Прошлый год выдался ударным для хакеров: их стараниями общее количество мошеннических операций с банковскими счетами в Украине выросло на 47%. Чаще всего деньги похищали у физлиц, которые за прошлый год лишились 11,4 млн. грн. А вот по объемам украденных сумм лидируют юрлица: при помощи системы «Клиент-банк» за 2012 год с их счетов улетучилось 116 млн. грн. И уже с начала 2013 года зафиксированы 23 факта пропажи средств на сумму 12,5 млн. грн. Как исчезают деньги из банков?
Купил программу — получил сюрприз
Эксперт по информационной безопасности компании «Майкрософт-Украина», директор департамента исследований компьютерной техники, программных способов и телекоммуникационных систем адвокатского бюро Traditions professionals Александр Урденко называет нелицензионное программное обеспечение виновником того, что хакеры получают возможность уводить деньги с чужих счетов. Чтобы подобраться к банковскому счету, хакеру нужно знать его номер, есть ли на нем деньги и сколько, иметь пароль доступа. Ответ на эти вопросы он получает с помощью вирусов, которые легко заносятся на нелицензионную «почву», а порой изначально содержатся в ней.
«Вирусы попадают в компьютер при помощи нелицензионных программ XP и Windows7 или любой другой, которую пользователь скачал из Интернета или купил на рынке, — рассказывает Урденко. — Либо вместе с закачанным на компьютер фильмом или музыкой: например, на сайте стоит какая-нибудь заставка, предлагающая обновить плейер или антивирус, а вместе с обновлением загружается вирус. Схематично взлом компьютера выглядит так: попав в машину, вирусы или вирусные записи начинают работать, связываясь со своими хозяевами, информируют их: «я — такой-то, я здесь и готов тебя принять». После этого на компьютер приходят обновление программы или оригинальная программа, загруженные зачастую несанкционированно, и начинают действовать». При этом вирус зачастую блокирует лицензионный антивирус, установленный на пиратской копии программного продукта, превращая компьютер в зомби-машину.
«99% программных продуктов, используемых бизнесом, нелицензионные, — продолжает Александр Урденко. — Это плохо, потому что вместе с ними пользователь получает вирусы. Мы проводили исследование лицензионного XP и нелицензионного Zver, который вроде бы программный продукт, но на самом деле сбор всего, что только можно, в том числе и вирусов. Практически все программы этой сборки заражены: большая часть взломана и имеет в структуре либо вирусы, либо вирусные записи, которые дают возможность подключиться к вашему компьютеру извне и занести любое количество вирусов, в том числе и тех, которые воруют деньги».
Заражают вирусами машины и драйверы. Практически у каждого системного администратора, который устанавливает программный продукт и адаптирует его для нужд офиса, есть в хозяйстве драйвер-паки. «Но официальных драйвер-паков ни у одной из компаний нет, — объясняет эксперт. — Поэтому все они — те же сборки и имеют вирусы. Когда вирус загрузился в компьютер, хакер начинает собирать информацию о пользователе (это я говорю примитивно, а вообще, уже есть программы, которые сами сортируют всю информацию в компьютере). Составляется портрет пользователя, ведь вирус не знает, в чей компьютер он попал. Если пользователь не входит в разряд финансовых специалистов или бухгалтеров, его вычеркивают из списка, и вирусу дается команда отключиться».
Работа вахтенным методом
Если же хакер оказался в интересном компьютере, с помощью которого можно значительно улучшить свое финансовое положение, он так просто не уйдет. «Если вирусная программа попадает в компьютер, на котором установлен «Клиент-банк», хакер наверняка изучит все документы, связанные с 1С, договоры, чтобы знать, с какими клиентами работает предприятие, сканированные документы, — говорит эксперт по информационной безопасности «Майкрософт-Украина». — Эта информация очень быстро становится известна хакерам, потому что последовательность выполнения screenshot от 5 секунд до 10 — 15 минут. После этого хакер знает абсолютно все ваши действия и что у вас делается на предприятии. Более того, вирусы win32/RDPdoor и win32/Carberp дают возможность взломщикам работать с компьютером параллельно с пользователем».
На практике это выглядит так: бухгалтер приходит на работу, выполняет какие-то действия на своем компьютере, после чего выключает его. Машина вроде бы начинает выключаться, гаснет экран монитора, но на самом деле хакер возвращает компьютер в рабочий режим. Короткого периода отсутствия пользователя достаточно, чтобы на «выключенном» компьютере хакер запустил программу «Клиент-банк» и перевел деньги со счета предприятия на свой.
Причем атаки могут быть необязательно извне, но и изнутри, ведь практически на любом предприятии найдется «доброжелатель». «В моей практике были случаи, когда у людей воровали не просто деньги, а целый бизнес, — продолжает эксперт. — Например, директором немаленькой компании был назначен человек, который, используя ее базу данных, создал свою компанию и в один прекрасный день просто не вышел на работу. За ним ушли замдиректора и бухгалтер. А когда учредители провели расследование, обнаружилось, что инсайдеры похитили всю информацию о клиентах, бухгалтерские сведения, словом, все, что представляло интерес».
Потенциальная клиентура хакеров формировалась 5 — 6 лет назад, когда предприятия поголовно устанавливали в своих офисах нелицензионные программы вместе с вирусными записями. Потом под эту клиентуру создали вирусы, выполняющие разные действия. А сейчас IТ-шники научились делать из них свои вирусы, как из конструктора. «Причем, как правило, работает не один хакер, а группа, — продолжает Урденко. — Собираются самые обыкновенные бандюги, арендуют квартиру, в которой обрезают телефон и оставляют только Интернет. Туда на несколько суток запускают группу из 3 — 5 хакеров, двери закрывают, и под присмотром нескольких охранников люди реализуют «проект». Плату получают по факту — 5 — 10% от украденной суммы. Так они работают вахтенным методом. И насколько я знаю, в Украине нет прецедентов раскрытия подобных преступлений и привлечения к ответственности таких команд».
Не ходите, хакеры, в Америку гулять
Сегодня в мире Украина занимает первое место по созданию и распространению вирусов и вирусных записей. «Главная контора киберпреступности находится в Киеве, где регистрируются 10 — 15 случаев снятия денег в (!) неделю. На моей памяти самая минимальная снятая сумма — 110 тыс. грн. Деньги перевели на кредитную карту и сняли, при этом в назначении платежа указали: за моральный вред. Это произошло в конце января — начале февраля, у предприятия на тот момент на счету было всего 110 тыс. грн., которые и украли. Максимальная сумма была украдена в прошлом году со счета одной инвесткомпании — за 3 дня сняли 20,5 млн. грн.: в пятницу 15 млн. грн., а в понедельник еще 5,5 млн. грн. У компании было 9 компьютеров, и на каждом стояла программная сборка, хотя руководство ее — очень богатые люди».
Найти украденные деньги сложно. Александр Урденко говорит, что все зависит от того, как будет проведено расследование: по факту (сегодня произошло, сегодня и расследование) или постфактум. Вернуть украденное можно, если деньги еще не успели обналичить, в противном случае шансы минимальные. Да и есть они, только если подключились правоохранители. Хотя и это не гарантия успеха. «В октябре 2012 года у одного из предприятий украли круглую сумму — 5 млн. грн., — продолжает эксперт. — Мы определили IР-адрес, передали информацию правоохранительным органам, но пока никто не наказан».
Зачастую снятие денег происходит в пятницу в конце рабочего дня, после чего машину выключает либо сам пользователь, либо взломщик. «Затем хакер затирает первые файлы жесткого диска, в результате чего в понедельник, когда пользователь включает компьютер, обнаруживается, что он не работает, — рассказывает эксперт. — Если кража денег обнаружена сразу, то на место выезжает бригада специалистов, которая ведет расследование. Первое, что она определяет, — была атака изнутри или извне. В расследование входит проверка людей, работающих в офисе. У нас есть полиграф, при помощи которого можно достоверно определить, имеет человек отношение к происшедшему или нет. Это современная российская разработка, которую использует ФСБ. Он не требует физического контакта с человеком, рассчитан на славянские языки».
Но даже имея современное оборудование, нужно быть умнее, хитрее и опытнее хакера, чтобы вычислить его. «Реально в Украине я знаю 5 таких специалистов, столько же в России. При этом в Украине еще и законодательно все закольцовано на Минюст, который, как большая сетка, пытается удержать воду». Даже США, которые имеют около 700 профессионалов, специализирующихся на борьбе с киберпреступностью, пришлось здорово попотеть, чтобы приструнить украинских хакеров.
«До 2011 года украинские хакеры работали на американском рынке, но когда грянул кризис и банковская система начала задыхаться от бесчисленных случаев несанкционированного снятия денег, секретная финансовая служба США подняла вопрос, и были выявлены хакеры, атаковавшие банковские системы, — рассказывает Александр Урденко. — Обнаружилось, что практически все группировки хакеров возглавляли украинцы. За ними началась охота, материал на них передан в соответствующие органы. И двух человек реально посадили, пригласив одного на семинар в Англию, а второго — сразу в США. В результате хакеры несколько поостыли и переключились на рынок России, Украины, Казахстана, Азербайджана. И хотя когда-то у них был принцип: не воруй там, где живешь, теперь украинские хакеры не брезгуют и отечественным рынком».
А собственно, чему удивляться: где в Украине программисты могут трудоустроиться и получать достойную зарплату? При этом в каждом большом городе есть университет, готовящий специалистов в сфере IT. Они оканчивают вузы, а работы нет. И сидят без дела, пока не станут хакерами. При этом премьер Н. Азаров обещает еще увеличить бюджетные места в вузах на факультетах IT. Судя по всему, Украина собирается за счет собственного бюджета наводнить хакерами весь мир.