Страдают все! Как кибермошенники «потрошат» счета минских предприятий
- Подписаться на
Количество киберпреступлений в столице в последнее время растет. Как оказалось, некоторые пострадавшие от рук хакеров сотрудники организаций так и не сделали должных выводов, вновь и вновь попадаясь на уловку компьютерных злоумышленников. Об этом корреспонденту агентства «Минск-Новости» рассказал следователь по особо важным делам отдела по расследованию преступлений против информационной безопасности СУ УСК по городу Минску Максим Дегтерев.
Кто пострадал?
О хищениях с помощью компьютерной техники (ст. 212 УК) массово заговорили в 2018 г. Наиболее крупный всплеск преступлений отмечался в 2019-м, но правоохранители продолжают фиксировать новые случаи уже и в нынешнем году.
В производстве следователей управления Следственного комитета по городу Минску находятся несколько подобных уголовных дел. Одно из них состоит из шести эпизодов. От рук злоумышленников пострадали несколько организаций, в том числе одна из государственных строительных компаний. Помимо нее в списке индивидуальные предприниматели, крестьянско-фермерские хозяйства, учреждения здравоохранения Беларуси.
— Какой-то выстроенной системы преступления по ведомственной подчиненности нам обнаружить не удалось, — обратил внимание М. Дегтерев. — Жертвами стали юридические лица с различными уровнем доходов, сферой деятельности и степенью защищенности. К тому же все они обслуживаются в разных банках.
Следователи вычислили схему, по которой действовали злоумышленники, и задержали подозреваемых. Один из задержанных заключен под стражу. Ему предъявлено обвинение в совершении преступления по ч. 4 ст. 212 УК. Теперь кибермошеннику грозит лишение свободы от 5 до 12 лет.
— К банковским счетам юрлиц и ИП подключены системы дистанционного обслуживания «Клиент-Банк». Для удаленной работы с нею бухгалтерам выдается USB-ключ. С его помощью оформляются и передаются в обслуживающий банк платежные поручения или другие финансовые документы для перевода денег на счета контрагентов организации, — поясняет следователь.
Бухгалтер готовит финансовый документ, например платежное поручение, и отправляет его в банк. Его сотрудники, в свою очередь, обрабатывают и переводят необходимую сумму на счет контрагента.
Как действуют кибермошенники
На адрес корпоративной почты организации, зачастую установленной на компьютере с системой «Клиент-Банк», злоумышленники высылают письмо, в которое вложен файл. Это скрытая установочная программа с расширением «.exe».
— Бухгалтер организации просматривает сотни сообщений в день. Как правило, через него проходит большой объем различного рода электронной корреспонденции, начиная от рекламы и заканчивая финансовыми документами, — обращает внимание М. Дегтерев. — Если на глаза ему попадается документ с условным названием «платежный отчет», не исключено, что специалист откроет такое сообщение.
Установочный файл при открытии автоматически распаковывается на компьютер и заражает его вирусом. Избавиться от троянской программы сложно, простое удаление прочитанного сообщения не поможет.
— Есть разные виды вредоносных программ, которые можно не только найти в свободном доступе в Сети, но и приобрести под заказ, — уточняет М. Дегтерев. — Такие вирусы позволяют злоумышленнику удаленно отслеживать действия на компьютере жертвы.
Например, кибермошенник получает возможность следить за нажатием клавиш, открытием рабочих окон, заполнением документов, вводом паролей и логинов. Есть софт, который позволяет управлять компьютером на расстоянии, а значит, и скопировать с него информацию, удалить ее либо заблокировать.
Если бухгалтер загружена большим количеством платежей, она не извлекает электронный ключ системы «Клиент-Банк» из системника компьютера часами. Обед, перекур, общение с коллегами и прочие посторонние дела, на которые отвлекается специалист, приоткрывают злоумышленнику доступ к ценной информации. Как только компьютер переходит в режим ожидания, кибермошенники начинают действовать. От загрузки вредоносной программы до перевода денег может пройти несколько дней. Отслеживая движение средств организации на расчетном счете, злоумышленник дожидается поступления необходимой суммы.
А упало, Б пропало
— У нас бывали случаи, когда в течение дня на счете организации отсутствовали деньги, в этот же вечер на него поступали 30 тыс. руб., а на следующее утро они тут же похищались, — рассказывает следователь. — Злоумышленник фактически контролировал поступление средств на счет.
К моменту похищения денег кибермошенник подготовил платежное поручение на отправку денег со счета организации на подконтрольные ему банковские счета либо счета подставных лиц — так называемых дропов. Это те, кто оформляет в банке на свое имя карточки, расчетные счета, регистрируется в качестве ИП или возглавляет фиктивное предприятие.
Есть примеры, когда деньги уходят со счетов пострадавшей организации (А) на счета зараженного таким же способом предприятия либо ИП (Б), а с него — на подконтрольные злоумышленнику (В). Чтобы блокировать проведение операции, банк должен первоначально заблокировать платеж между А и Б, если не успевает, то платеж между Б и В. Поскольку на это требуется немало времени, злоумышленник успевает распорядиться похищенным.
Но не все операции заканчиваются успехом для любителей легкой наживы. Банки зачастую самостоятельно приостанавливают процесс, вызывающий подозрение, тем самым страхуя счета своих клиентов.
— Иногда деньги зачисляются на счет предприятия Б либо попадают к дропу, и банк успевает блокировать счета обоих. К сожалению, в некоторых случаях какая-то часть похищенных денежных средств все-таки попадает в руки злоумышленника, — делится М. Дегтерев.
Так, недавно со счета одного из предприятий хакеры четырьмя платежами попытались вывести на подконтрольные им счета 560 тыс. руб. Платежные поручения для проведения перевода были подготовлены ими в течение двух минут. Бухгалтер на рабочем месте отсутствовал, а электронный ключ оставался в системном блоке без контроля.
Чтобы избежать подобных ситуаций, СК рекомендует:
— компьютер для проведения платежных операций, который используется для входа в систему «Клиент-Банк», лучше всего освободить от корпоративной почты. Для нее стоит отвести отдельный сервер;
— электронный ключ необходимо использовать только для проведения конкретной банковской операции, а по ее окончании извлекать устройство из системного блока;
— к сообщениям, поступающим от неизвестных отправителей, стоит относиться с опаской.
Справочно
В 2020 г. (все данные приводятся за январь — апрель) кибермошенники причинили ущерб почти на 800 тыс. руб. Для сравнения: в 2019 г. они смогли похитить 485 тыс. руб. В 2020 г. следователи направили в суд 498 раскрытых уголовных дел (419 — в 2019 г.). Обвиняемыми в 2020 г. признаны 525 человек (447 — в 2019 г.)
Смотрите также:
https://youtu.be/XMnleXFIWKg
