Мошенники начали применять новый способ фишинга — почтовую рассылку компьютерных дисков, с помощью которых корпоративным клиентам предлагается обновить систему защиты интернет-банкинга. На самом деле диск используется для получения конфиденциальной информации и хищения денежных средств со счетов компаний. О появлении этой схемы банки получили предупреждение от ЦБ.
В распоряжении Банки.ру оказалось письмо главного управления Банка России по Хабаровскому краю, которое оно разослало в кредитные организации в конце прошлого года. В нем регулятор предупреждает банки о появлении новой схемы мошенничества с клиентами — юридическими лицами, пользующимися услугами интернет-банка.
Как говорится в письме регулятора, злоумышленники применяют следующую схему: клиенты-юрлица получают почтовые конверты якобы от тех банков, в которых у них открыты расчетные счета. Конверт содержит компакт-диск и письмо с требованием загрузить с диска обновление так называемых СКЗИ — средств криптографической защиты информации. Причем письмо напечатано на листе, напоминающем фирменный бланк кредитной организации, а на самом диске указан логотип банка.
После этого мошенники, представляясь сотрудниками службы поддержки, звонят работникам организаций-клиентов, ответственных за осуществление расчетов по системе «Клиент-Банк», интересуются получением конвертов и рекомендуют срочно провести обновление программного обеспечения с использованием диска.
В действительности же, как указано в письме ЦБ, рассылаемый мошенниками по почте СD-диск содержит ПО, специально созданное для хищения конфиденциальной информации (секретной компоненты электронной цифровой подписи руководителя предприятия или лица, уполномоченного подписывать финансовые документы) и ее использования для перевода денежных средств на лицевые счета подставных лиц.
Регулятор также отмечает, что информация о попытках такого мошенничества поступила от территориального учреждения Банка России по Воронежской области.
В том, что получили такое письмо от ЦБ, признались ВТБ 24, Росбанк, Альфа-Банк, Алтайэнергобанк. Последние три в профилактических целях уже предупредили своих клиентов. Основной способ предупреждения — это адресная рассылка клиентам-юрлицам и публикация соответствующего предупреждения в системе интернет-банкинга.
Впрочем, по мнению экспертов по безопасности из профильных компаний, персональная рассылка предупреждений может порой давать и негативный эффект. Известно, что злоумышленники стараются не упускать возможности на волне официальных банковских уведомлений любого характера рассылать клиентам и свои собственные, чтобы попытаться тем или иным способом выведать конфиденциальную информацию.
В ВТБ 24 сообщили, что никаких действий в связи с получением письма ЦБ банк не предпринимал, объясняя это тем, что обновление СКЗИ описанным в письме регулятора способом противоречит требованиям по безопасности системы ДБО, с которыми клиенты должны быть ознакомлены. «Мы используем другой способ распространения СКЗИ», — добавили в кредитной организации.
Во всех опрошенных Банки.ру финучреждениях отметили, что СЗКИ не обновляются путем рассылки компакт-дисков. По словам начальника управления трансакционных продуктов и процессов Промсвязьбанка Виталия Анпилогова, возможность почтового мошенничества учитывалась еще на этапе проектирования системы PSB Online, которая в итоге полностью базируется на серверах банка и, соответственно, не требует обновлений на машинах пользователей.
В кредитных организациях также рассказали, что пока не зафиксировали случаев с реальными пострадавшими от почтового мошенничества.
В компаниях «Лаборатория Касперского» и Eset, специализирующихся на разработке антивирусов и защите информации, сообщили, что пока не получали от банков обнаруженные вредоносные программы для исследования и разработки «противоядия». Возможно, это объясняется тем, что мошенничество пока не достигло значительных масштабов. Тем не менее подобные схемы, несмотря на то, что являются экзотикой для России, распространены в других странах. В США первые похожие инциденты были зарегистрированы около 10 лет назад.
Генеральный директор Group-IB Илья Сачков рассказал, что информация о получении клиентами банков конвертов с вредоносным кодом появилась осенью прошлого года. Посылая такие программы по почте, преступники пытаются обойти компьютерные системы безопасности, позволяющие сканировать электронные письма на предмет содержания вирусов.
Вредоносное письмо, отправленное по электронной почте, рискует оказаться в корзине со спамом, его может заблокировать антивирус. Да и сам пользователь может не обратить внимания на такое послание. Другое дело — конверт, с привычным банковским бланком и вложенным компакт-диском, доставленный лично в руки знакомым секретарем, получившим письмо у курьера.
Собрать необходимую базу данных корпоративных клиентов для рассылки, по мнению Сачкова, не представляется сложным: правильно составленный поисковый запрос позволяет в считаные часы получить внушительный список юридических лиц, имеющих счета в том или ином банке.
Клиентам, по неосторожности установившим на компьютере вредоносное программное обеспечение с присланного по почте диска, банки рекомендуют связаться со службой поддержки, заблокировать операции через интернет-банк и узнать о том, какие операции были проведены с момента заражения компьютера. Сам компьютер рекомендуется отключить от корпоративной сети и использовать для работы лишь после переустановки операционной системы и в полной уверенности в отсутствии вредоносного кода.
Для содействия правоохранительным органам в расследовании компьютерного преступления эксперты Group-IB советуют поступать следующим образом. Запрещается включать компьютеры до прибытия экспертов из банка и независимых криминалистов, проводить антивирусную проверку зараженных компьютеров или переустанавливать ОС, поскольку такие мероприятия приводят к удалению файлов вредоносных программ и уничтожению следов их деятельности, что усложняет расследование инцидента.
До прибытия представителей банка и полиции необходимо подготовить подробное письменное объяснение, договор на оказание услуг дистанционного банковского обслуживания, договор на предоставление услуг доступа в сеть Интернет, носители с ключами ЭЦП, предоставленные банком, и их копии. В дальнейшем пострадавшей стороне следует в соответствии с инструкциями сотрудника банка и криминалиста выполнить ряд технических мероприятий по сохранению цифровых доказательств. Последние могут сыграть роль важных улик при установлении личности злоумышленников и их фактического местонахождения.
Начать дискуссию