4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Клиенты российских банков могут лишиться денег изза атаки нового троянца

Российские банки обнаружили новый вирус для хищения денег

Российские банки начали сталкиваться с новым видом мошенничества — трояном, который способен автоматически переводить средства через банковские мобильные приложения для операционной системы Android (так называемый автозалив). Механизм работы вируса в своем ежегодном докладе Hi-Tech Crime Trends 2019 (есть у РБК) описала компания Group-IB, которая специализируется на вопросах кибербезопасности.

РБК опросил крупнейшие банки, и два из них сообщили, что имели дело с таким вирусом, хотя масштабы его применения пока крайне малы.

Как работает вирус

Раньше вирусы для Android умели только демонстрировать на зараженном устройстве поддельные окна для ввода данных карты и перехватывать СМС-сообщения с кодом подтверждения транзакции, говорится в докладе. Новый вид зловредных программ появился в 2019 году: теперь они могут автоматически переводить деньги со счета жертвы через банковское мобильное приложение, установленное на смартфоне, на счет злоумышленника.

«Функциональные возможности новых троянов под Android практически приблизились к троянам-банкерам (вид вируса, который крадет данные учетных записей электронных банковских систем, систем электронных платежей, пластиковых карт пользователей этих услуг и отправляет злоумышленнику. — РБК). Они рассчитаны на массовое заражение и максимальную капитализацию бизнеса своих операторов», — сказал РБК представитель Group-IB.

Впервые эксперты Group-IB зафиксировали новый вид атаки весной 2019 года, когда до функции автозалива был модифицирован новый мобильный Android-троян Gustuff, созданный в декабре 2018 года русскоязычным хакером. Однако этот тип вируса угрожал только 100 иностранным банкам, в том числе в США, Польше, Австралии, Германии и Индии.

Как может заразиться смартфон

Мошенники маскируют вирусы под приложения (игры, браузеры) или файлы (книги и т.п.), затем распространяют их в виде ссылки на сайтах для взрослых, сайтах со взломанными приложениями и пиратскими фильмами, торрент-трекерах, по электронной почте и СМС. Чтобы заразить смартфон, троян надо скачать и установить. После этого он начинает выполнять свои функции без ведома пользователя.

Кто столкнулся с трояном

В 2019 году с новым видом троянов столкнулись клиенты минимум двух российских банков — Почта Банка и МКБ, рассказали РБК их представители.

«В настоящее время наблюдается увеличение доли хищений с использованием такого рода троянов. Однако такие случаи единичны и в общей доле фрода (мошенничество с использованием информационных технологий. — РБК) незначительны», — отметил директор департамента электронного бизнеса МКБ Алексей Курзяков.

В Почта Банке также фиксируют единичные случаи подобных атак, но банку удалось их предотвратить.

В ВТБ, Росбанке и Райффайзенбанке подобных атак не фиксировали (в ВТБ подчеркнули, что банк не видит, находится ли подобный вирус на устройстве клиентов, поэтому опираются на их жалобы, которых не поступало). Остальные крупные кредитные организации на запрос РБК не ответили.

Почта Банк и МКБ, клиенты которых были атакованы новым вирусом, могут отслеживать заражение смартфонов и при необходимости предупреждать клиентов, рассказали РБК в банках. «Для выявления несанкционированных операций, которые проводятся с помощью зловредного ПО, установленного на смартфоне, помимо транзакционной аналитики мы также используем специальные средства, которые позволяют нам выявлять факты установки троянов на устройства клиентов. Сопоставление нехарактерной для клиента активности с уровнем риска заражения его устройства позволяет эффективно противодействовать такого рода фроду», — объяснил вице-президент, директор по безопасности Почта Банка Станислав Павлунин.

Появление нового вида троянов в текущем году подтверждают и в антивирусной компании «Лаборатория Касперского». Однако случаи, когда он управлял банковским приложением, заставляя его провести платеж, единичны, утверждает антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

Всего за год (с июля 2018 по июнь 2019 года) с помощью троянов для Android хакеры смогли украсть 110 млн руб., говорится в отчете Group-IB. По сравнению с аналогичным периодом годом ранее этот показатель упал на 43%. Сократилось и число группировок, которые используют эти вирусы в России, — с восьми до пяти. Перестали действовать трояны с наибольшим числом мошеннических транзакций. В среднем в день происходит около 40 успешных атак, а сумма одного хищения составляет 11 тыс. руб., посчитали в Group-IB.

Активность троянов в России снизилась после задержания владельцев крупнейших Android-бот-сетей, в результате чего хакеры переключились на международный рынок, сообщил представитель Group-IB: «Однако некоторые злоумышленники патчат (модифицируют. — РБК) приложения и продают трояны для последующих атак на пользователей в России. Это редкая практика».

Жертвы оздоровления: ВИП-клиенты банка «Траст» могут лишиться своих денег

В конце декабря 2014 года Центробанк предоставил «ФК Открытие» на санацию банка «Траст» 127 млрд рублей. Председатель правления «Открытие холдинга» Рубен Аганбегян заверил, что санация «Траста» не скажется на его клиентах. Однако эти слова не относятся к ВИП-клиентам «Траста», которые инвестировали размещенные во вкладах средства в кредитные ноты банка: как выяснил Forbes, привлеченные деньги банк отображал на балансе как капитал второго уровня, «надув» его таким образом на несколько миллиардов рублей.

«Мы проводим углубленный due diligence банка «Траст», в рамках которого также будет изучаться ситуация с кредитными нотами (CLN)», — заявили в пресс-службе банка «ФК Открытие». От дальнейших комментариев до завершения комплексной оценки представители банка-санатора отказались. Управляющий директор «Траста» Григорий Варцибасов, проработавший в банке десять лет, надеется, что в результате санации все обязательства сохранятся, в том числе и по обеспечению выплат держателям кредитных нот.

Читать еще:  Какие дополнительные гарантии нужны банку

Однако опрошенные Forbes юристы полагают, что держатели нот, по сути, лишились вложенных денег.

Банк «Траст» еще летом 2011 года принял новую стратегию развития, в рамках которой около 2000 состоятельных участников «Траст-клуба» стали регулярно получать предложения размещать свободные деньги не в классические депозиты, а в кредитные ноты по повышенной ставке (CLN – Credit linked note). Эмитентом нот выступила нидерландская дочерняя компания специального назначения C.R.R. B.V. Обеспечением выплат по нотам являются субординированные кредиты, полученные банком от эмитента. Минимальная сумма сделки при продаже в розницу составляла от 5 млн рублей.

Идею продукта подсказали сами клиенты, уверяла три года назад бывший член правления «Траста» Елена Речкалова. По ее словам, они хотели инвестировать в менее консервативные и более доходные инструменты. От комментариев для этой статьи Речкалова отказалась.

Поначалу разница в процентных ставках между депозитами и нотами достигала полтора процентных пункта в рублях и валюте. Время от времени банк предлагал и более высокие ставки, в валюте, например, они вырастали с 5% до 10% годовых, вспоминает один из бывших сотрудников «Траста».

Розничные клиенты покупали ноты на срок от полугода до трех лет, менеджеры банка заявляли о готовности выкупать их досрочно по льготной ставке. Однако сформированные этим денежным потоком суборды банк считал долгосрочными. Формально сроки погашения почти по всем субординированным выпускам облигаций банка наступают после 2020 года, что позволяло с разрешения ЦБ учитывать полученные деньги в капитале второго уровня.

«Это синтетический финансовый инструмент в схеме бумажной докапитализации «Траста». Вкладчикам говорили, что это облигации, которые имеют вторичное хождение и могут быть выкуплены. В ЦБ же говорили, что это капитал и вкладчики решили поучаствовать в собственных средствах банках. Вряд ли кто-то получит эти деньги обратно», — объясняет источник, близкий к руководству банка. По его словам, большинство денежных средств из учтенных в капитале субордов привлечены от физлиц. По данным на 1 декабря 2014 года, эта сумма составляла 12,4 млрд в рублевом эквиваленте, или 40% всего капитала (осенью 2011 года — всего 4 млрд рублей). Варцибасов говорит, что среди держателей кредитных нот есть также юридические лица, в том числе финансовые институты.

«Понятно, что вкладываться в субординированные кредиты банков очень рискованно. Я своих клиентов о рисках предупреждал, и, когда я ушел из «Траста», все они избавились от его кредитных нот», — говорит бывший менеджер по работе с ВИП-клиентами «Траста».

Несколько ВИП-клиентов банка, которых удалось разыскать, с облегчением сообщили, что успели продать кредитные ноты до краха банка.

Один ВИП-клиент с сожалением заявил, что, вероятно, зря не купил в свое время эти ноты на короткий срок. Вместо этого он оставил сбережения на валютном депозите в обанкротившемся Мастер-банке, и все средства, превышающие застрахованную государством сумму, были потеряны. Реакцию клиентов «Траста», оставшихся с нотами, узнать не удалось.

В отчетности по международным стандартам «Траст» сообщал, что привлечение субординированных займов организовано как выпуск кредитных нот. При этом банк подчеркивал, что ноты приобретены широким кругом инвесторов, информация о которых не сообщается банку. В этой ситуации платить или нет держателям нот — зависит от доброй воли санаторов.

«Как правило, у держателя CLN нет прямого права требования к банку о возврате кредита, — поясняет партнер «Пепеляев Групп» Игорь Мармалиди. — Приобретая ноты, инвестор получает право требования к их эмитенту (например, компании специального назначения). Если эмитент не получает никаких выплат по субординированному кредиту от банка, то соответственно он ничего и не должен выплачивать держателям кредитных нот. В соответствии с банковским регулированием при снижении капитала банка ниже определенного уровня банк не вправе погашать субординированный кредит и выплачивать по нему проценты».

«Владельцы CLN не смогут получить возмещение в полном объеме, предъявив требования санированному банку. Условия выпуска субординированных CLN обычно предусматривают, что в этом случае требования по ним списываются, полностью или частично», — соглашается партнер TertychnyLaw Иван Тертычный. Списание, уточняет он, происходит при наступлении события покрытия убытков, описанного в условиях выпуска. Обычно такими событиями являются снижение норматива достаточности базового капитала банка (Н1.1) ниже 2% либо решение АСВ о санации (Положение ЦБ №395-П). Капитал у банка «Траст» отрицательный: зампред ЦБ Михаил Сухов оценил «дыру» в 68 млрд рублей.

Того же мнения придерживается руководитель правового департамента российского банка:

«С высокой вероятностью частные лица-клиенты, через которых был организован суборд, «попали». В случае субордов риск полностью лежит на кредиторе».

Кроме того, сами CLN являются гибридным инструментом и сочетают в себе свойства долгового инструмента (облигаций) и кредитного дефолтного свопа (CDS) – выплаты по ним зависят от реализации кредитного риска.

Адвокат коллегии «Юков и партнеры» Светлана Тарнопольская менее категорична: «Держатели CLN однозначно лишились бы возмещения в случае банкротства банка. При санации кредитной организации многое может зависеть от условий выпуска таких нот». Вместо простого списания может быть предусмотрена конвертация субординированного долга в обыкновенные акции, уточняет Тертычный, но такие примеры на практике встречаются редко из-за сложного механизма реализации.

Читать еще:  Как подключить услугу интернетбанкинг сбербанка

Крупнейшие банки, в том числе государственные, нередко предлагают своим ВИП-клиентам приобрести их субординированные облигации. Это обычная практика в случае, если информация о рисках раскрыта должным образом, а сами облигации ликвидны и имеют понятные рыночные котировки. Случай «Траста» особый: он не имел рейтингов от международных рейтинговых агентств и не мог размещать еврооблигации, предлагая вместо этого кредитные ноты.

«По сути, «Траст» кредитовал эмитента кредитных нот и в капитал инвестировались деньги самого банка. Такая схема не соответствует букве закона и требованиям регулятора. Это не субординированный долг в традиционном понимании», — говорит глава управления долгового финансирования одного из крупнейших банков.

Регуляторы ситуацию не комментируют. «Временная администрация «Агентства по страхованию вкладов» проводит оценку активов и обязательств банка «Траст». В настоящее время дополнительные комментарии считаем преждевременными», — сообщили в пресс-службе Банка России. В АСВ отказались от комментариев.

Kaspersky Lab фиксирует всплеск атак банковских троянцев в РФ

Москва, 18 февраля — «Вести.Экономика» «Лаборатория Касперского» фиксирует всплеск атак банковских троянцев Buhtrap и RTM в России, начавшийся во второй половине 2018 г. и продолжающийся в текущем году.

Значительный рост числа атак этих двух видов троянцев начался в III квартале 2018 г., и с тех пор их интенсивность остается на высоком уровне, сообщается в пресс-релизе «Лаборатории Касперского». В частности, количество пользователей, атакованных RTM, в IV квартале 2018 г. составило 90,844 тыс. против 390 пользователей в I квартале. При этом около 90% попыток заражения в 2018-2019 гг. пришлись на Россию.

За неполные два месяца 2019 г. «Лаборатория Касперского» зафиксировала попытки заражения Buhtrap примерно на 200 устройствах, тогда как за весь 2018 г. показатель составил чуть более 3 тыс. попыток. Атаки RTM были заблокированы более чем у 30 тыс. пользователей против показателя в 138,4 тыс. в 2018 г.

«В 2018 г. количество детектов Buhtrap выросло на 74% по сравнению с 2017. Более того, на устройства некоторых пользователей после установки Buhtrap также загружается другой банковский троянец RTM, что позволяет совершать еще большее число мошеннических операций. В 2018 г. мы наблюдали увеличение количества атак RTM на 5000%», — подчеркнул Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

Пик числа атак Buhtrap пришелся на III квартал 2018 г.: тогда было атаковано 1488 пользователей, наибольшее количество атак RTM было зафиксировано в IV квартале 2018 г. — 90844.

«Банковские троянцы Buhtrap и RTM нацелены на малый и средний бизнес. Злоумышленников прежде всего интересуют бухгалтеры, а среди профессиональных сфер — информационные технологии, преимущественно региональные компании, юриспруденция и малое производство», — указано в отчете «Лаборатории Касперского».

Buhtrap распространяется через эксплойты, внедренные в новостные сайты, при условии, что используется браузер Internet Explorer. При скачивании документов с сайта происходила загрузка, а затем запуск троянской программы, созданной хакерской группой Buhtrap (в 2016 г. исходный код вируса появился на хакерских форумах). Загрузчик собирает информацию о компьютере, проверяет историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных системах. Особый интерес операторы трояна проявляли к криптовалютным системам. Поиск осуществлялся по списку, состоящему из более чем 400 ключевых поисковых запросов.

Если программа обнаруживала один из таких «ключевиков», сервер отдавал команду на загрузку троянов Buhtrap или RTM. Оба нацелены на атаку на юридических лиц, кражу денег в системах ДБО и из различных платежных систем. По оценке Group-IB, каждая подобная успешная атака ежедневно приносила злоумышленникам в среднем 1,2 млн руб.

Троян Buhtrap — известен с 2014 г., созданные одноименной преступной группой. С августа 2015 г. по февраль 2016 г. группа Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 млрд руб. ($25 млн). В 2016 г. исходный код Buhtrap появился в открытом доступе.

Троян RTM появился в конце 2015 г. Он нацелен на работу с ДБО и платежными системами. RTM является модульным, его модули подменяют реквизиты, считывают нажатия клавиатуры, подменяют DNS-сервера и сертификаты безопасности, осуществляют снимки экрана и т. п.

Зловред RTM атакует пользователей посредством фишинговых рассылок. Темы и тексты сообщений содержат информацию, характерную для переписки с финансовыми структурами, например «Заявка на возврат», «Копии документов за прошлый месяц» или «Просьба оплатить дебиторскую задолженность». Заражение происходит после перехода по ссылке или открытия вложения.

По оценкам «Лаборатории Касперского», злоумышленники проводят нелегальные транзакции, каждая из которых не превышает 1 млн руб.

Карточная игла: ЦБ увидел риски сбоев платежей из-за санкций

Клиенты как минимум трети российских банков могут лишиться возможности пользоваться картами и покупать товары онлайн. В Центробанке и Национальной системе платежных карт (НСПК) видят такие риски после заморозки операций по «пластику» Еврофинанс Моснарбанка. Об этом «Известиям» рассказал топ-менеджер НСПК. В связи с этим регулятор и его агент планируют рекомендовать российским банкам переходить на отечественное программное обеспечение. Два источника в финансовых кругах сообщили «Известиям», что ЦБ уже проинформировал кредитные организации об этой угрозе. Для них крайне важно оценивать риски подрядчиков услуг по обработке платежей, прежде чем заключать с ними контракт, подчеркнули в Банке России. Санкции США против российской финансовой системы могут «уронить» платежи как минимум в 120 кредитных организациях, уверены эксперты.

Читать еще:  Как удалить историю в сбербанк онлайн

Процессинг идет

Значительная часть рынка процессинга (обработка операций по банковским картам, а также онлайн-платежей и переводов. — «Известия») в России приходится на компании с корнями в США или Европе. В связи с этим ЦБ и НСПК планируют предупредить отечественные банки о том, что им лучше перейти на программное обеспечение российских компаний, рассказал «Известиям» топ-менеджер НСПК (на 100% принадлежит ЦБ). Это необходимо для того, чтобы в случае рестрикций стран Запада платежи по картам в России не были заморожены.

— Если завтра США введут санкции против всей российской финансовой системы, то коллапс, который произошел с Еврофинанс Моснарбанком, накроет уже почти пол-отрасли, — заявил он.

По словам источника в банке из топ-10, регулятор уже информирует финансовые организации о такой опасности. Он уведомляет о необходимости детальной оценки угроз, связанных с аффилированностью внешних провайдеров банков с западными компаниями.

В пресс-службе ЦБ «Известиям» сообщили: крайне важно, чтобы банки, прежде чем передавать часть своих функций внешним подрядчикам, внимательно оценивали связанные с этим риски, особенно в части бесперебойности работы. Там добавили, что уже подготовили предложения по изменению законодательства, «направленные на усиление контроля по обеспечению внутреннего процессинга в банках». Они будут рассмотрены при обсуждении поправок к закону «О национальной платежной системе» ко второму чтению.

При этом в регуляторе не ответили на вопрос, предупреждают ли они банки о рисках сбоев электронных платежей (аналогичных прецеденту с Еврофинанс Моснарбанком), если страны Запада распространят эти санкции на другие российские организации. В пресс-службе НСПК не ответили на аналогичный вопрос «Известий».

Глава комитета Госдумы по финансовому рынку Анатолий Аксаков сообщил «Известиям», что для избежания рисков блокировок действительно необходимо более активно переходить на отечественные разработки, технологии, а также на сервисы структур, принадлежащих российским гражданам.

У банка есть две возможности организовать оплату картами. Первая — это построить собственный процессинговый центр для авторизации операций по «пластику» и взаимодействия с НСПК, объяснил «Известиям» руководитель департамента системных решений Group-IB Антон Фишман. Вторая — привлечь внешнюю компанию, специализирующуюся на таких сервисах, так называемые процессинг-центры. Работа через посредника может быть дешевле и удобнее технологически, так как создавать собственное ПО с нуля и интегрировать его с НСПК может быть дорого, поэтому для небольших и средних банков выгоднее передавать этот функционал на аутсорсинг.

Чужой среди своих

Риски, связанные со сбоями в системе платежей, привлекли внимание регулятора после того, как клиенты попавшего под американские санкции Еврофинанс Моснарбанка не смогли воспользоваться своими карточками Visa и Mastercard. Минфин США включил организацию в черный список из-за ее связи с Каракасом — 50% банка принадлежит нефтегазовой венесуэльской госкомпании PDVSA. После этого в Госдуме попросили НСПК объяснить причины возникновения этой ситуации. Ведь именно для того, чтобы застраховаться от подобных моментов, и была создана «дочка» ЦБ.

В НСПК ситуацию связали с отключением Еврофинанс Моснарбанка от сервисов процессингового центра «КартСтандарт», который обеспечивал ему обработку платежей по картам. Организация входит в группу «Центр финансовых технологий» (ЦФТ), ее бенефициары не раскрываются. Как говорил «Известиям» источник в НСПК, половина ее капитала принадлежит американскому фонду.

«КартСтандарт» предоставляет услуги более чем 120 банкам для работы «пластика» платежных систем Mastercard и Visa, а также российских «Золотой короны» и «Мира» (банки, которые его эмитируют, также могут пользоваться услугами внешнего провайдера). Всего компания обслуживает более 50 млн карт.

С зажмуренными глазами

Около половины российского рынка процессинга принадлежит компаниям, аффилированным с американскими корпорациями, сказала «Известиям» глава Национального платежного совета Алма Обаева. Примерно 30% российской банковской системы завязано на процессинг таких организаций. Остальные либо обрабатывают платежи самостоятельно, либо пользуются услугами отечественных компаний.

Как сказал «Известиям» источник в российском банке из топ-30, среди отечественных финансовых организаций нет ни одной, которая бы абсолютно не зависела от западного программного обеспечения. По его словам, полное импортозамещение на сегодняшний день невозможно ни технически, ни финансово, поэтому приходится работать «с зажмуренными глазами». По словам вице-президента Ассоциации банков России Алексея Войлукова, риски сбоев платежей среди небольших и средних банков действительно есть.

«Известия» направили запрос в топ-30 российских банков с просьбой прокомментировать угрозу сбоев в процессинге. В Райффайзенбанке не видят существенных санкционных рисков для бизнеса, заявил начальник управления комплаенс-контроля организации Филипп Хышиктуев. В банке «Открытие» сообщили, что используют собственные технологии обработки трансакций, поэтому не зависят от процессинговых центров западных корпораций. Кроме этого, в организации отметили, что обеспечивают процессинг еще ряду небольших банков, тем самым защищая их от возможных сбоев, подобных тому, что произошел в Моснарбанке. В других организациях от комментариев либо отказались, либо не ответили на запрос.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector