Злоумышленники атакуют банки РФ через SWIFT

Злоумышленники атакуют банки РФ через SWIFT

 В ходе атак через SWIFT мошенники чаще всего инфицируют систему вредоносным ПО с помощью фишинговых писем. При открытии жертвой вредоносного сообщения идет захват информационной инфраструктуры банка. Злоумышленники начинают контролировать сеть, что делает доступной информацию обо всех операциях финансового учреждения, частоте и объеме транзакций, остатке по корсчету и пр. Мошенники управляют сетью банка неделю, максимум две. Затем готовится команда для вывода похищенных средств, составляются фальшивые документы о списании денег с корсчета, заверяемые легальными подписями ответственных лиц банка. Платежные поручения направляются в платежную систему, для которой это законный документ, поэтому она обязана его исполнить в соответствии с договором и законодательством.

 "Самый первый шаг для защиты от хакеров - повышение уровня осведомленности сотрудников банков в области угроз атак на внутреннюю сеть. А самый простой способ первоначальной проверки этого уровня - проведение тестовых, согласованных с банком фишинговых рассылок и эмуляция хакерской атаки. Наш опыт проведения таких "проверок" показывает, что в большинстве банков уровень осведомленности персонала в целом невысок. Тогда как достаточно, чтобы всего лишь один сотрудник открыл такое зловредное письмо", - отмечает руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов.

 По словам Юнусова, задача злоумышленников не ограничивается инфицированием одного рабочего места. Мошенникам необходимо повысить свои привилегии в сети, проникнуть в защищенный сегмент, обрабатывающий платежные поручения и отсылающий запросы в системы Банка РФ и SWIFT.

"Кибератак на российские банки через SWIFT в 2016–2017 годах точно станет больше. Речь идет о миллиардах рублей и десятках успешных атак. Логично, что хакеры в первую очередь начнут повторять успешный "пилотный проект", поэтому в первую очередь стоит обратить на это внимание банкам, подключенным к системе SWIFT", - сообщает Юнусов.

 "Речь действительно идет о миллиардных рисках, так как потенциальные потери банка в случае успешной атаки ограничены только остатком средств на его корсчете", - подтверждает зампред Локо-банка Андрей Люшин.

 Юнусов акцентирует внимание на том, что саму систему SWIFT и ее протоколы никто пока не взламывал. По словам эксперта, злоумышленники в вышеуказанных случаях проникли в сеть финансового учреждения и, получив полные права на компьютере с установленным клиентом системы, научились подменять для оператора данные о проведенных операциях. "Апдейт клиентского ПО, помогающий бороться с подменой таких данных, был выпущен сразу же. Точно так же меняет свои требования и клиентское ПО Банк России, пытаясь помочь кредитным организациям лучше справляться с атаками. Но главная ответственность за свои активы всё же лежит на самих банках", - подчеркнул Юнусов.

 В настоящее время представители SWIFT и "Россвифт" пока никак не прокомментировали ситуацию.

Securitylab