Злоумышленники атакуют банки РФ через SWIFT

Злоумышленники начали атаковать российские банки через систему межбанковских коммуникаций SWIFT. Мошенникам удалось похитить около €2 млн. Об этом сообщают корреспонденты «Известий» со ссылкой на источник, близкий к Центробанку. По мнению российских ИБ-экспертов, злоумышленники только тестируют новую схему хищений и в дальнейшем ущерб от краж денег через SWIFT будет возрастать.

В ходе атак через SWIFT мошенники чаще всего инфицируют систему вредоносным ПО с помощью фишинговых писем. При открытии жертвой вредоносного сообщения идет захват информационной инфраструктуры банка. Злоумышленники начинают контролировать сеть, что делает доступной информацию обо всех операциях финансового учреждения, частоте и объеме транзакций, остатке по корсчету и пр. Мошенники управляют сетью банка неделю, максимум две. Затем готовится команда для вывода похищенных средств, составляются фальшивые документы о списании денег с корсчета, заверяемые легальными подписями ответственных лиц банка. Платежные поручения направляются в платежную систему, для которой это законный документ, поэтому она обязана его исполнить в соответствии с договором и законодательством.

«Самый первый шаг для защиты от хакеров - повышение уровня осведомленности сотрудников банков в области угроз атак на внутреннюю сеть. А самый простой способ первоначальной проверки этого уровня - проведение тестовых, согласованных с банком фишинговых рассылок и эмуляция хакерской атаки. Наш опыт проведения таких «проверок» показывает, что в большинстве банков уровень осведомленности персонала в целом невысок. Тогда как достаточно, чтобы всего лишь один сотрудник открыл такое зловредное письмо», - отмечает руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов.

По словам Юнусова, задача злоумышленников не ограничивается инфицированием одного рабочего места. Мошенникам необходимо повысить свои привилегии в сети, проникнуть в защищенный сегмент, обрабатывающий платежные поручения и отсылающий запросы в системы Банка РФ и SWIFT.

«Кибератак на российские банки через SWIFT в 2016–2017 годах точно станет больше. Речь идет о миллиардах рублей и десятках успешных атак. Логично, что хакеры в первую очередь начнут повторять успешный «пилотный проект», поэтому в первую очередь стоит обратить на это внимание банкам, подключенным к системе SWIFT», - сообщает Юнусов.

«Речь действительно идет о миллиардных рисках, так как потенциальные потери банка в случае успешной атаки ограничены только остатком средств на его корсчете», - подтверждает зампред Локо-банка Андрей Люшин.

Юнусов акцентирует внимание на том, что саму систему SWIFT и ее протоколы никто пока не взламывал. По словам эксперта, злоумышленники в вышеуказанных случаях проникли в сеть финансового учреждения и, получив полные права на компьютере с установленным клиентом системы, научились подменять для оператора данные о проведенных операциях. «Апдейт клиентского ПО, помогающий бороться с подменой таких данных, был выпущен сразу же. Точно так же меняет свои требования и клиентское ПО Банк России, пытаясь помочь кредитным организациям лучше справляться с атаками. Но главная ответственность за свои активы всё же лежит на самих банках», - подчеркнул Юнусов.

В настоящее время представители SWIFT и «Россвифт» пока никак не прокомментировали ситуацию.