Введите запрос для поиска

Скрыть поиск
Курсы валют

«Юнистрим» взломали дважды

В понедельник ЦБ предупредил рынок о взломе хакерами банка «Юнистрим», который обернулся фишинговой рассылкой с вредоносом с легального адреса банка другим кредитным организациям. Банки и платежные системы получили информацию от ФинЦЕРТ (подразделение ЦБ по кибебезопасности). Хакеры выводили средства в систему денежных переводов «Юнистрим», просто подменяя получателя средств, размер ущерба оценивается как существенный, но не раскрывается. Примечательно, что это уже вторая такая атака на банк «Юнистрим», но в первый раз кредитная организация, по информации “Ъ”, решила отказаться от помощи ФинЦЕРТ, пообещав справиться своими силами.

19 ноября ФинЦЕРТ предупредил кредитные организации о рассылке фишинговых писем с вложением вредоносного программного обеспечения от имени банка «Юнистрим», рассказали “Ъ” участники рынка. По их словам, ФинЦЕРТ подчеркнул, что адрес отправителя вредоносов m.tsutskin@unistream.com является легальным почтовым адресом банка. Письма по кредитным организациям рассылались с заголовком «Попытки хищений». Регулятор настоятельно рекомендует банкам удалять всю входящую корреспонденцию от кредитной организации, обновить антивирусные базы, контролировать соединения с приведенными в рассылке IP-адресами и т. д.

Как сообщили “Ъ” в «Лаборатории Касперского», в рассылке содержался файл *.scr, который после загрузки обращается в интернет для последующего скачивания еще одного вредоноса. Собеседник “Ъ”, знакомый с ситуацией, отметил, что в данном случае имела место не мимикрия под действующую организацию, а реальный взлом банка, причем уже второй раз в этом году. Источники “Ъ”, близкие к банку, рассказали, что в начале октября хакерам, предположительно из группировки «Кобальт», удалось вывести средства из банка через платежные системы. Заражение банка было произведено через сделанную от имени крупного банка фишинговую рассылку, с помощью которой хакерам удалось похитить средства (сумма неизвестна).

Повторное заражение банка побудило ФинЦЕРТ предупредить об атаках не только банки, но и платежные системы, через которые при данном типе атак выводятся деньги. Дело в том, что, взломав систему, хакеры просто подменяют данные получателя перевода и спокойно забирают средства. Такая схема — редкость. «Нам сообщили, что "Кобальт" занялся системами переводов по новой схеме,— рассказывает собеседник “Ъ” на платежном рынке.— Хакеры дважды взломали базу "Юнистрим", причем сделали следующее: прямо в базе по реальным переводам меняли реальное ФИО на подставное и получали перевод на нужное лицо». Так как переводы крупные, то это более эффективно, чем с картами или платежами, подытожил собеседник “Ъ”.

В самом банке подтвердили первый взлом (октябрьский). «Хакерские атаки иногда происходят, но каких-либо существенных потерь в результате их "Юнистрим" не понес,— сообщил “Ъ” предправления КБ "Юнистрим" Кирилл Пальчун.— Наличие атаки никто не отрицает, но это не значит, что она была успешной». Что же касается ноябрьской истории, то глава банка уверен — проникнуть в банк хакерам не удалось. «Была произведена попытка несанкционированного доступа к почтовому серверу, которая была своевременно предотвращена антифрод-системами банка. Информационные системы банка не пострадали, об указанном инциденте был уведомлен ЦБ, а также партнеры "Юнистрим", системы работают в штатном режиме. Эта рассылка могла вестись с любых адресов, не только наших»,— резюмировал он.

Эксперты по информационной безопасности отмечают, что с большой долей вероятности вчерашняя рассылка с почты банка — это результат недостаточно качественного расследования предыдущего случая. «В случае инцидента банки в первую очередь ликвидируют последствия (восстанавливают работоспособность систем и пр.),— отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков.— Полноценное же расследование с выявлением первоначального вектора проникновения, анализ всей инфраструктуры на предмет того, где еще мог закрепиться злоумышленник, проводится в разы реже». «В нашей практике были случаи, когда прямо во время проведения расследования по следам инцидента мы фиксировали повторную активность злоумышленников в инфраструктуре,— продолжил эксперт,— то есть киберпреступники заходили повторно».

Как сообщил “Ъ” собеседник, знакомый с ситуацией в банке, после октябрьского инцидента банку поступали предложения от специализирующихся на информационной безопасности компаний и ФинЦЕРТ о проведении полноценного расследования и аудита состояния систем информационной безопасности банка, однако кредитная организация предпочла справиться своими силами. На вопрос о проведении аудита информбезопасности и расследовании предыдущего инцидента в банке ответили уклончиво. «Конечно, мы работаем с крупными компаниями по информбезопасности, постоянно совершенствуем IT-системы»,— отметил Кирилл Пальчун.

В то же время вчерашний случай несет колоссальные риски не только самому банку, но и другим участникам рынка. «Важно, что рассылка вредоноса шла с легитимного почтового ящика,— отмечает Алексей Новиков.— В каждом четвертом случае сотрудники банка открывают фишинговые письма, если они пришли от реальной компании-партнера. Если здесь рассылка была по контактам из адресной книги, к которой также мог быть получен доступ, успешность фишинговой рассылки составит практически до 100%». И сейчас, по словам эксперта, необходимо оперативное и полноценное расследование произошедшего инцидента, чтобы определить всю цепочку получателей таких писем и возможную зону поражения не только «Юнистрима», но и всех его партнеров.

Вероника Горячева, Ксения Дементьева

Источник: "Коммерсантъ"
Тэги:

Читайте также

ВТБ Капитал занял лидирующие позиции в ежегодной премии Cbonds Awards
ВТБ Капитал стал лауреатом ряда номинаций ежегодной премии Cbonds Awards
Мобильное приложение ВТБ-Онлайн позволяет начать инвестировать в ценные бумаги
Пользователи мобильного приложения ВТБ-Онлайн получили возможность оформить брокерский счет и индивидуальный инвестиционный счет (ИИС) с телефона или планшета
Банк «Восточный» представил новую кредитную карту КЭШБЭК
Банк «Восточный» в рамках модернизации линейки кредитных карт представил карту КЭШБЭК, сочетающую в себе главные преимущества кредитных карт банка
ВТБ нарастил выдачу кредитов наличными в 1,5 раза
Банк ВТБ по итогам 11 месяцев 2018 года оформил 1,3 миллиона кредитов наличными на общую сумму более 700 миллиардов рублей
Без SWIFT не останемся
Уход с поста главы организации не изменит ее политику в отношении к России
Не хватает ни наличных, ни безналичных
Операции по картам замедлили рост
Минфин оставил инвесторов без премии
Доходности ОФЗ не растут при размещении
Банки поборются за деньги садоводов
С 2019 года все садовые товарищества (СНТ) обяжут открыть счета в банках, куда будут поступать взносы их членов и производиться безналичная оплата работ и услуг
ЦБ сообщил о росте числа безналичных платежей за 9 месяцев 2018 года
Количество банковских карт, с помощью которых в период с января по сентябрь текущего года была совершена как минимум одна операция, выросло по сравнению с 2017 годом на 15%
Счетная палата нашла убытки от вложений средств ФНБ
Вложения средств Фонда национального благосостояния (ФНБ) в иностранные активы с декабря 2017 года по май 2018-го принесли убытки