Главная » Инвестиции » Безудержный взлом. Почему так трудно вернуть деньги, похищенные хакером

Безудержный взлом. Почему так трудно вернуть деньги, похищенные хакером

Безудержный взлом. Почему так трудно вернуть деньги, похищенные хакером

Сейчас практически невозможно вернуть из-за границы средства, украденные хакерами в России. Гораздо проще и эффективнее предотвращать кибератаки еще на этапе их подготовки

В октябре 2017 года хакеры из северокорейской группы Lazarus атаковали банк Far Eastern International Bank на Тайване. Получив доступ к международной системе передачи финансовых сообщений и платежей SWIFT, киберпреступники смогли вывести почти $60 млн на счета в Камбодже, США и на Шри-Ланке. Полиция заблокировала три счета на Шри-Ланке с $1,3 млн и задержала двух человек, пытавшихся снять в банке деньги. 

Киберпреступность становится еще более быстрой, масштабной и трансграничной. Лучше всего это заметно на примере целевых атак на банки с использованием SWIFT. Хакеры находятся в одной стране, их жертва-банк — в другой, а обналичивание происходит в третьей.

Атаки с использованием SWIFT в прошлом году прокатились по всему миру. Они были зафиксированы в Эквадоре и Непале, а в конце 2017 года впервые в истории российской финансовой сферы группа Cobalt провела успешную целевую атаку на российский банк с использованием SWIFT. Хакеры пытались украсть 55 млн рублей, но, как сообщали СМИ, вывести им удалось только 10% — остальные транзакции были оперативно заблокированы.

Впрочем, в середине февраля Банк России объявил, что потери гораздо серьезнее. Оценивая прошлогодний ущерб российских банков и платежных систем от действий киберпреступников в 1,35 млрд рублей, регулятор уточнил, что в результате одной успешной атаки из банка вывели через SWIFT 339,5 млн рублей. Какую сумму удалось вернуть в Россию и удалось ли вообще — ЦБ не уточнил.

Для того чтобы оперативно замораживать и возвращать деньги, выведенные за рубеж в результате кибератак, Центробанк предлагает использовать возможности Росфинмониторинга и систему  взаимодействия финразведок 150 государств и юрисдикций, входящих в группу подразделений финансовой разведки «Эгмонт». Росфинмониторинг — член «Эгмонт» с 2002 года, и в прошлом году он даже стал победителем конкурса Best Egmont Case Award (BECA).

Каждый за себя

Из-за масштаба проблем рынку стоит поддерживать инициативы, направленные на арест денег киберпреступников и разрушение их финансовой экосистемы. Однако идея ЦБ нуждается в существенной доработке, так как в предложенном формате она вряд ли «выстрелит». Основные трудности связаны с различиями в законодательстве стран, входящих в «Эгмонт», и отсутствием оперативного взаимодействия между финразведками разных государств.

У Росфинмониторинга нет инструментов и полномочий блокировать транзакции, которые уходят за рубеж, в режиме реального времени. Росфинмониторинг, хоть он и называется финразведкой, не занимается оперативно-розыскной деятельностью — ведомство только накапливает информацию о сомнительных сделках, подпадающих под действие закона об отмывании доходов.

Деньги, похищенные в результате кибератак, быстро перебрасываются на другие счета и размываются. Координация работы международных ведомств должна достигаться в течение нескольких часов, еще лучше — минут. Пока же финразведки мира не взаимодействуют в круглосуточном режиме, а скорость реагирования на запросы составляет 30-60 суток. Мгновенное реагирование осуществляется только на уровне прямых контактов руководства.

Стоит учесть, что на фоне санкций и политического противостояния между государствами общий язык можно найти далеко не со всеми. К слову, этим пользуются киберпреступники — они часто выводят деньги или скрываются в странах, где потерпевшая сторона не сможет их достать в силу определенных межгосударственных процессов. 

Сейчас даже внутри России у банков нет возможности быстро блокировать и задерживать денежные средства. Например, у некой аптеки похитили логин и пароль электронной подписи и от ее имени купили 30 экскаваторов. На самом деле злоумышленники провели платежи на большую сумму и написали договор о покупке машин, которых не существовало. Банальное хищение средств: деньги уходят из одного банка в другой, оттуда еще в пять других банков, после чего успешно обналичиваются. Сами банки ничего сделать в такой ситуации не могут.

Учитывая, что платеж совершен с использованием легальной подписи и формально выглядит законно — банк не имеет права, опираясь на свои подозрения, задержать средства, тем более на долгое время. А для того чтобы подтвердить факт хищения, необходима криминалистическая экспертиза инфицированного компьютера того же аптечного бухгалтера, по результатам которой можно возбудить уголовное дело и потенциально получить судебное решение на арест средств. Очевидно, этот процесс может занимать от одного месяца и больше.

Кооперация против хакеров

В одиночку ни у одного государства нет возможности эффективно бороться с киберпреступностью, которая не имеет границ. Сейчас на уровне ООН необходима разработка и синхронизация законов о противодействии киберкриминалу. Нужен обмен оперативной информацией между правоохранительными органами разных стран в режиме реального времени, а также четкие правила блокировки счетов, через которые выводят деньги, и неблагонадежных транзакций в режиме 24/7.

Отказывать в проведении платежей, замораживать счета — это верное, но второстепенное решение. Когда боксер на ринге уже пропустил «двоечку» и летит в нокаут, поздно ставить блок — самое время вдохнуть нашатыря и приложить пакет со льдом. То, что реально нужно финансовым организациям — это технологии предотвращения преступлений на максимально ранней стадии. Это может быть мониторинг активности кибепреступников на закрытых хакерских форумах, где продают новые банковские трояны,  собирают группы для совершения преступлений, а также сбор и анализ технической информации, «цифровых следов» уже совершенных атак и своевременное предупреждение кредитных организаций о готовящихся атаках.

Источник

Халва (Совкомбанк) - карта рассрочки