Киберпреступники смогли похитить более 200 млн руб. у российских организаций с помощью простой подмены реквизитов в платежных поручениях, сообщает «Лаборатория Касперского».
Для того чтобы украсть более 200 млн руб., киберпреступникам не обязательно заражать банкоматы, системы банк-клиент или взламывать платежные системы. Иногда они пользуются более простыми, но оттого не менее действенными методами. Как оказалось, даже в 2016 г. можно украсть денежный перевод, просто отредактировав текстовый файл при помощи троянской программы. И не один раз, а проделать этот трюк с целым рядом серьезных организаций.
Специалисты обнаружили новый зловред TwoBee, с помощью которого злоумышленники редактировали текстовые файлы для обмена данными между бухгалтерскими и банковскими системами. Файлы оказались легкой добычей для преступников, поскольку не были защищены шифрованием и по умолчанию имели стандартные имена.
Такой подход нельзя назвать новым: несколько лет назад платежные поручения подменял нашумевший в свое время «троянец» Carberp. Однако эта техника уже довольно давно уступила место другим более сложным методам атак, в частности заражению банкоматов, проникновению в системы дистанционного банковского обслуживания или платежные системы.
Тем не менее эта, казалось бы, забытая тактика позволила злоумышленникам легко добиться желаемого результата. В настоящее время создатели зловреда TwoBee используют десятки банковских счетов, на которые переводят деньги своих жертв.
Число жертв TwoBee исчисляется десятками, большинство из них находится в России. Это легко объяснимо: специфика бухгалтерского учета не позволяет так просто пользоваться тем же ПО в других, даже соседних странах. Почти 90% атак пришлось на компании среднего и малого бизнеса. Большинство пострадавших организаций (25%) зафиксировано в Москве. Следом по числу заражений идут Екатеринбург и Краснодар.
«Техника подмены реквизитов в платежных поручениях в свое время сошла на нет благодаря массовому распространению технологий шифрования в большинстве финансовых систем. Вероятно, тот же способ будет эффективен и в борьбе с TwoBee: защищенные выгрузки не позволят троянским программам так просто менять реквизиты в денежных переводах. Именно поэтому мы советуем всем компаниям передавать финансовую информацию в зашифрованном виде», – поясняет Денис Легезо, антивирусный эксперт «Лаборатории Касперского».
«Для защиты от атак с использованием TwoBee или похожих на него зловредов мы рекомендуем организациям в первую очередь сверять номер счета из подтверждающего запроса от банка с номером счета получателя, указанным в бухгалтерской системе. Это на 100% гарантирует защиту от мошенничества, – прокомментировал Игорь Митюрин, департамент безопасности ПАО Сбербанк. – Вместе с тем важно убедиться, что вы используете актуальные и обновленные версии программного обеспечения, установили защитные программы и ограничили доступ в интернет с тех устройств, на которых установлены системы дистанционного банковского обслуживания и бухгалтерские системы».
Алексей Харитонов, руководитель отдела продвижения экономических программ, фирма «1С», отметил: «Актуальные версии наших учетных программ проверяют, не был ли файл обмена модифицирован зловредом после загрузки данных в программу банка, но до отправки платежей на исполнение. Но, конечно, наиболее надежный вариант – использовать сервисы прямого обмена с банками, например по технологии DirectBank, которую сейчас поддерживают более 25 банков, от крупнейших до небольших. В этом случае выгрузка-загрузка файлов обмена вообще не требуется, все платежные документы формируются и подписываются электронной подписью прямо в учетной программе и из нее отправляются напрямую на сервер банка».
Источник: vestifinance.ru