С.-ПЕТЕРБУРГ, 5 июл — ПРАЙМ. Банк России в прошлом году не зафиксировал всплеска мошенничества с отменой транзакций, но обнаружил новый способ атак с отменой транзакций с карты на карту с использованием банкоматов, говорится в обзоре регулятора основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году, презентованном на Международном финансовом конгрессе.
"Ожидавшийся ранее всплеск TRF-атак (transaction reversal fraud — мошенничество с отменой транзакций) не произошел, однако был зафиксирован новый способ такой атаки, основанный на несовершенстве сценариев обработки переводов с карты на карту с использованием банкоматов", — указывает регулятор в обзоре, презентованном на Международном финансовом конгрессе.
Алгоритм данной атаки достаточно простой. Сначала в банкомате выбирается тип операции — перевод между физлицами и указывается номер карты получателя. Банк — владелец устройства самообслуживания инициирует операцию и одновременно направляет два авторизационных сообщения: банку-получателю и банку-отправителю. Инициатору практически одновременно приходит одобрение от обоих банков, после чего выполняется фактический перевод: увеличивается сумма на карте получателя, одновременно с этим удерживается такая же сумма у отправителя.
Однако сценарий перевода в банкомате при этом еще не закончен. Банкомат запрашивает подтверждения у отправителя на списание комиссионных за операцию, однако он не дает согласия, и банк-инициатор отправляет сообщение о возврате в банк-отправитель и банк-получатель. В результате "заморозка" средств снимается, но средства уже выведены получателем.
В ЦБ советуют банкам для минимизации рисков таких атак проверять корректность сценариев работы банкоматов, в первую очередь, отправка сообщения о возврате средств в банк отправителя средств должна происходить только после успешного завершения операции возврата в сторону банка получателя.
"Также довольно эффективной мерой является получение согласия клиента с условиями обслуживания до отправки авторизационных сообщений", — отметил регулятор.
В обзоре также говорится, что кибермошенники в прошлом году провели 177 целевых атак на российские банки с целью украсть денежные средства.
"Всего за год ФинЦЕРТ получены сведения о 687 атаках, в том числе о 177 целевых атаках, осуществленных на кредитно-финансовые организации в 2018 году", — говорится в документе. Отмечается, что эти атаки были направлены на получение финансовой выгоды.
Кроме того, ЦБ зафиксировал в прошлом году 97 DDos-атак и 413 нецелевых атак на российские банки.
Регулятор также провел анализ кампаний распространения вредоносного программного обеспечения (ВПО) в сентябре-декабре прошлого года. За этот период было зафиксировано 375 отдельных кампаний по распространению ВПО, из них 317 имели массовый характер. При этом 53% кампаний распространяли программы-вымогатели, а 34% кампаний содержали ВПО, конечной целью которого было хищение денежных средств.
В октябре прошлого года в ЦБ сообщали, что в первом полугодии 2018 года число целевых атак хакеров на российские банки выросло по сравнению с аналогичным периодом предыдущего года в 1,8 раза — до 72 атак. В то же время результативность атак падает: за первые восемь месяцев 2018 года кредитные организации в результате атак хакеров потеряли 76,5 миллиона рублей, что в 14 раз меньше показателя за аналогичный период предыдущего года.
Российские банки и операторы услуг платежной инфраструктуры с 1 июля 2018 года обязаны сообщать в Банк России о кибератаках и их технических параметрах. До этого момента банки предоставляли регулятору подобные данные на добровольной основе.
Наибольшее число успешных хищений из российских банков в 2017-2018 годах происходило после атак, проведенных в "отпускные" месяцы – с мая по август, также говорится в обзоре ЦБ.
"По статистике 2017–2018 годов наибольшее число успешных хищений происходило после атак, проведенных в "отпускные" месяцы – с мая по август", — говорится в докладе.
В ЦБ объясняют такую динамику снижением бдительности сотрудников организаций. "Вероятно, находясь в ожидании отпуска или в расслабленном состоянии после него, сотрудники чаще открывают файлы из писем, пришедших из неизвестных источников", — отметил регулятор.