Дорогое письмо бывшему партнеру

Появился первый пострадавший от фишинговой рассылки партнерам Юнистрим-банка с взломанного хакерами почтового сервера кредитной организации. Как стало известно “Ъ”, им стал банк «ВТБ Грузия». По предварительным результатам расследования, там вскрыли фишинговое письмо от экс-партнера, в результате чего 14 декабря хакеры вывели средства. Круг потенциальных жертв может быть шире, отмечают эксперты, однако выявить их непросто, особенно при трансграничных атаках.

Как стало известно “Ъ”, 14 декабря была совершена успешная атака на банк группы ВТБ — «ВТБ Грузия», злоумышленники вывели несколько сотен тысяч долларов. Сейчас идет расследование инцидента, которое показало, что хакеры проникли в сеть банка через фишинговое письмо, полученное от бывшего партнера «ВТБ Грузия» Юнистрим-банка, рассказывает знакомый с деталями расследования собеседник “Ъ”. В Юнистрим-банке “Ъ” лишь сообщили: «"ВТБ Грузия" к нам не обращался, слухи мы не комментируем». В Банке России и ЦБ Грузии не ответили на запрос “Ъ”.

«ВТБ Грузия» стал первой реальной жертвой хакерской атаки на Юнистрим-банк. 19 и 21 ноября с взломанного злоумышленниками почтового сервера Юнистрим-банка рассылались фишинговые письма с вредоносом по адресной книге кредитной организации. Учитывая, что основной бизнес банка — денежные переводы «Юнистрим», в том числе и трансграничные, рассылка прошла по большому числу адресатов. По ноябрьским рассылкам решения компании задетектировали более 200 попыток запуска вредоноса из полученных писем, детектирование срабатывало в семи странах, отмечают в «Лаборатории Касперского».

Юнистрим-банк — небольшой по размеру активов (267-е место) специализированный столичный банк, в который из Юниаструм-банка был выведен бизнес по осуществлению денежных переводов физических лиц (без открытия текущего счета). Сегодня это основное направление деятельности Юнистрим-банка. Собственниками являются председатель совета директоров банка Гагик Закарян и член совета директоров Георгий Писков с долями по 50%.

О рассылках с вирусами рынок дважды предупреждал ФинЦЕРТ (специализированное подразделение Банка России) в своих бюллетенях, там же были рекомендации по противодействию угрозе (см. “Ъ” от 23 ноября). Однако «ВТБ Грузия» не является членом информационного обмена с ФинЦЕРТ, бюллетень он не получал и не имел оснований с подозрением отнестись к письму от «Юнистрима», отмечают эксперты. «Непростые геополитические отношения России с другими странами осложняют возможность подключения к ФинЦЕРТ и получения рассылок от российского регулятора»,— отмечает консультант по интернет-безопасности Cisco Алексей Лукацкий.

По словам экспертов по кибербезопасности, обычно расследование инцидента длится несколько месяцев. И если по итогам факт проникновения в банк через письмо Юнистрим-банка будет доказан, то это может иметь серьезные последствия для всего рынка денежных переводов в целом. «Необходимо понимать, что Грузия является одним из наиболее популярных направлений трансграничных переводов (входит в топ-5),— рассуждает предправления НП НПС Алма Обаева.— Подобные инциденты могут привести к потере части рынка как у самого "Юнистрима", так и у других систем переводов. В глазах иностранных партнеров такая ситуация не может не отразиться на рынке российских денежных переводов, причем не только в Грузии».

По ее мнению, если будет доказано, что «ВТБ Грузия» потерял средства именно по вине «Юнистрима», то платежной системе следует компенсировать потери. Но только если исходить из понятий порядочности, предупреждают юристы. «По российскому праву оба банка являются равными партнерами, оба обязаны защищаться от хакерских атак и потому о какой-либо компенсации тут речи быть не может»,— отметил управляющий партнер «Ренессанс-Lex» Георгий Хурошвили.

Эксперты по информационной безопасности предполагают, что «ВТБ Грузия» может оказаться не единственной жертвой хакерской атаки на Юнистрим-банк. «Выявить всех получателей рассылки не так просто, это возможно лишь в случае, когда рассылка делалась через почтовую программу,— отмечет Алексей Лукацкий.— При этом в используемый злоумышленниками вредонос мог быть встроен специальный модуль, который самостоятельно делает рассылку, и тогда следы атаки отследить сложнее». В любом случае необходимо активное участие Юнистрим-банка в выявлении всех получателей рассылки и предотвращении дальнейших хищений.