На прошлой неделе в Томске задержали группу хакеров, похищавших деньги с Android-устройств, подключённых к Сбербанку. Но крупнейший банк страны часто попадает в поле зрения СМИ в связи с распространённостью его сети и огромными оборотами, скажет читатель и будет прав лишь отчасти. Под атаку хакеров может попасть любой банк России – но крупные атаковать, видимо, выгоднее из-за оборотов. Статистика подтверждает: чаще всего атаки реализуются. «Наша Версия» испытала на себе, что значит оказаться ограбленным: со счетов издания, открытых в «Связь-банке», который входит в группу ВЭБ, похищены почти все средства.
Большая структура Сбербанка делает его уязвимым со стороны дельцов самого разного пошиба – от аналитика кредитного отдела внутри банка до хакера с улицы. Первый может обходить систему и лоббировать за мзду выдачу кредита под плохой залог, второй – атаковать программу, призванную быть одновременно простой и удобной для пользователя, и при этом обслуживать столь соблазнительные для взломщиков миллиарды рублей.
Банк ощетинивается и не желает возмещать похищенное
Всего за 2014 год Центробанк насчитал «несанкционированных операций» с банковскими картами на сумму 1,58 млрд рублей. И пусть это лишь тысячные доли от общих объёмов (0,0044%), но для кого-то тысячи рублей – карманные расходы, а кто-то только на них и живёт: средняя сумма списания с каждой банковской карты составила около 5200 рублей, то есть около одного минимального размера оплаты труда в РФ (с января 2015 года она составляет 5965 рублей). То есть вполне можно предположить, что для кого-то обнуление его счёта на карте стало драмой.
Логичным было бы предположить, что, как только человек обнаруживает исчезновение денег с его карты, он немедленно обращается в банк и тот предпринимает срочные меры. Как бы не так. Клиентам, пришедшим в банк жаловаться, чаще всего покажут на дверь. Банк, допустив утечку денег через свои бреши, ощетинивается и не желает покрывать похищенное за свой счёт: украли у вас, а не у нас, сами где-то ключ утеряли, программу не ту установили, ПИН-код держали на видном месте, карту оставили и т.д. и т.п. Лишь самым настойчивым потерпевшим, прошедшим через суды, удаётся объяснить, что деньги украли у банка, а не у него. Украли с использованием его программы, его технологий. Красноречив заголовок одного из финансовых изданий: «Сбербанк: Android позволяла воровать деньги с карт». Действительно, разве не Сбербанк, пользуясь этой платформой, прекрасно, видимо, осознавая её уязвимость, не закрыл дыры открытой системы смартфонов? И почему бы клиентам не предположить в таком случае, что именно программисты банка позволяли воровать деньги с карт? Часто жадность банков переходит разумные пределы! Разве не резонны сомнения рядовых клиентов – уж нет ли там сговора или «крота», которого выгораживает система?
Однако исчезновение денег с банковских карт – это лишь часть мошеннического айсберга. Не меньшая сумма за последнее время была похищена со счетов предприятий и физических лиц с использованием систем дистанционного банковского обслуживания (ДБО), через банк-клиент. Всего за 2014 год было осуществлено 4890 попыток на списание средств на сумму 1,64 млрд рублей. То есть по 335 тыс. рублей на операцию. Пятая часть из этого списания приходится на долю физических лиц, а вот 80%, то есть 1,31 млрд рублей, пробовали умыкнуть у компаний.
О необходимости наделения банков финансовой ответственностью за кражу денег со счета клиента заявил глава департамента финполитики Минфина Иван Чебесков.
Вот здесь мы подходим к любопытному факту: крупные суммы похищают обычно у подготовленных к работе с системой банк-клиент сотрудников компаний, людей с высшим профильным образованием! Тут либо хакеры очень ловкие, либо банки мышей не ловят. Из указанных попыток хищения средств завершились далеко не все. Если судить по объёму средств, то удалось остановить 45%, а если по количеству – то мошенники реализовали 83% попыток. В 80% случаев операции были пресечены самими банками. (Получается, что самим банкам известны многие приёмы, а может, даже и личности дельцов?)
Если же хищение первым замечал клиент, то в большинстве случаев спасти средства ему не удавалось. С одной стороны, видимо, клиенты замечают, когда уже слишком поздно, с другой – может, банки, как уже сказано выше, не очень-то и хотят оперативно реагировать на возмущения клиентов?
А что же правоохранители? Где же посадки тех жуликов, кто играет по-крупному? Однако при том, что суммы хищений с использованием дистанционных систем, ничуть не уступают объёму воровства с банковских карт, а редких хакеров, специализирующихся на ДБО, будто и проще ловить, за прошлый год МВД удалось похвастаться в СМИ лишь одним задержанием. Силовики жалуются, что отследить вредоносный код им не всегда удаётся («не хватает людей»), при этом они нередко сталкиваются с нежеланием банка сотрудничать. Версий такой странной позиции банков может быть две: они не спешат помогать силовикам с поимкой хакеров, либо боясь открыть свои бреши в системе и «засветить» реальные дыры в коде, либо не хотят признаваться в утрате миллионов рублей, за которые они должны нести ответственность, либо, повторим наше предположение, прикрывают собственных «кротов».
«Наша Версия» начинает расследование
Тему мошеннических атак на банки, которые в кризис могут нарастать, «Наша Версия» берёт под особый контроль. К сожалению, наше издание само столкнулось с тем, что с его счёта исчезли средства. Деньги преступникам удалось украсть из Связь-банка. Дождавшись, когда на счетах сформируется крупная сумма на оплату печати нескольких тиражей газеты и выдачу зарплаты, хакеры обчистили счёт в банке на 99%! Часть позже удалось вернуть, но больше половины мошенники успели обналичить. Похоже, злоумышленникам украсть деньги из крупного государственного банка проще простого? Связь-Банк вселял доверие – после санации он остаётся в группе государственной корпорации «Банк развития и внешнеэкономической деятельности (Внешэкономбанк)». Доля Группы ВЭБ в Связь-банке больше 99%. Этот банк среди кредитных учреждений России занимает 22-е место по активам, которые составляют около 370 млрд рублей. Правда, несмотря на поддержку, банк показал убыток более чем в 5 млрд рублей на середину 2015 года. До хищения денег качество услуг банка, выросшего из почты, вполне устраивало бухгалтерию.
Напрасно читатель может предположить, что раз мошенники обчистили счета федерального издания, специализирующегося на журналистских расследованиях, то банк предпринял всё возможное для компенсации утраченного. Банк занял уже знакомую нам позицию – «деньги украли у вас, а не у нас». Возмещать незаконно списанные средства никто не собирается.
В наших последующих публикациях мы детально расскажем о случившемся хищении, о методах, применённых злоумышленниками, о дырах в программах банк-клиент, которые часто видны даже обычным пользователям, а главное, о сложностях, с которыми приходится сталкиваться клиенту, когда он, узнав о случившемся, пытается остановить обналичку похищенных средств. Следите за нашими публикациями.
