Специалисты по информационной безопасности выявили угрозу, затронувшую клиентов примерно полусотни российских банков. При попытках довести сведения об опасности до банкиров, в трети случаев они столкнулись с непониманием и противодействием финансовых организаций.
Эксперты Group-IB сообщили о предотвращении угрозы счетам клиентов около 50 российских банков. Опасность возникла в результате атаки ботнета на персональные компьютеры, которые использовались для доступа к системам дистанционного обслуживания банков.
Руководитель компании Илья Сачков рассказал CNews, что в ходе атаки ПК пользователей были заражены троянскими программами, которые передавали владельцу ботнета данные о логинах и паролях для входа в банковские системы удаленного обслуживания.
Group-IB перехватила управление к ботнету при проведении криминалистической экспертизы компьютера, участвовавшего в другом инциденте. Получив доступ к хакерской сети, у экспертов появилась возможность ознакомиться с похищенными клиентскими «ключами» для удаленной работы с банковским счетом. «Мы не знали, кто этот клиент, но знали его банк и хеш ключа. Банку этого достаточно, чтобы понять, кто из его клиентов в опасности», - пояснил CNews Илья Сачков.
Обезвреженный ботнет, по словам Сачкова, успел скомпрометировать около 150 идентификаторов «в среднем, 1-2 на банк». Максимальное количество «ключей», похищенных из одного банка составило 64.
Таким образом, инцидент затронул клиентов примерно полусотни банков России, причем по некоторым из похищенных аккаунтов к моменту обнаружения ботнета уже были проведены транзакции. Тем не менее, по мнению специалистов Group-IB, ущерб, понесенный законными владельцами, скорее всего невысок, поскольку действия хакера — владельца ботнета были вовремя пресечены. Сведения о нем переданы в правоохранительные органы.
Помимо милиционеров Group-IB решила известить об инциденте вовлеченные в него банки, и «приостановила работу отдела мониторинга на целый день (2 декабря 2010 г. - прим. CNews), превратив его в колл-центр». Илья Сачков рассказывает, что его поразило отсутствие в крупных банках механизма по приему информации об угрозах безопасности. «Мы встретили полное непонимание и нежелание вникать в суть проблемы: сотрудники банков отказывались переключать телефон на заинтересованных лиц и порой играли в детективов, давая заведомо ложную информацию от имени компетентных сотрудников», - записал Сачков в своем блоге.
Банки не приходят в восторг от сообщений об утечках, даже если виноваты не они
Там же он упоминает, как в его компанию поступил звонок от имени руководителя службы безопасности одного из банков, который пригрозил «закрыть их бизнес за распространение ложной информации». Позже банк опроверг причастность своих сотрудников к этому звонку.
По итогам своего обзвона сотрудники Group-IB составили перечень банков, которым не удалось передать информацию о взломах. В него вошли «Банк Москвы», «Дил-Банк», «Кредит-Москва», "Кузнецкий Банк", «Мастер-Банк», "Московский Нефтехимический банк", "Москоммерцбанк", "Мурманский Социальный Коммерческий банк", банк «Приморье», "Росэнергобанк", "Томскпромстройбанк", Уральский Банк Реконструкции и Развития, "ФорБанк", банк «Финам», "Хакасский Муниципальный банк", "Хлынов банк", "Челябинвестбанк", «Юниаструм» - всего 18 банков.
CNews удалось переговорить с представителями двух финансовых организаций, попавших в список : «Финамом» и «Банком Москвы». В обеих подтвердили, что попытка безопасников с ними связаться имела место, и действительно увенчалась успехом не с первой попытки.
«Первоначально у Group-IB не получилось связаться с нашей службой информационной безопасности, однако, после публикации списка банков, в которых компания выявила скомпрометированные «ключи», наши сотрудники сами связались с представителями Group-IB», - рассказал CNews председатель правления банка «Финам» Евгений Пикалов.
По его словам, «присланный в банк логин к аккаунту дистанционного обслуживания действительно принадлежит нашему клиенту, который подтвердил сотруднику банка все операции по своему расчетному счету. Таким образом, подозрения в компрометации ключей в отношении нашего банка не подтвердились».
Собеседник в «Банке Москвы», хорошо знакомый с корпоративной системой информационной безопасности компании, подтвердил компрометацию «ключей» двух клиентов банка, о чем им стало известно от Group-IB. Один из этих клиентов не пользовался счетом с 2008 г., а другой, зарегистрировав систему дистанционного обслуживания, ни разу ее не применил.
Источник в «Банке Москвы» заметил, что деятельность по выявлению похищенных банковских аккаунтов может приносить банкам и их клиентам практическую пользу только в случае регулярной и систематической работы. По его мнению, в одноразовом исполнении она выглядит скорее как рекламная акция.
Эксперты Group-IB сообщили о предотвращении угрозы счетам клиентов около 50 российских банков. Опасность возникла в результате атаки ботнета на персональные компьютеры, которые использовались для доступа к системам дистанционного обслуживания банков.
Руководитель компании Илья Сачков рассказал CNews, что в ходе атаки ПК пользователей были заражены троянскими программами, которые передавали владельцу ботнета данные о логинах и паролях для входа в банковские системы удаленного обслуживания.
Group-IB перехватила управление к ботнету при проведении криминалистической экспертизы компьютера, участвовавшего в другом инциденте. Получив доступ к хакерской сети, у экспертов появилась возможность ознакомиться с похищенными клиентскими «ключами» для удаленной работы с банковским счетом. «Мы не знали, кто этот клиент, но знали его банк и хеш ключа. Банку этого достаточно, чтобы понять, кто из его клиентов в опасности», - пояснил CNews Илья Сачков.
Обезвреженный ботнет, по словам Сачкова, успел скомпрометировать около 150 идентификаторов «в среднем, 1-2 на банк». Максимальное количество «ключей», похищенных из одного банка составило 64.
Таким образом, инцидент затронул клиентов примерно полусотни банков России, причем по некоторым из похищенных аккаунтов к моменту обнаружения ботнета уже были проведены транзакции. Тем не менее, по мнению специалистов Group-IB, ущерб, понесенный законными владельцами, скорее всего невысок, поскольку действия хакера — владельца ботнета были вовремя пресечены. Сведения о нем переданы в правоохранительные органы.
Помимо милиционеров Group-IB решила известить об инциденте вовлеченные в него банки, и «приостановила работу отдела мониторинга на целый день (2 декабря 2010 г. - прим. CNews), превратив его в колл-центр». Илья Сачков рассказывает, что его поразило отсутствие в крупных банках механизма по приему информации об угрозах безопасности. «Мы встретили полное непонимание и нежелание вникать в суть проблемы: сотрудники банков отказывались переключать телефон на заинтересованных лиц и порой играли в детективов, давая заведомо ложную информацию от имени компетентных сотрудников», - записал Сачков в своем блоге.
Банки не приходят в восторг от сообщений об утечках, даже если виноваты не они
Там же он упоминает, как в его компанию поступил звонок от имени руководителя службы безопасности одного из банков, который пригрозил «закрыть их бизнес за распространение ложной информации». Позже банк опроверг причастность своих сотрудников к этому звонку.
По итогам своего обзвона сотрудники Group-IB составили перечень банков, которым не удалось передать информацию о взломах. В него вошли «Банк Москвы», «Дил-Банк», «Кредит-Москва», "Кузнецкий Банк", «Мастер-Банк», "Московский Нефтехимический банк", "Москоммерцбанк", "Мурманский Социальный Коммерческий банк", банк «Приморье», "Росэнергобанк", "Томскпромстройбанк", Уральский Банк Реконструкции и Развития, "ФорБанк", банк «Финам», "Хакасский Муниципальный банк", "Хлынов банк", "Челябинвестбанк", «Юниаструм» - всего 18 банков.
CNews удалось переговорить с представителями двух финансовых организаций, попавших в список : «Финамом» и «Банком Москвы». В обеих подтвердили, что попытка безопасников с ними связаться имела место, и действительно увенчалась успехом не с первой попытки.
«Первоначально у Group-IB не получилось связаться с нашей службой информационной безопасности, однако, после публикации списка банков, в которых компания выявила скомпрометированные «ключи», наши сотрудники сами связались с представителями Group-IB», - рассказал CNews председатель правления банка «Финам» Евгений Пикалов.
По его словам, «присланный в банк логин к аккаунту дистанционного обслуживания действительно принадлежит нашему клиенту, который подтвердил сотруднику банка все операции по своему расчетному счету. Таким образом, подозрения в компрометации ключей в отношении нашего банка не подтвердились».
Собеседник в «Банке Москвы», хорошо знакомый с корпоративной системой информационной безопасности компании, подтвердил компрометацию «ключей» двух клиентов банка, о чем им стало известно от Group-IB. Один из этих клиентов не пользовался счетом с 2008 г., а другой, зарегистрировав систему дистанционного обслуживания, ни разу ее не применил.
Источник в «Банке Москвы» заметил, что деятельность по выявлению похищенных банковских аккаунтов может приносить банкам и их клиентам практическую пользу только в случае регулярной и систематической работы. По его мнению, в одноразовом исполнении она выглядит скорее как рекламная акция.
