Каким образом осуществить похищение миллиарда

В течение двух лет свыше ста финансовых компаний подверглись атакам международной группировки хакеров.

В субботу, 14 февраля, одна из организаций Российской Федерации - «Лаборатория Касперского», которая занимается компьютерной безопасностью заявила в репортаже для The New York Times (NYT) о возможно наиболее изощренном форсинге взломщиков компьютерных систем с точки зрения тактических и методологических приемов и одном из самых крупных грабительств за всю историю банковского жульничества. Согласно данным этой организации, группировка киберпреступников имела потенциальную возможность в похищении около одного миллиарда долларов, под их воздействием оказались свыше ста финансовых компаний расположенных в тридцати странах мира. При этом, иная отечественная организация - Group-IB, которая тоже занималась расследованием киберпреступления, указывает иное количество стран и абсолютно отличные от предыдущего размер сумм. Корреспонденты «Ленты.ру» взялись прояснить эту ситуацию.

Нить от «бинго-банкомата» в городе Киев к банковским учреждениям во всем мире

Хищения денежных сумм, исчисляемых миллионами, наверное, не были бы обнаружены, если бы не оказалось единичного банкомата в Киеве, который выдавал суммы крупных размеров беспорядочным образом. Сотрудники банка насторожились, когда увидели на оной из записей камер видеонаблюдения этого аппарата, что в отдельные промежутки времени банкомат начинал «выплевывать» большое количество купюр, и именно в такие моменты вблизи каким-то образом появлялись люди, забирающие эти суммы. Насторожило именно то, что в такой ситуации какого-то физического взаимодействия с машиной не было: ни карту не вставляли, ни на кнопки не нажимали.

Компания, чей аппарат дискредитировали, прибегал к помощи «Лаборатории Касперского» (ЛК) в расследовании данного инцидента, и как выяснилось, этот банкомат в Киеве лишь был частичкой обширного и продуманного мошеннического механизма.

Впоследствии оказалось, что компьютеры сотрудников банковских учреждений, с помощью которых осуществлялись базовые операции и контроль всей информации, были подвержены воздействию вредоносной программы Carbanak, с помощью которой хакеры записывали каждый шаг работников. Запись осуществлялась при помощи программ-скринкастов (которые записывают операции, выполняемые пользователем на компьютере в виде видео или скриншотов). Под воздействием этой вредоносной программы компьютеры находились уже в течении нескольких месяцев. Компьютеры были заражены уже как минимум несколько месяцев.

Такой механизм предоставил группировке грабителей возможность располагать и оперировать с системой, обеспечивающий полное функционирование банковского учреждения, в том числе и дистанционное управление банкоматами, а так же способность осуществлять переводы миллионов долларов с банковских счетов в одних странах на счета в других. Список учреждений «Лаборатория Касперского» отказалась предоставлять, согласно договору о неразглашении.

Согласно расследованиям российской организации вместе с Европолом и Интерполом, такая атака киберпреступников продолжалась уже ан протяжении 2-х лет. Предполагается, что за этой аферой стоит группа мошенников, объединяющих представителей из РФ, Украины, стран Европы и Китая. длилась в течение двух лет. В то время как расположение компаний, ставшие мишенью группировки, число которых превышает 100 организаций представляющих банковские системы всего мира: России, Украины, Китая, Соеденненых Штат Америки, Европы. Общее количество подверженных мошенничеству стран – свыше тридцати. Все вышеупомянутое указывает на одно из самых крупных банковских мошенничеств за всю историю.

Авантюра по типу киноленты «11 друзей Оушена»

Главным образом ворованные суммы не составляли более десяти миллионов долларов, как сообщается в отчете Лаборатории Касперского, но мошенники имели возможность штурмовать одну и ту же компанию не один раз. Весь механизм грабежа – от начального внедрения в систему компании до выведения средств – проходил на протяжении 2 -4-х месяцев. Счета на которые поступали ворованные средства находились в банковских учреждениях Китая и Америки, но специалисты не отрицаю, что мошенники могли к тому же сберегать похищенные средства на счетах банков других стран и осуществлять вывод денег с помощью онлайновых платежных программ.

Мошенники отправляли своим жертвам сообщения на электронную почту, которые были заблаговременно заражены вирусным программным обеспечением, к примеру письмо с новостями, которое отправил якобы сотрудник. В то время, как пользователь открывал письмо для прочтения, одновременно с этим происходило скачивание вирусного кода, который вызывал рассылку зараженного письма всему списку контактов пострадавшего. Такой шаг позволял при помощи зараженного компьютера без труда отыскивать определенного работника, который отвечал за перевод денег и управление банкоматами. На ПК необходимого сотрудника устанавливалось специальное программирование, которое записывало все операции с экрана сотрудника.

Поясняя особенности мошеннической операции, ведущий специалист «Лаборатории Касперского» по антивирусному обеспечению Сергей Голованов, утверждал, что такие операции по ограблению банковских учреждений отличаются от других тем, что техника ограбления была независимой от программного обеспечения, используемого в банковских учреждениях, даже в том случае, когда оно было разработано специального для определенной организации. Мошенники даже не взламывали компьютерную базу банков. Вся их техника заключалась в проникновении в общую сеть и обучению маскировке жульнических операций под законные.

Так же одним из методов похищения денежных средств было обретение управления банкоматами: киберпреступники вводили в действие программирование на выдачу денег в определенный отрезок времени, к которому один из членов группировки находился вблизи банкомата, как в случае с банкоматом в Киеве, и забирали выданные суммы.

Однако, крупные денежные суммы похитили с помощью внедрения в систему бухучета, при котором осуществлялось искусственное увеличение счета определенного клиента, а далее переводили лишние средства на счета членов группировки. Благодаря полученному доступу к системе и подделке сотрудника банка, мошенники изменяли размер сумм на счету. Настоящий владелец счета при этом ничего не замечал, поскольку его действительная сумму оставалась нетронутой.

По словам Голованова, в ходе расследования оказалось , что большинство банковских учреждений осуществляют проверку счетов с промежутком в 10 часов, поэтому киберпреступники могли выполнять подменные действия в перерывах между проверками.

По сообщению управляющего «ЛК» отделения в Северной Америке Криса Доджетта для NYT, механизм операции хакеров был схож с кинолентой "11 друзей Оушена"» по своей организованности и масштабности.

Carbanak или Anunak?

Впоследствии сообщения NYT о Carbanak и новостей по этому поводу в СМИ России, Group-IB, еще одна организации РФ стала утверждать, что обнаружила такой мошеннический механизм еще в прошлом году. Согласно сообщению Ильи Сачкова, генерального директора компании, сообщение об изощренной схеме киберпреступников было опубликовано в конце 2014 года, предоставляю ссылку на публикацию на эту тематику на страницах Forbes.

Отличаются данные двух компаний не только в этом, но и в количестве стран, банковские учреждения которых были подвержены действиям мошенников. Так, представители Group-IB утверждают, что в этой афере были задействованы финансовые учреждения лишь Росси и Украины.