью деньги были переведены на счет в Яндекс.Деньги. Но я никогда не пользовался этим сервисом и деньги никуда не переводил!

На следующий день Игорь направился в головной офис банка. Написал заявление. Ответ пришел примерно через две недели. Оказалось, за несколько дней до похода в магазин со счета Игоря ночью было переведено 200 рублей на Яндекс.Деньги через интернет-банкинг. Спустя еще несколько часов ушли и оставшиеся 18 рублей. В банке указывают, что для совершения операций были «введены ваши личные логин и пароль для входа в СДБО».

СДБО – системы дистанционного банковского обслуживания. Проще говоря, тот же интернет-банкинг, мобильный банкинг (приложение на смартфоне), ТВ-банкинг. Игорь рассказывает:

– К системе интернет-банкинга меня подключила сотрудница банка, когда оформляла карту. Мне эта услуга была не нужна. Логин по умолчанию номер мобильного телефона, пароль прислали по СМС. Зашел в систему я в итоге всего раза два и больше ею не пользовался. Кто и как смог узнать мои логин и пароль – понятия не имею.

Возвращать украденные деньги в банке отказались. Решение объяснили так: «Согласно пункту 6.9 Общих условий договора об использовании банковской платежной карточки, банк имеет право отказать в возмещении клиенту денежных средств по операциям, несанкционированным держателем карточки, совершенным с использованием технологии аутентификации держателя карточки посредством системы СДБО».

В переводе на понятный язык — согласно договору, если деньги украли через интернет-банкинг, введя логин, пароль клиента и другую необходимую для входа информацию (например, сеансовые ключи), возмещать потери не будут. В письме посоветовали обратиться в милицию. И, конечно, сменить пароль от интернет-банкинга.

Проверить на слово

История Игоря произошла в начале марта прошлого года. На этом подобные случаи не прекратились. Начальник отдела реагирования на компьютерные угрозы Управления защиты информации Национального банка Алексей Худяков рассказал, что с мая по август 2018 года злоумышленники не раз пытались получить доступ к счетам клиентов ряда банков в системе интернет-банкинг путем подбора логина и пароля:

– В случае успешной попытки деньги переводились на электронные кошельки системы Яндекс.Деньги, затем обналичивались в банках на территории соседних государств. Общий ущерб от действий этих злоумышленников оценивается банками в сумме около 120 тысяч белорусских рублей. Такой вид мошенничества зафиксирован у нас впервые.

Были приняты меры, чтобы предотвратить подобные хищения. Эксперт объясняет – банки доработали программное обеспечение, чтобы устранить имеющиеся уязвимости:

– Также была введена трехфакторная аутентификация (сеансовый ключ, направляемый на зарегистрированный в интернет-банкинге номер мобильного телефона СМС или Push-up-сообщением) и иные меры. Это дало положительные результаты.

Тем не менее вопросы безопасности остаются актуальными. На прошлой неделе МВД направило банкам письмо. В нем идет речь о росте числа преступлений, связанных с хищением средств через «виртуальный банк». Заместитель начальника управления по раскрытию преступлений в сфере высоких технологий МВД Кирилл Вяткин говорит:

– По итогам прошлого года количество преступлений в сфере высоких технологий выросло на 54,6 %: с 2318 случаев в 2017-м до 3585 в 2018-м. При этом наблюдался стремительный рост числа хищений через интернет-банкинг.

Одна из распространенных причин – использование простых паролей, которые, ко всему прочему, часто совпадают с логином. Например, в сентябре прошлого года злоумышленники сняли с карточки нашего соотечественника 560 рублей. В октябре история повторилась: у того же пользователя пропало еще 172,84 рубля. На этот раз орудовали не преступники: деньги сняла гражданка Беларуси, причем «неумышленно» – она ошибочного ввела пароль (1111111), который совпадал еще и с именем пользователя. В декабре прошлого года по этим фактам было возбуждено уголовное дело.

Кирилл Вяткин озвучивает и другие проблемы:

– Во-первых, сохраняется возможность неограниченного количества попыток авторизации, благодаря чему злоумышленники могут подобрать пароль. Во-вторых, иногда клиентов в банках понуждают подключить интернет-банкинг при оформлении карт-счета, причем реквизиты доступа выдаются без учета правил информационной безопасности.

К примеру, летом прошлого года завели такое уголовное дело: у держательницы карты «увели» 26 066 рублей через интернет-банкинг. Логин и пароль устанавливали сотрудники банка при подключении услуги: оба реквизита совпадали с фамилией потерпевшей. Кирилл Вяткин отмечает, что подобный случай не единичен:

– С этим уголовным делом соединено еще 61 по аналогичным фактам хищений. Проходит не менее 10 потерпевших.

В декабре прошлого года по инициативе МВД Беларуси был заблокирован сайт с российским доменом (заканчивался на «.ru»), на странице которого злоумышленники сымитировали диалоговое окно авторизации в интернет-банкинге белорусского банка. Через такую подделку киберпреступники собирали сведения о логинах, паролях и кодах авторизации.

Загрузка с нагрузкой

Кража денег через каналы ДБО – не то чтобы новинка. Во всяком случае, в глобальных масштабах. Алексей Худяков говорит, что хотя в мировой практике атаки на системы ДБО посредством подбора логинов и паролей в последнее время встречаются крайне редко, зато широкое распространение получили хищения больших массивов учетных данных банковских карт, зарегистрированных в различных торговых сетях, отелях, страховых и медицинских организациях, общественных фондах:

– При этом злоумышленники через системы интернет-банкинга банков-эмитентов переводят средства на подконтрольные им счета и впоследствии обналичивают.

Дело тут вовсе не в паролях. Тимофей Борботько, профессор, заведующий кафедрой защиты информации БГУИР, объясняет – даже сложная комбинация цифр не гарантирует стопроцентной защиты:

– Ключевая атака на пароль – его определение методом подбора. В таком случае не так важно, какие использованы символы – буквы, цифры – или регистр. Ключевой параметр – длина пароля, то есть количество символов. От этого зависит, как долго будет происходить подбор.

Сегодня преступники предпочитают не размениваться по мелочам, стремясь получить не только пароль, а доступ ко всей информации на устройстве. Причем речь идет не только о компьютерах и ноутбуках, но и о смартфонах.

– Сейчас в моде мобильные приложения, которые якобы позволяют экономить заряд аккумулятора, – говорит Тимофей Борботько. – Злоумышленники пишут такую программу и встраивают в код вредонос. Плюс добавляют способы, которые позволяют обойти сигнатурный анализ – благодаря этому приложение сможет пройти проверку и попасть в магазины приложений Google Play или App Store. Известный факт, что системы защиты там в лучшем случае через месяц понимают, что такие приложения содержат вредоносную нагрузку.

Следующий шаг – сделать так, чтобы приложение вышло в топ в своей категории, его увидело и скачало как можно больше людей. Сегодня это часть индустрии. Есть те, кто раскручивает приложение и накручивает отзывы. Видя приложение в топе и читая позитивные отклики, человек охотнее его скачивает. А когда оно попадает на смартфон, вместе с ним и троянская программа, поясняет Тимофей Борботько:

– Всегда есть момент, когда данные не защищены. Троянская программа работает в оперативной памяти, собирает информацию и отправляет на какой-либо сервер управления. Здесь уже без разницы, программа какого банка у вас установлена, насколько хороший пароль и нужно ли вводить сеансовые ключи – злоумышленники имеют доступ ко всему.

По оценкам компании Positive Technologies, приложения банков под Android становятся более защищенными. К примеру, в 2016 году критические уязвимости были выявлены в 75 % случаев, в 2017-м – в 56 %. Мобильные приложения для iOS более безопасны: здесь уязвимости были выявлены в каждом четвертом мобильном банке, в 2016 году – в каждом третьем. Тем не менее, если смотреть не на динамику, а на абсолютные величины, тенденция вырисовывается тревожная: только у 8 % банковских приложений оказался приемлемый уровень защищенности

Эксперт поясняет: если приложение сделано грамотно, не спасут никакие антивирусы. Злоумышленники собирают логины-пароли и другую ценную информацию – все это продается:

– Кстати, недорого. По последним данным, стоимость пароля от аккаунта составляет от 3 до 12 долларов. Кто-то все это покупает. А раз находится применение, значит, это монетизируется.

Недавно в СМИ была опубликована история женщины, у которой через интернет-банкинг украли 600 рублей. В финучреждении ей оформили новую карту. Как только туда поступили деньги, она их сняла, оставив всего два рубля. Однако позже выяснилось, что злоумышленники продолжали пользоваться даже счетом с «пустым» балансом: кто-то переводил туда деньги, а позже снимал. Глупость? Не совсем. Чтобы замести следы, киберпреступники зачастую прогоняют украденное через несколько счетов. Кроме того, виртуальные деньги нужно обналичивать. Для этого киберворы нанимают подставных лиц, которые в случае чего первыми попадают в поле зрения милиции. Чтобы перевести им деньги, опять же, используются левые счета.

С компьютерами и ноутбуками работают схемы попроще. Одна из самых известных – троянские программы «зашивают» в нелицензионное ПО. Тимофей Борботько говорит, что ему такие примеры попадались неоднократно:

– Не раз с этим сталкивался и даже сам находил. Более того, у меня есть копия Windows 7, которая после установки передает информацию на нужный сервер обходным путем.

На фоне более продвинутых примеров фишинг выглядит уже несколько устаревшим. Однако и он по-прежнему работает. Тимофей Борботько демонстрирует пример – письмо на рабочей почте от некоей Жанны Беловой. Она пишет: «Документы следует подписать со своей стороны, также желательно отправить сканированную копию документов, подписанную вами, на этот e-mail». К письму прикреплен архив с файлами.

– Никакой Жанны Беловой я не знаю, как и Златы Ждановой, которая присылала мне похожее письмо в начале декабря. Здесь ставка делается на любопытство. А в прикрепленном архиве лежит файл – это троян-банкер. Метод древний. Кстати, почему отправляют в архиве? Если антивирус не настроен, он их не проверяет. То есть вы загрузите этот файл и никто ни о чем не уведомит.

Способ нехитрый, но эффективный. Добраться сегодня можно до чего угодно, объясняет эксперт:

– Всегда срабатывает человеческий фактор. Есть, к примеру, суперзащищенное предприятие, где отлично работает служба безопасности. Такой фишинг там не пройдет. Но можно найти менее защищенного контрагента, проникнуть в его почту и от имени той компании выслать письмо. Его-то уж точно откроют.

Нужно объединять усилия

Вскоре после ответа банка Игорь получил письмо из милиции. Выяснилось, что в ту ночь жертвой киберворов стали еще 18 человек. В ответе правоохранители подчеркивали: ни у кого из пострадавших не было установлено СМС-оповещение. Обращения Игоря в Национальный банк и повторно в банк, выпустивший карточку, ни к чему не привели – деньги ему так и не вернули.

На вопрос, кто виноват, руководитель по развитию бизнеса Group-IB в Беларуси Александр Сушко отвечает:

– Надо понимать, что виноваты в таких преступлениях не граждане и не банки, а преступники. И мы вместе должны этому противостоять. Граждане – повышать компьютерную грамотность и устанавливать инструменты защиты, банки – создавать системы проверки в средствах автоматизации. Такие системы в мире есть. Постепенно они внедряются и у нас, но в целом это вопрос времени и скорости.

Сейчас единственная защита жертв киберпреступлений – принцип нулевой ответственности. Механизм действует у нас уже три года, поясняет Алексей Худяков:

– Суть в следующем: если с вашей банковской карты украли деньги, то вы можете в течение 30 дней обратиться в банк, и деньги вернут. Правда, при соблюдении определенных условий. Например, нельзя передавать карточку (и ПИН-код) другим лицам, использовать карточку без СМС-оповещения и технологии 3D-Secure (Verified by Visa) и так далее. Физические лица могут подавать в банк заявления о хищениях в электронном виде.

Однако на практике все не так уж радужно. При оформлении карточки мало кто из сотрудников банка берется объяснять клиенту, что такое 3D-Secure. Или зачем подключать СМС-оповещение, особенно когда ему по умолчанию предоставляется доступ к интернет-банкингу.

Александр Сушко говорит, что здесь изменить ситуацию к лучшему может сам рынок. Люди будут выбирать более безопасные банки и уходить из тех, где им была предоставлена недостаточная защита:

– Больше банков будет думать о том, как создать технические меры защиты.

Но нужно понимать и другое. Банковское дело – это прежде всего бизнес. И заботиться о безопасности средств клиентов в ущерб прибыли здесь никто не будет. Где искать компромисс? Этот вопрос сейчас прорабатывается. По словам Александра Сушко, заключен меморандум между Конфедерацией цифрового бизнеса и Национальным банком, разрабатываются комфортные условия для бизнеса:

– Действительно, можно много денег вложить в безопасность, но в конечном итоге бизнес не сможет дальше развиваться. Соответственно нужно, чтобы у нас были и другие инструменты. Один из них – страхование киберрисков. Страховые компании должны изучить проблему и определить тарифы. Это совместный труд банковского и страхового бизнеса. Подход должен быть взвешенным. Более того, если речь идет об утечке информации, дать оценку в денежном эквиваленте очень сложно. Так что попутно нам следует работать над созданием белорусских национальных продуктов, которые позволят защищать банковскую отрасль. На сегодня это, как правило, иностранные продукты. Если подключатся отечественные разработчики, это может удешевить такие средства защиты.

Сейчас в Беларуси разрабатывается концепция информационной безопасности. Такой документ уже существует в ряде государств. В него закладываются принципы взаимодействия всех участников виртуального пространства – от граждан до ведомств. Вероятно, есть смысл уделить отдельное внимание банковской сфере. Никто ведь не против внедрения высоких технологий. Но риски нужно минимизировать. И у каждого должен быть достаточный набор инструментов, ресурсов и знаний, чтобы позаботиться о своей безопасности.

В ТЕМУ

Если на устройстве пользователя завелся «вредонос», от утечки ценных сведений защититься крайне сложно. Но можно зайти с другой стороны: не дать злоумышленникам воспользоваться украденной информацией. В частности, сейчас в мире разрабатываются системы, которые позволяют анализировать, что и как пользователь делает в приложении, например, с каким нажимом набирает информацию, куда чаще заходит и что смотрит. И отслеживать изменения. Если ситуация нетипична, это может стать поводом заподозрить мошенничество. И предупредить распространение подобных случаев: если система будет общей для нескольких банков, информация об атаке, произошедшей в одном из них, будет доступна для всех остальных и позволит им быстро среагировать на угрозу.

ЧТО МОЖЕТ ИЗМЕНИТЬСЯ В ИСПОЛЬЗОВАНИИ ИНТЕРНЕТ-БАНКИНГА?

Чтобы сделать онлайн-банкинг безопаснее, могут быть выработаны новые требования к защите таких систем. Сейчас этот вопрос обсуждает ряд ведомств, в частности, МВД и FinCERTby (созданное в октябре прошлого года подразделение Нацбанка, анализирующее киберугрозы в банковской сфере), а также Ассоциация белорусских банков и банки. Что они предлагают?

1. Ужесточить парольную политику. В частности, предлагается запретить устанавливать пароль длиной 8 символов, запретить использовать простые пароли – он должен иметь в составе буквы разного регистра, символы и цифры, отличаться от имени (логина) клиента. Кроме того, должно быть ограничено число попыток ввода логина/пароля с последующей блокировкой.

2. Ввести обязательное оповещение через СМС либо по электронной почте о неудачных попытках авторизации в интернет-банкинге.

3. Сделать обязательным использование многофакторной аутентификации для получения доступа к интернет-банкингу (то есть использовать еще какое-то подтверждение, помимо введенных логина и пароля).

4. Предусмотреть обязательную смену пароля клиентами при первом входе в систему интернет-банкинга.

КАК ЗАЩИТИТЬСЯ ОТ КИБЕРВОРОВ

• Не пользуйтесь интернет- или мобильным банкингом на устройствах, где установлено нелицензионное ПО, а в случае смартфонов – произведен jailbreak/rooting (взлом официальной прошивки).
• Регулярно обновляйте ПО.
• Установите антивирус и не забудьте его настроить и обновлять.
• Скачивайте файлы и программы только из официальных источников.
• Не переходите по ссылкам и не скачивайте файлы из сообщений (СМС, e-mail, мессенджеры), если вы не уверены на 100 % в отправителе.
• Отключите интернет-банкинг, если вы им не пользуетесь.
• Подключите 3D-Secure или Verified by Visa, даже если не планируете расплачиваться картой в интернете.
• Если у вас подключен интернет-банкинг, убедитесь, что логин и пароль не совпадают и последний содержит сложную комбинацию символов.Внимательно изучите договор с банком и условия принципа нулевой ответственности. Убедитесь, что вы их соблюдаете. Обратите внимание, как нужно действовать, если заметили, что с карты похищают деньги: в критической ситуации используйте этот алгоритм действий. Если что-то непонятно, обратитесь за уточнениями в банк. Все это поможет если не защитить деньги, то хотя бы повысить шансы, что банк их вернет.

Валерия Гаврушева, «Народная газета», 1 февраля 2019 г.