ЦБ предупредил банки о новом тренде в области киберугроз — злоумышленники начали атаковать не только клиентов банков, но и сами кредитные организации. Объемы потенциальных хищений доходят до половины дневной ликвидности банка. Впрочем, на фоне усиления борьбы с обналичиванием средств мошенникам приходится реализовывать все более сложные схемы для получения украденных денег, в том числе с привлечением зарубежных "коллег".

О том, что у киберпреступников растут аппетиты и они атакуют уже не только банковских клиентов, но и сами кредитные организации, рассказал в пятницу на форуме Finnopolis-2015 в Казани заместитель начальника главного управления безопасности и защиты информации (ГУБЗИ) ЦБ Артем Сычев. "Сейчас в России в явном виде проявился тренд, при котором атака идет уже не на клиента, а на кредитные организации, в том числе на участников финансового рынка",— заявил он. По его словам, все три случая кибератак, которые разбирал за последний месяц FinCERT (Центр мониторинга и реагирования на киберугрозы в финансовой сфере), были исключительно атаками на кредитные организации. "В двух случаях это была атака на финансовый инструмент, которым пользовались банки, чтобы совершать операции на открытых рынках,— отметил Артем Сычев.— Третий случай — это классическое использование "дырок" в программном обеспечении, которые позволяют делать все что угодно".


Как мошенники освоили "Мир"
Не успела Национальная система платежных карт (НСПК) создать бренд, под которым еще только планирует работать, как мошенники нашли способ воспользоваться ситуацией в своих целях. Они распространяют компьютерные вирусы под видом предложения получить еще не существующую карту "Мир"
Центр мониторинга и реагирования на киберугрозы в финансовой сфере при ЦБ (FinCERT) создан решением Совета безопасности РФ и действует с 1 июня 2015 года. Его задача — сбор информации об инцидентах с финансовых организаций и оперативное предупреждение участников рынка, присоединившихся к FinCERT, о появлении угрозы и методах борьбы с ней. Сейчас к FinCERT подключено 30 банков. Одним из публично известных случаев кибератак, выявленных FinCERT, стало мошенничество с использованием бренда национальной платежной системы карт "Мир" (см. "Ъ" от 10 августа).

Масштаб проблемы в ЦБ не раскрывают, но при том, что в целом по системе эти хищения невелики, для отдельно взятых игроков они могут быть фатальными. "Похищенные деньги в процентном отношении — сотые процента от оборота, который идет по электронным деньгам, но проблема в тренде увеличения",— отмечает господин Сычев. В то же время для маленького банка успех таких атак — это практически смерть, добавляет он. "В случае с покушением на хищение его денег на корсчете путем захвата арма (автоматизированное рабочее место, обеспечивающее взаимодействие сотрудника с компьютером.— "Ъ") платежной системы Банка России и вброса фиктивного платежа — это до половины его дневной ликвидности,— поясняет господин Сычев.— В этом случае он не сможет дальше выполнять операции, это серьезно".


Как ЦБ взялся за киберпреступников
30 июня ЦБ объявил о запуске центра, который будет собирать с участников финрынка информацию о кибератаках и оперативно оповещать их о подобных угрозах,— FinCERT. Таким образом, исполнено декабрьское решение Совета безопасности о создании центра реагирования на мошеннические действия в финансовой сфере. Привлекать участников рынка планируется на добровольной основе, но получать данные от ЦБ можно будет только в рамках двустороннего обмена информацией
Появление подобной тенденции — результат в том числе и появления на теневом рынке профильных специалистов — бывших банковских работников, уволенных на фоне оптимизации персонала, считают эксперты. "Скорее всего, подобные схемы реализуются через инсайд — агентов на территории самого банка или уволенных профессиональных айтишников, которые знают слабые места в защите IT-систем",— отмечает вице-президент Альфа-банка Вилен Тимирязев. Логика таких мошенничеств понятна: проще воровать крупными объемами с корсчетов, чем у клиентов, чьи средства ограниченны, отмечает он. "В такой ситуации все будет зависеть от степени защищенности систем банка и мониторинга всех трансакций во всех каналах",— добавляет господин Тимирязев. При этом, по его мнению, масштабы таких хищений будут расти.

В то же время рост объемов хищений сопровождается усложнением схем обналичивания украденных средств. "Еще один интересный тренд — российская преступность перестала пользоваться услугами обнальщиков--граждан РФ, она привлекает для этого иностранцев",— отмечает Артем Сычев. По его словам, в последнем кейсе, который обсуждали FinCERT и МВД, для массового вывода денег привлекалась бригада выходцев из Прибалтики с гражданством Великобритании, постоянно проживающих в Испании и приехавших в Россию по туристической визе. "Цель — запутать следы и максимально усложнить цепочку вывода денег",— отмечает один из собеседников "Ъ" на банковском рынке. Обналичивать деньги напрямую в России слишком опасно, снять их с карт за рубежом, где отследить их судьбу российским правоохранителям будет непросто, и затем привести сюда наличными в чемоданчике — тоже, сейчас за это просто никто и не возьмется. Поэтому дропы (лица, через которых обналичиваются деньги) приезжают сюда с картами зарубежных банков, в том числе скомпрометированными, и снимают деньги в банкоматах российских банков, отмечают источники "Ъ".