23.07.2012

Клиенты банков в России уже потеряли по 300-400 тыс. руб. от атак хакеров

CNews, июнь, 2012<br>
Экспертное мнение С.Л. Груздева, генерального директора компании "Аладдин Р.Д."

Эксперты говорят о тысячах случаев атак на системы интернет-банкинга ежегодно. Если средняя потеря компании-клиента оценивается в сотни тысяч рублей, то за месяц такие организации теряют уже сотни миллионов. С 2013 г. банкам придется возмещать потери от неавторизованных клиентами транзакций.

Средний ущерб юрлица-клиента российского банка от успешной атаки на системы дистанционного банковского обслуживания (ДБО) составляет 300-400 тыс. руб. В день в среднем происходит порядка 50 атак. Такую оценку привел CNews генеральный директор «Аладдин Р.Д.» Сергей Груздев.

«За два последних года мы видим экспоненциальный рост числа атак на системы ДБО, - говорит он. – Атакам подвергаются клиенты ДБО практически каждого российского банка». Для юридических лиц, как правило, такие суммы являются неприятными, но не критическими потерями, поэтому до обращения в полицию часто дело не доходит, либо после обращения в полицию пострадавшие компании, видя бесперспективность надежд вернуть похищенное, оставляют попытки.

Неофициальные экспертные данные компании «Андэк» еще более впечатляющи: на каждый крупный и средний банк общая сумма попыток незаконных списаний составляет 10-20 млн. руб. ежемесячно. При этом со счетов физлиц средняя попытка мошеннического списания составляет от 30 до 50 000 руб. (по зарплатным картам). «Для юрлиц попытки списаний измеряются цифрой от 500 тыс. руб. и выше», - оценивает эксперт «Андэк» Олег Глебов. - По обобщенному мнению экспертного банковского и околобанковского сообщества ежемесячный ущерб от атак на все системы ДБО можно смело оценивать в 450–500 млн. руб. Пиковый дневной ущерб по всем банкам достигал 90 млн. руб.».

«Официальной статистики нет, сейчас вся информация о хищениях в ДБО закрыта и не покидает пределов банка, - говорит Олег Глебов. - С изменением законодательства и скором выходе указаний ЦБ банки будут обязаны предоставлять официальную статистику».

По словам гендиректора «Аладдин Р.Д.», в некоторых случаях ущерб от атак на систему интернет-банкинга может быть значительно выше суммы в несколько сотен тысяч рублей. «Клиенты одного из банков проводили через ДБО оплату сделки по продаже части бизнеса, - рассказывает CNews Груздев. – Транзакцию по переводу суммы свыше 1 млрд руб. на счет, отличный от счета получателя, удалось заблокировать только на уровне скоринговой системы, диагностировавшей подозрительную активность».

Cредний ущерб компании-клиента от атаки на системы ДБО составляет сотни тысяч рублей

Троянские программы пишутся мошенниками под конкретные системы ДБО и, более того, под конкретную установку в том или ином банке, говорит Груздев: «Заражение компьютеров клиентов банка происходит с помощью фишинговых писем, через социальные сети или инфицированные страницы популярных сайтов. Атаковать серверную часть системы ДБО в самих банках сложнее, в среднем такие организации обращают на ИБ больше внимания, чем их клиенты».

Груздев условно делит злоумышленников на две большие категории: начинающие взломщики (пользующиеся доступным хакерским инструментарием) и профессионалы. Первые, после покупки специальных программ, атакуют клиентов ДБО с использованием известных уязвимостей. Вторые способны провести виртуозный взлом, в ходе которого перехватываются данные, защищенные, в том числе, с помощью аппаратных ключей защиты. В этом случае злоумышленники способны выводить средства на свои счета, несанкционированно (и скрытно от владельца) подписывая документы ЭЦП клиента. Пока число таких атак и ущерб от них не настолько велики, чтобы банки начали прицельно с ними бороться, но их количество будет расти, уверен Груздев.

Проблемой расследования таких случаев он называет территориальную распределенность атаки. «Следственные действия должны вестись по месту преступления, - говорит Груздев. – Но какое территориальное подразделение будет заниматься расследованием, если деньги московского клиента были выведены в Магадан? Задержания и суды сейчас скорее исключение из правил».

Сегодня банк, как правило, не отвечает перед клиентами за такие потери. «В договоре с банком прописываются требования по защите рабочих мест у клиента, выполнить которые может только зрелый с точки зрения информационной безопасности клиент, особенно когда дело касается криптографии (СКЗИ), - говорит Сергей Груздев. – Но с начала 2013 г. банки, в ряде случаев, должны будут компенсировать потери».

Речь идет о законе «О национальной платежной системе» (НПС), вступающем в силу с 1 января 2013 г. Одна из его статей обязывает банки информировать клиентов об операциях со счетом, а в случае перевода денежных средств без подтверждения компанией банк должен будет возместить ущерб.

Напомним, что в последнее время стало известно сразу о нескольких случаях задержания злоумышленников, пользовавшихся программой Carberp для атак на системы ДБО. В июне 2012 г. Управление «К» объявилоо задержании обвиняемого в хищении 150 млн руб. Весной стало известно о задержании группы из восьми человек, специализировавшейся на таких хищениях в течение двух лет.