Хакерам удалось вывести с корсчета банка в ЦБ 0,7 млрд рублей

За год было совершено 20 успешных подобных атак на банки
Хакерам удалось похитить 0,7 млрд руб. с кор-счета Металлинвестбанка в ЦБ. За год успехом завершились 20 подобных атак на банки
Хакерам удалось похитить 0,7 млрд руб. с кор-счета Металлинвестбанка в ЦБ. За год успехом завершились 20 подобных атак на банки / Е. Разумный / Ведомости

Хакеры вывели с корсчета Металлинвестбанка в ЦБ 667 млн руб., сообщил банк. Инцидент произошел 29 февраля, списанные средства злоумышленники переводили на счета частных лиц в разных российских банках. Чтобы остановить переводы, банк даже делал запрос на отключение от системы расчетов ЦБ.

«Это была атака на АРМ КБР (автоматизированное рабочее место клиента Банка России. – «Ведомости»), мы ее зафиксировали, когда увидели странное поведение машин, отправляющих рейсовые платежи в ЦБ, и приняли меры», – рассказал «Ведомостям» заместитель предправления Металлинвестбанка Михаил Окунев.

Став жертвой атаки, банк полностью перестроил систему информационной безопасности. «Сейчас общая банковская сеть и те машины, которые отвечают за отправку платежей в ЦБ, у нас не связаны, – говорит Окунев. – Мы перешли на этот безопасный механизм работы, хотя он вызывает неудобства для работы операционного отдела». Большая часть тех сумм, которые были похищены, сейчас находятся на заблокированных счетах в банках, получивших переводы на счета физических лиц, сообщает Металлинвестбанк. Часть средств эти банки возвратили. «По нашим оценкам, 200 млн руб. – это то, что вернуть вряд ли удастся, часть украденной суммы банки заморозили у себя на счетах, но пока не вернули нам», ­– говорит Окунев. По его словам, Металлинвестбанк обратился в МВД, но преступники пока не установлены. Получить комментарии представителя МВД во вторник не удалось.

На 1 марта 2016 г. подобным атакам подверглись 19 банков, говорит представитель ЦБ. По его словам, Банк России обсудил предпринимаемые шаги с профессиональным сообществом и сообщил, что это будут меры как нормативно-правового, так и технического характера, включая усиление информбезопасности и защиты информации АРМ КБР. ЦБ не раз уведомлял участников платежной системы Банка России о необходимых мерах безопасности в связи с подобными покушениями на хищения средств кредитных организаций, подчеркивает он. И совместными действиями Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, банков и правоохранительных органов в I квартале 2016 г. удалось предотвратить хищение более 1 млрд руб.

По данным гендиректора Group-IB (расследует компьютерные преступления) Ильи Сачкова, с февраля 2015 г. преступные группы 26 раз атаковали АРМ КБР разных банков и 20 из этих атак были успешными. Как правило, говорит он, киберпреступников интересуют банки, не входящие в десятку крупнейших, которые практически беззащитны перед технически сложными атаками. Навыков преступной группы, атаковавшей Металлинвестбанк, может хватить и для успешной атаки на крупнейшие банки страны, считает Сачков.

Металлинвестбанк зарегистрирован в Москве, в «Интерфакс-ЦЭА» занимает 84-е место по активам. Капитал ­– ­7,3 млрд руб.

Атаки на АРМ КБР разрабатываются под каждый конкретный банк, продолжает Сачков. В отличие от атак на системы дистанционного банковского обслуживания, для которых достаточно закупить готовый вирус, вредоносный код атак на АРМ КБР вручную управляется оператором. Такой код обходит антивирусы и другие инструменты безопасности и способен перемещаться по сети банка, заражая только то, что нужно, объясняет Сачков. Успешность подобных атак пропорциональна числу попыток, одна из них обязательно окажется успешной, «поэтому обычные средства безопасности не помогут предотвратить такие атаки – защититься от них можно, только поймав преступников», говорит он.

В подготовке статьи участвовал Виталий Петлевой