Хакеры начали атаковать российские банки через SWIFT
Хакеры начали атаковать российские банки через систему межбанковских коммуникаций SWIFT. Об этом «Известиям» сообщил источник, близкий к Центробанку. Информацию подтвердили представители компаний, специализирующихся на кибербезопасности. По словам источника «Известий», кибермошенники увели из пострадавших банков около €2 млн. Эксперты уверены, что это лишь пробный шар. В дальнейшем ущерб от краж денег через SWIFT будет расти.
Технически схема кибератаки на систему Society for Worldwide Interbank Financial Telecommunications (SWIFT) по своей сути не отличается от атаки на корсчета банков. Мошенники запускают вредоносное ПО для взлома информационной системы кредитной организации (в данном случае — SWIFT). Чаще всего — через рассылку фишинговых писем. Достаточно, чтобы один сотрудник открыл зараженное письмо, и хакерам дорога открыта.
После этого идет захват информационной инфраструктуры банка — фактически злоумышленники начинают управлять сетью, им становится доступна информация обо всех операциях банка, частоте и объеме транcакций, остатке по корсчету. Хакеры «сидят» в сети банка неделю, максимум две. Затем готовится бригада для вывода (обналичивания) похищенных средств, формируются фальшивые документы о списании средств с корсчета, заверяемые легальными подписями ответственных лиц банка. Платежные поручения направляются в платежную систему, для которой это легальный платежный документ, поэтому она обязана его исполнить в соответствии с договором и законодательством.
— По логике SWIFT — следующая возможная цель атак хакеров в России, — комментирует гендиректор Digital Security Илья Медведовский. — Так же как в свое время случилось с АРМ КБР (автоматизированное рабочее место клиента Банка России), SWIFT сегодня после атак на западные банки явно перестал быть для злоумышленников «черным ящиком». Технология атак на SWIFT уже достаточно отлажена, а значит, вполне вероятно, что российские киберпреступники смогут воспользоваться западным опытом.
По словам руководителя отдела безопасности банковских систем Positive Technologies Тимура Юнусова, самый первый шаг для защиты от хакеров — повышение уровня осведомленности сотрудников банков в области угроз атак на внутреннюю сеть.
— А самый простой способ первоначальной проверки этого уровня — проведение тестовых, согласованных с банком фишинговых рассылок и эмуляция (точное выполнение компьютером программы или ее части, записанных в системе команд другого компьютера) хакерской атаки, — поясняет Тимур Юнусов. — Наш опыт проведения таких «проверок» показывает, что в большинстве банков уровень осведомленности персонала в целом невысок. Тогда как достаточно, чтобы всего лишь один сотрудник открыл такое зловредное письмо.
Представитель Positive Technologies подчеркивает, что задача хакера не ограничивается заражением одного рабочего места: нужно повысить свои привилегии в сети, проникнуть в защищенный сегмент, обрабатывающий платежные поручения и отсылающий запросы в системы Банка России и SWIFT.
По прогнозам представителя Positive Technologies, кибератак на российские банки через SWIFT в 2016–2017 годах «точно станет больше».
— Речь идет о миллиардах рублей и десятках успешных атак, — уверен Тимур Юнусов. — Логично, что хакеры в первую очередь начнут повторять успешный «пилотный проект», поэтому в первую очередь стоит обратить на это внимание банкам, подключенным к системе SWIFT.
Зампред Локо-банка Андрей Люшин подтверждает, что «речь идет о миллиардных рисках, так как потенциальные потери банка в случае успешной атаки ограничены только остатком средств на его корсчете».
По прогнозам ЦБ, объем киберхищений с учетом атак на корсчета банков по итогам 2016 года составит около 4 млрд рублей. По мнению экспертов, с учетом атак на кредитные организации через SWIFT этот показатель будет превзойден.
Тимур Юнусов обращает внимание на важный нюанс: саму систему SWIFT и ее протоколы никто пока не ломал.
— Ясно, что хакеры в вышеуказанных случаях проникли в сеть банка и, получив полные права на компьютере с установленным клиентом системы, научились подменять для оператора информацию о проведенных операциях, — пояснил собеседник. — Апдейт клиентского ПО, помогающий бороться с подменой таких данных, был выпущен сразу же. Точно так же меняет свои требования и клиентское ПО Банк России, пытаясь помочь кредитным организациям лучше справляться с атаками. Но главная ответственность за свои активы всё же лежит на самих банках.
В SWIFT и «Россвифт» не предоставили оперативный комментарий на запросы «Известий». К SWIFT подключено 9 тыс. банков из 209 стран мира. По сведениям «Известий», российские банки отчисляют на серверы и зарплаты 2 тыс. сотрудников центрального офиса в Брюсселе по €40–150 тыс. в год. Ранее хакерским атакам через систему SWIFT подвергались Центробанк Бангладеша (ущерб составил $81 млн), эквадорский Banco del Austro ($9 млн) и украинский банк, название которого не разглашается ($10 млн).