Тренд смещения интересов хакеров с банков на их клиентов порождает новые идеи для поиска жертв. Group-IB сообщила о выявлении группы из пяти полноценных бухгалтерских сайтов, созданных специально для хищения средств через систему "банк-клиент". По оценкам экспертов, подобный профильный "контент" потенциально может приносить злоумышленникам до 1,2 млн руб. в день. И пока банки с трудом могут защитить клиентов.

Group-IB сообщила о выявлении и блокировке сети из пяти бухгалтерских сайтов, целью создания которых было заражение посетителей банковскими троянами Buhtrap и RTM. Жертвами атак стали бухгалтеры, юристы и другие специалисты, работающие с системами дистанционного банковского обслуживания (ДБО). По оценке Group-IB, три ресурса, появившиеся в апреле, уже посетило не менее 200 тыс. человек.

Схема была раскрыта после попытки загрузки вредоноса в одном из российских банков. В ходе расследования установили, что троян загружался с профильного бухгалтерского ресурса buh-docum.ru, содержащего сотни специализированных документов для бухгалтеров. Ресурс регулярно появлялся в топе поисковой выдачи по соответствующим запросам ("скачать бухгалтерские бланки", "скачать бланк", "налоговая декларация скачать" и др.).

Заражение происходило при скачивании документа. Сначала компьютер жертвы "обследовался" на предмет доступа с него к ДБО, и при подтверждении сервер отдавал команду на загрузку троянов.

По оценке Group-IB, каждая успешная атака ежедневно приносила злоумышленникам в среднем 1,2 млн руб.

Эксперты отмечают, что в данном случае злоумышленники отошли от прежних схем - взлом легального бухгалтерского сайта (см. "Ъ" от 25 августа 2017 года) или создание его клона. Дело в том, что при заражении легально работающего сайта вредонос может выявить его владелец. В результате теперь были созданы полноценные ресурсы с сотнями полезных документов. А как отмечает партнер Energy Consulting Юлия Гладышева, "если бухгалтеру нужен конкретный документ, которого нигде нет, он зайдет на любой сайт, любой форум для получения информации". При этом, по словам главного редактора "Клерк.ру" Марины Снеговской, попасть в топ запросов поисковика довольно просто, зная механизмы поисковой оптимизации.

По данным Positive Technologies, использование вредоносного программного обеспечения входит в число самых распространенных методов атак (63% всех атак, по статистике за первый квартал 2018 года), причем до 31% всех заражений вредоносным ПО происходит во время посещения зараженного сайта. При этом защищаться от вредоноса в подобных ситуациях должна в первую очередь сама организация.

По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, необходимо внедрять эшелонированную систему защиты и концентрироваться на создании процесса мониторинга событий ИБ на критических узлах. В частности, необходимо контролировать безопасность компьютеров, на которых обрабатывается критическая для организации информация, включая финансовые трансакции.

Банкам же в данном случае крайне сложно защитить своего клиента от хищений. "Мы не можем проконтролировать, посещает ли бухгалтер, на компьютере которого стоит ДБО, сомнительные сайты, скачивал ли он файлы с незнакомых ресурсов, есть ли у него антивирус",- отмечает начальник управления информационной безопасности Златкомбанка Александр Виноградов. Как заявили в Сбербанке, продукты банка изначально были спроектированы с учетом данной угрозы. Таким образом, даже если на ПК бухгалтера будет установлен вирус, в том числе данного типа, средства клиентов будут защищены.

Мы как банк часто гордимся тем, что нас - Сбербанк - ни разу не взломали. А давайте поговорим о клиентах Сбербанка? Так ли защищены клиенты Сбербанка, как мы? Честный ответ - наши клиенты не защищены

Впрочем, с 1 января 2020 года вступают в силу поправки к нормативным документам ЦБ, которые потребуют от банка при невозможности обеспечить защиту от воздействия вредоносного кода разделять технологии по формированию платежного документа и по его подтверждению. В частности, в случае с корпоративными клиентами, по словам консультанта по безопасности Cisco Алексея Лукацкого, один компьютер будет готовить платежку, а с другого она будет отправляться в банк. Как надеются в ЦБ, эта мера существенно осложнит задачу злоумышленников.

Вероника Горячева