Хакеры украли у четырёх банков миллиард рублей с помощью бота
В общей сложности от рук хакеров и их бота пострадали четыре кредитных учреждения.
Как выяснилось, главарём банды хакеров, обокравших четыре банка на 1 миллиард рублей, был спортсмен с Украины. Им оказался 29-летний боксёр из города Сумы Юрий Лысенко. Перебравшись в Москву, он собрал вокруг себя программистов и организовал банду хакеров, обокравших четыре банка на миллиард рублей.
Спецслужбы раскрыли группу хакеров, обманувших "Промсвязьбанк", "Траст", "Уралсиб" и банк "Зенит" на миллиард рублей.
16 молодых людей в Москве сколотили банду и занялись мошенничеством в Интернете. Выбор преступников пал на банковскую сферу и операции в режиме онлайн. Всего за четыре месяца программисты обокрали банки на миллиард рублей. Афера удалась благодаря специальной программе, которую они придумали.
— Группа интернет-мошенников, обладающих знаниями в области программирования и технологий, разработала бота, который в определённый момент времени после проведения транзакций со счёта на счёт производил отмены операций, — рассказал источник в правоохранительных органах. — Однако к этому времени денежные средства уже по платёжному поручению через интернет-банкинг отправлялись, а в банк команда приходила с запозданием. В основном переводы были с долларового на рублевый счета, или с долларового на евро.
Главарь банды хакеров изучил порядок, организацию и систему функционирования банковских процессинговых систем, обрабатывающих финансовые операции в сети Интернет в режиме реального времени, а потом нашёл "единомышленников" — от водителя до обнальщиков, с которыми и осуществил интернет-мошенничество.
Действовали мошенники по такой схеме: заводили банковские карты на чужие имена, шли к терминалу, пополняли счёт, переходя к другому терминалу, снимали незначительную сумму и брали квитанцию, после чего, получив из банкомата квитанцию с авторизационными данными прямой легальной карточной банкоматной операции снятия денежных средств, использовали её реквизиты и через подложное электронное распоряжение отменяли снятие наличных.
В результате таких действий баланс счёта банковской карты был восстановлен и пополнен на указанную сумму. Таким образом банда хакеров-программистов смогла причинить ущерб четырём банкам на сумму свыше 1 миллиарда рублей. Что интересно, начала группа "работать" с суммы в миллион рублей, постепенно подобными операциями увеличив сумму до миллиарда.
Тревогу забила служба безопасности одного из банков, после чего они обратились в управление "К" МВД РФ. После проведения расследования все участники группировки были выявлены и задержаны. Возбуждено уголовное дело по статьям "Мошенничество" и "Организация преступного сообщества".
source: life.ru/t/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8/924580/boksior_s_ukrainy_vozghlavlial_ghruppirovku_khakierov_ukravshikh_1_mlrd_rubli ei_u_bankov
Сегодняшняя новость о задержании банды, специализирующейся на киберограблениях банков, не содержит детального описания схемы, которой пользовались преступники. Однако люди, сведущие в информационной безопасности, увидят в ней достаточно, чтобы опознать если не саму группировку, то использующиеся ею методы. По всей видимости, речь идёт о задержании группы Metel, либо их "коллег".
О деятельности Metel, она же Corkow, в прошлом году вкратце рассказывали "Лаборатория Касперского" и Group-IB, проводившие расследования по заданиям различных банков. На счету группы атака на биржевые терминалы казанского "Энергобанка", вызвавшая значительное колебание курса рубля к доллару, а также серия ловких ограблений банков посредством "неисчерпаемой" дебетовой карты. Следует учитывать, что термин "группировка Metel" относится ко всем преступникам, использующим Metel – троянскую программу, специализированную на получение доступа к банковским информационным системам. Поэтому вполне вероятно, что речь идёт о нескольких группах, закупивших и освоивших одного и того же троянца, и никак иначе не связанных.
Схема с неисчерпаемой дебетовкой устроена весьма изящно. Преступники массово рассылают так называемые фишинговые письма, содержание которых написано так, чтобы обмануть получателя и вынудить его открыть приложенный файл. Нечто подобное получают время от времени почти все, причём порой отправителем значится ваш реальный знакомый (например, если его компьютер заражён). В случае атаки на банк хакеры могут действовать через отдел кадров, присылая письмо якобы с резюме, через бухгалтерию, предлагая открыть скан платёжного документа, или через любого сотрудника, предлагая ему посмотреть чьи-то интимные фото. В письме всегда содержится замаскированный файл троянца, при запуске которого происходит заражение. Есть и другие методы первичного заражения, но этот — наиболее простой в исполнении и практикуется наиболее широко.
После первичного заражения троянец определяет, на чей компьютер он попал и какими полномочиями обладает жертва, затем обращается к своему серверу за получением дополнительных команд и загружает необходимые модули. Если удалось заразить компьютер сетевого администратора банка, начинается дальнейшее распространение по сети — троянец ищет компьютеры сотрудников кредитного учреждения, имеющих право отменять транзакции, проведённые в банкоматах клиентами банка.
Получив сигнал, что троянец попал куда надо, злоумышленники идут в атакованный банк получать по поддельным или украденным документам дебетовую карту. На карту вносится солидная сумма денег. Затем преступники возят эту карту по разным банкоматам в различных городах присутствия банка и везде снимают эту сумму. Один из членов банды в это время управляет внедрённым троянцем, который отменяет банкоматные транзакции по карте сразу после выдачи денег, — таким образом, она становится неисчерпаемой.
Ключевой момент тут в том, что карта выдана тем же банком, которому принадлежат "выдаиваемые" банкоматы. В этом случае транзакция идёт не через платёжную систему Visa/MasterCard/МИР, а обрабатывается исключительно внутри процессингового центра банка. Такую транзакцию банк может отменить, чем и пользуются преступники. Технически в атаке Metel ничего нового нет и, казалось бы, банки легко могли бы защититься от этого — средств хватает. На практике преступникам благоприятствует ряд обстоятельств:
— Большинство банков защищаются от вредоносных программ с помощью обычных антивирусов. Антивирусный контроль на почтовом сервере и на атакуемом компьютере эффективен, только когда антивирус "знает" именно эту версию троянца. Новые, не попадавшиеся ещё исследователям версии, практически невидимы. Более продвинутые технологии — белые списки, анализ поведения программ и так далее — создают много неудобств в работе и применяются банками лишь на самых критичных участках, например, для защиты автоматизированных рабочих мест клиента Банка России (АРМ КБР). Атака Metel проводилась через рядовые машины.
— Физическое разделение корпоративной сети и сети процессингового центра также не практикуется многими банками. У работников центра помимо поддержания бесперебойного хождения транзакций и решения оперативных задач есть ещё необходимость получать и отправлять электронную почту, пользоваться внутренними порталами банка, выходить в Интернет. Держать на рабочем месте два компьютера, подключённых к разным сегментам сети, не только затратно, но и неудобно для пользователя. В итоге присланный по почте троянец получает доступ к управлению транзакциями на том же самом компьютере.
— Тренинги по информационной безопасности производят ограниченный эффект: на десять сотрудников, усвоивших базовые правила, всегда есть один раздолбай, он-то и окажется слабым звеном. Тут сработают большие числа: если разослать, к примеру, 10 тысяч фишинговых писем (а это всего-то 100 сотрудников в 100 банках), обязательно найдётся несколько человек, склонных бездумно открывать вложения.
Учитывая масштабы украденного, инциденты такого рода крайне опасны для финансовой устойчивости банков — это уже не кража 10 тысяч рублей с карточки пенсионера, такие потери в бюджет не заложишь. Значит, меры будут приняты, иначе кто-то лишится своих банков, а кто-то — своих вкладов.
source: life.ru/t/%D0%BC%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F/924766/kak_ukrast_u_banka_milliard
