Хакеры «вскрывают» банки Татарстана: братья Хайруллины, братья Абдуллины – кто следующий?

Ренат Абдуллин: «Мы впервые столкнулись с кибератакой такого масштаба»

«В РОССИЮ ПРИХОДИТ ВОЛНА КИБЕРПРЕСТУПНОСТИ, О КОТОРОЙ РАНЕЕ МЫ ЗНАЛИ ЛИШЬ ПО ЗАПАДНЫМ БОЕВИКАМ»

Сегодня драматическую картину киберворовства, в результате которого со счетов Алтынбанка (бывший «Кара-Алтын»), принадлежащего главе ГЖФ Талгату Абдуллину, его брату, предправления банка Ренату Абдуллину и другим членам их семьи, пропали 60 млн. рублей, нарисовали в ходе пресс-конференции, созванной банком.

«24 декабря, около 9:15 утра, то есть через 15 минут после начала работы, некоторые компьютеры в головном офисе «Алтынбанка» стали самопроизвольно отключаться. Одновременно казначейство банка подняло тревогу — обнаружилось, что некоторые переводы средств клиентов банка, произошедшие накануне вечером, были выполнены по подложным реквизитам. Стало понятно, что банк подвергся атаке злоумышленников, которые таким образом пытались похитить деньги», — рассказал Ренат Абдуллин.

По его словам, в компьютерную сеть «Алтынбанка» была внедрена специальная программа, которая подменила в платежных поручениях клиентов наименование и банковские реквизиты получателя денег. Всего по подложным документам в два крупных московских банка было перечислено 60 млн. рублей на счета юридических лиц. Тут же, чтобы запутать следы, с этих счетов деньги разошлись по двум десяткам счетов других юрилиц в разных регионах России. Для примера Абдуллин назвал одну из компаний, на чье имя были перечислены деньги — «Вест вей» («Западный путь»). И заметил, что в Россию приходит волна киберпреступности, о которой ранее мы знали лишь по западным боевикам.

Кроме этого, по словам председателя правления Алтынбанка, чтобы выгадать время, необходимое злоумышленникам для обналичивания средств, внедренный вирус должен был парализовать работу банка, стерев всю информацию на компьютерах и отключив каналы связи, в том числе межбанковские. Однако в полной мере это не удалось осуществить: после вовремя поднятого сигнала тревоги все компьютеры в головном офисе Алтынбанка были тут же выключены.

«Мы впервые столкнулись с кибератакой такого масштаба, — признал Абдуллин. — Тем не менее хотел бы отметить слаженную работу коллектива нашего банка, особенно казначейства, которое вовремя обнаружило подмену в платежных поручениях и подняло тревогу, а также IT-отдела и службы безопасности, которым не только удалось предотвратить масштабные хищения средств со счетов клиентов банка, но и не допустить уничтожения информации на компьютерах. Это помогло нам быстро определить, куда были направлены средства и предпринять соответствующие меры». По его словам, чтобы предотвратить несанкционируемый вывод денег, ЦБ РФ по просьбе Алтынбанка отключил проводки электронных платежей, в том числе по межбанковской системе БЭСТ.

В компьютерную сеть Алтынбанка была внедрена специальная программа, которая подменила в платежных поручениях клиентов наименование и банковские реквизиты получателя денег

«СОЖАЛЕЮ, ЧТО ЭТИ ТАЛАНТЛИВЫЕ ЛЮДИ СВОИ ДОСТОИНСТВА ПРОЯВЛЯЮТ НА КРИМИНАЛЬНОЙ ПОЧВЕ»

Особенно Абдуллин отметил оперативность правоохранительных органов, которые в течение 1 - 1,5 часов возбудили уголовное дело по 4 части статьи 158 УК РФ по факту кражи, совершенной организованной группой и/или в особо крупных размерах, и разослали требование в банки о замораживании денежных средств, выведенных из Алтынбанка в качестве обеспечительной меры. Это позволило заблокировать большую часть денег. Впрочем, конкретную сумму денег, которую злоумышленникам все же удалось снять со счетов, Ренат Абдуллин сообщать не стал, сославшись на тайну следствия.

Прибывшие на место преступления эксперты в области кибербезопасности МВД РФ по РТ выяснили, что внедренная в Алтынбанк вредоносная программа была специально разработана под данную операцию и не распознавалась стандартным пакетом мощных антивирусных программ.

«То, что деньги одновременно перечислялись сразу во много регионов России, говорит о том, что действовал не одиночка, не фанатик или террорист, а хорошо организованная группа злоумышленников, с четким разделением функций», — считает Абдуллин. Преступникам надо было зарегистрировать компании, открыть счета в разных банках, оперативно подготовить платежные поручения, чтобы списать деньги в другие регионы, найти там людей, которые бы обналичили деньги. «Здесь работали очень организованно, профессионально и даже талантливо. Я очень сожалею, что эти талантливые люди свои достоинства проявляют на криминальной почве. Они могли бы принести большую пользу обществу», — сокрушался председатель правления Алтынбанка.

Впрочем, он высоко оценил и подготовку сотрудников банка. «То, что злоумышленникам не удалось провести более масштабное хищение и взломать все контуры безопасности Алтынбанка, говорит о том, что наша IT-система сработала хорошо», — отметил он, сославшись на печальный опыт казанского Энергобанка, из которого при схожих обстоятельствах в конце февраля 2015 года хакеры вывели около 250 млн. рублей, которые до сих пор не возвращены.

ЭНЕРГОБАНК: РАССЛЕДОВАНИЕ ПРОДОЛЖАЕТСЯ

Напомним, что 27 февраля в результате заражения компьютера Энергобанка зловредным вирусом тот начал выдавать команды на совершение сделок на валютной бирже, продавая и покупая валюту со значительным убытком. За 14 минут было совершено 7 сделок, в результате которых банк и лишился вышеупомянутой суммы. После этого компьютер отключился и стер всю информацию со своего диска. Попытки Энергобанка опротестовать сомнительные сделки на валютной бирже привели лишь к возмущению со стороны хорошо поживившихся участников валютных торгов, среди которых затесался и злоумышленник.

В середине декабря Банк России заявил, что признаков нарушения закона «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» в данном инциденте не было установлено. Комментируя «БИЗНЕС Online» это заявление Банка России, пресс-служба Энергобанка сообщила, что оно не содержит оценки факта наличия или отсутствия преступления по несанкционированному доступу и совершения операций без исходной воли банка.

Абдуллин высоко оценил и оперативность правоохранительных органов, и подготовку сотрудников банка

«Расследование уголовного дела по факту неправомерного доступа к компьютеру Энергобанка продолжается, и заявленные признаки преступления имеют соответствующие доказательства. Так, следственной экспертизой, к проведению которой правоохранительными органами были привлечены ведущие эксперты по компьютерной криминалистике, подтверждено обнаружение на торговом компьютере банка вируса с функционалом, позволяющим через удаленный доступ проводить за него торговые операции с подтверждением и факта активности вирусной программы именно в промежуток времени проведения несанкционированных операций с признаками намеренного повреждения файловой системы компьютера. Следственные и оперативные действия продолжаются. Окончательную оценку ситуации дадут правоохранительные органы только по завершении следствия», — говорится в комментарии пресс-службы Энергобанка нашей газете.

АБДУЛЛИН ПООБЕЩАЛ ВЕРНУТЬ ПОХИЩЕННЫЕ ДЕНЬГИ, НЕ ДОЖИДАЯСЬ СУДЕБНЫХ РЕШЕНИЙ

Возвращаясь к событиям в Алтынбанке, отметим, что Ренат Абдуллин принес свои извинения клиентам банка за доставленные неудобства и заверил, что их деньгам ничего не угрожает: все обязательства банка будут исполнены. «Вчера не работал только головной офис Алтынбанка в Казани. Работали все допофисы банка, находящиеся в Казани, Альметьевске и Набережных Челнах. Сейчас Алтынбанк полностью восстановил проводки платежей, разблокирован корреспондентский счет в электронной форме. Мы уже принимаем и перечисляем денежные средства без ограничений», — рассказал он.

Абдуллин пообещал, что банк возьмет на себя возврат клиентам похищенных средств, не дожидаясь завершения всей юридической процедуры. Как пояснил председатель правления Алтынбанка, процедура предусматривает судебные решения, которые обяжут банки возвратить средства с замороженных счетов. Впрочем, Ренат Абдуллин не видит в этом особых проблем — злоумышленники не смогут опротестовывать иски о возврате денег.

По его словам, у банка есть средства на выполнение обязательств — прибыль по итогам 2015 года ожидается на уровне 60 - 65 млн. рублей, что заметно больше результатов прошлого года. Кредитный портфель банка сейчас составляет 1,9 млрд. рублей, что на уровне 2014 года. В 2015 году капитал банка увеличился с 516 до 580 млн. рублей. В 2016 году ожидается еще одна докапитализация — до 1 млрд. рублей.

Статистика роста киберугроз в России в целом и в Татарстане в частности не радует тишиной и спокойствием

В ТАТАРСТАНЕ НАСТУПИЛ ПЕРЕЛОМ В БОРЬБЕ С КИБЕРПРЕСТУПНОСТЬЮ?

Статистика роста киберугроз в России в целом и в Татарстане в частности не радует тишиной и спокойствием. Один из самых известных борцов с кибермошенничеством в России, гендиректор компании Group-IB Илья Сачков (его компания занималась расследованием и ЧП в Энергобанке) в интервью «БИЗНЕС Online» оценил объем киберпреступлений в России за 2014 год в $2,3 миллиарда.

Заметим, однако, что случай с Алтынбанком говорит и о некоей положительной тенденции. Уголовное дело было возбуждено через 1,5 часа после обращения потерпевших, обеспечительные меры наложены почти мгновенно. Так что печальный опыт Энергобанка, похоже, не прошел даром, выводы, по крайней мере в правоохранительной и банковской системе Татарстана, были сделаны правильные. Если еще и злоумышленников удастся найти, то можно будет говорить о том, что в борьбе с киберпреступностью произошел перелом.

Гендиректор «IB-Восток» (татарстанский партнер IB-Group) Ильгиз Гайнутдинов подтвердил, что татарстанские правоохранители за последний год действительно стали действовать более оперативно и слаженно при парировании киберугроз. По его мнению, большой импульс придал прошедший в мае по следам событий в Энергобанке совет безопасности Татарстана, на котором глава РТ Рустам Минниханов дал поручение активизировать работу в этом направлении.

Примечательно, что именно сегодня полиция Татарстана отрапортовала о своих успехах в сфере киберпреступности. На пресс-конференции по профилактике хищений денежных средств начальник отдела управления экономической безопасности и противодействия коррупции (УЭБиПК) МВД по РТ подполковник полиции Ринат Акчурин сообщил, что с начала года органы выявили 123 телефона, зараженных вредоносным программным обеспечением для хищения денег с банковских счетов. Вовремя предупрежденные полицейскими счастливчики уже написали заявления своим операторам по приостановке системы «банк-клиент», но заявления о возбуждении уголовного дела никто из них пока не подал. «В Татарстане еще нет возбужденных дел, заявления не поступали, точнее сказать, есть дела, по которым ведется следствие и о которых мы ничего не можем сейчас сказать», — отметил Акчурин, отвечая на вопрос «БИЗНЕС Online» о том, сколько денег киберпреступники украли у жителей РТ, а сколько удалось вернуть.

По словам участвовавшего в пресс-конференции главы департамента киберразведки Group-IB Дмитрия Волкова, в России нет случаев успешных хищений путем заражения iOS или Windows Phone. Чаще всего вредоносные программы попадают на устройства на базе Android путем установки программ, содержащих в себе вирус, — такие случаи за год увеличились на 63%. Мошенник может так перехватывать все СМС и через СМС-банкинг перевести деньги на счет либо показывать поддельную страницу банка, куда клиент вводит свой пароль. Хакер может дать команду и показывать поддельное окно при доступе в Google Play, а также запросить данные карты, чего в стандартных настройках нет. Впрочем, по мнению специалиста, отказываться от мобильного банкинга не стоит, нужно просто соблюдать меры предосторожности, удалять сомнительные программы.

Комментируя кибератаку на Алтынбанк, Акчурин подтвердил, что дело возбуждено, ведутся оперативные мероприятия. «Сейчас устанавливаются все возможные варианты совершения преступления, говорить о чем-то конкретном мы сейчас не можем», — сказал начальник отдела УЭБиПК МВД по РТ. Он сообщил, что в полиции аудит банков на кибербезопасность не проводят, но ежегодно происходят встречи со службами безопасности банков, где «обсуждают безопасность и в том числе кибербезопасность».

По словам Волкова, чаще от кибератак страдают клиенты небольших банков в силу низкой степени безопасности. У крупных банков проблемы возникают реже. По оценкам главы департамента киберразведки Group-IB, за 2014 - 2015 годы в России хакеры похитили у них более 61 млн. рублей, в 2013 году было хищений на 105 млн. рублей. «Да, есть сокращение объемов хищений, банки усилили безопасность, ввели ограничения на операции, но есть риск того, что будет рост. Злоумышленники адаптируют свои программы путем доступа к картам через вредоносные программы, установленные на телефоне», — сообщил Волков и уточнил, что отдельной статистики по регионам в компании не ведут. Но за год количество преступных групп в РФ, работающих с мобильными приложениями, выросло на 200%, обнаружено более 2 млн. зараженных устройств.

С тревогой говорил об этой теме и министр МВД по РТ Артем Хохорин, принимая участие в интернет-конференции с читателями «БИЗНЕС Online». По статистике ведомства, в прошлом году было зарегистрировано 809 преступлений с использованием высоких технологий, в этом — 3 019, почти четырехкратный рост! К сожалению, раскрываемость таких афер падает — с 13,6% до 4,2%.

«IT-сектор сегодня все больше и больше вырастает по причиненному ущербу, — признал Хохорин. — Мы понимаем, что большое количество преступлений пока еще латентно. Серьезно занимаемся данной проблемой, выделяем специальных сотрудников, которые будут отвечать за это направление. На следующей неделе проводим научно-практическую конференцию по IT-преступлениям с приглашением специалистов из Москвы, из наших ведущих вузов, из компаний и будем обсуждать тактику работы».