Если хакеры хотят атаковать банк, они, как правило, используют удаленный доступ. Об этом рассказал «Свободной прессе» специалист по информационной, компьютерной и сетевой безопасности Сергей Вакулин. «Грубо говоря, сотруднику банка хакеры отправляют „картинку с котиком“, тот кликает на нее, и на рабочем компьютере устанавливается вредоносная программа. Таких примеров немало. Но в данном случае, когда все связано с ключами, транзакциями и доменными именами — такого даже не припомню», — комментирует он отчет Group-IB.
Ранее компания по обеспечению кибербезопасности Group-IB сообщила, что в феврале текущего года злоумышленники совершили хакерскую атаку против одного из не очень крупных банков и, заполучив доступ к системе межбанковских переводов АРМ КБР [автоматизированное рабочее место клиента Банка России], похитили с его счетом более 500 миллионов рублей. Аналитики связывают взлом с деятельностью группы MoneyTaker, причастной к подобным атакам, совершенным прежде.
По признанию Сергея Вакулина, о подобных методах взлома ему слышать не доводилось: «Я предполагаю, здесь есть три варианта. Первый — это открытость директории, и оттуда, возможно, была выкачана информация, касаемо ключей. Кроме того, там была подделка доменных имен. Впрочем, хочу сразу отметить, что такая практика хакеров маловероятна. Другой вариант — это уязвимость. Банки, как правило, отключают поддержку GS, но, как правило, после выхода обновлений, все вручную переустанавливают. Однако и этот вариант, хотя он и может иметь место, мне кажется не очень вероятным».
Наиболее вероятным вариантом, по мнению эксперта, является то, что за успешной хакерской атакой стоит инсайдер — человек, который работает, или некогда работал в данной финансовой организации и имеет информацию по ключу для выполнения транзакций: «Инсайдер мог сообщить данные хакерской группировке, либо он также мог быть задействован в этой группировке».
«То, что хакерам удалось завладеть ключами, является большой ошибкой работников банка. Естественно, что сейчас там будут проводить внутреннее расследование — как и что именно могло произойти, и как у членов хакерской группировки могли оказаться ключи. Но я сомневаюсь, что удастся найти концы. Дело в том, что хакеры не любят „светиться“, и при переводе денежных средств обычную валюту — рубли, доллары, евро и так далее — не используют. В таких случаях, как правило, что в белом сегменте интернета, что в черном, используется криптовалюта. А в таком случае, даже если вы знаете конкретный кошелек, вы никогда не узнаете имя владельца», — предупреждает Сергей Вакулин.