Введите запрос для поиска

Скрыть поиск
Курсы валют

«Юнистрим» взломали дважды

В понедельник ЦБ предупредил рынок о взломе хакерами банка «Юнистрим», который обернулся фишинговой рассылкой с вредоносом с легального адреса банка другим кредитным организациям. Банки и платежные системы получили информацию от ФинЦЕРТ (подразделение ЦБ по кибебезопасности). Хакеры выводили средства в систему денежных переводов «Юнистрим», просто подменяя получателя средств, размер ущерба оценивается как существенный, но не раскрывается. Примечательно, что это уже вторая такая атака на банк «Юнистрим», но в первый раз кредитная организация, по информации “Ъ”, решила отказаться от помощи ФинЦЕРТ, пообещав справиться своими силами.

19 ноября ФинЦЕРТ предупредил кредитные организации о рассылке фишинговых писем с вложением вредоносного программного обеспечения от имени банка «Юнистрим», рассказали “Ъ” участники рынка. По их словам, ФинЦЕРТ подчеркнул, что адрес отправителя вредоносов m.tsutskin@unistream.com является легальным почтовым адресом банка. Письма по кредитным организациям рассылались с заголовком «Попытки хищений». Регулятор настоятельно рекомендует банкам удалять всю входящую корреспонденцию от кредитной организации, обновить антивирусные базы, контролировать соединения с приведенными в рассылке IP-адресами и т. д.

Как сообщили “Ъ” в «Лаборатории Касперского», в рассылке содержался файл *.scr, который после загрузки обращается в интернет для последующего скачивания еще одного вредоноса. Собеседник “Ъ”, знакомый с ситуацией, отметил, что в данном случае имела место не мимикрия под действующую организацию, а реальный взлом банка, причем уже второй раз в этом году. Источники “Ъ”, близкие к банку, рассказали, что в начале октября хакерам, предположительно из группировки «Кобальт», удалось вывести средства из банка через платежные системы. Заражение банка было произведено через сделанную от имени крупного банка фишинговую рассылку, с помощью которой хакерам удалось похитить средства (сумма неизвестна).

Повторное заражение банка побудило ФинЦЕРТ предупредить об атаках не только банки, но и платежные системы, через которые при данном типе атак выводятся деньги. Дело в том, что, взломав систему, хакеры просто подменяют данные получателя перевода и спокойно забирают средства. Такая схема — редкость. «Нам сообщили, что "Кобальт" занялся системами переводов по новой схеме,— рассказывает собеседник “Ъ” на платежном рынке.— Хакеры дважды взломали базу "Юнистрим", причем сделали следующее: прямо в базе по реальным переводам меняли реальное ФИО на подставное и получали перевод на нужное лицо». Так как переводы крупные, то это более эффективно, чем с картами или платежами, подытожил собеседник “Ъ”.

В самом банке подтвердили первый взлом (октябрьский). «Хакерские атаки иногда происходят, но каких-либо существенных потерь в результате их "Юнистрим" не понес,— сообщил “Ъ” предправления КБ "Юнистрим" Кирилл Пальчун.— Наличие атаки никто не отрицает, но это не значит, что она была успешной». Что же касается ноябрьской истории, то глава банка уверен — проникнуть в банк хакерам не удалось. «Была произведена попытка несанкционированного доступа к почтовому серверу, которая была своевременно предотвращена антифрод-системами банка. Информационные системы банка не пострадали, об указанном инциденте был уведомлен ЦБ, а также партнеры "Юнистрим", системы работают в штатном режиме. Эта рассылка могла вестись с любых адресов, не только наших»,— резюмировал он.

Эксперты по информационной безопасности отмечают, что с большой долей вероятности вчерашняя рассылка с почты банка — это результат недостаточно качественного расследования предыдущего случая. «В случае инцидента банки в первую очередь ликвидируют последствия (восстанавливают работоспособность систем и пр.),— отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков.— Полноценное же расследование с выявлением первоначального вектора проникновения, анализ всей инфраструктуры на предмет того, где еще мог закрепиться злоумышленник, проводится в разы реже». «В нашей практике были случаи, когда прямо во время проведения расследования по следам инцидента мы фиксировали повторную активность злоумышленников в инфраструктуре,— продолжил эксперт,— то есть киберпреступники заходили повторно».

Как сообщил “Ъ” собеседник, знакомый с ситуацией в банке, после октябрьского инцидента банку поступали предложения от специализирующихся на информационной безопасности компаний и ФинЦЕРТ о проведении полноценного расследования и аудита состояния систем информационной безопасности банка, однако кредитная организация предпочла справиться своими силами. На вопрос о проведении аудита информбезопасности и расследовании предыдущего инцидента в банке ответили уклончиво. «Конечно, мы работаем с крупными компаниями по информбезопасности, постоянно совершенствуем IT-системы»,— отметил Кирилл Пальчун.

В то же время вчерашний случай несет колоссальные риски не только самому банку, но и другим участникам рынка. «Важно, что рассылка вредоноса шла с легитимного почтового ящика,— отмечает Алексей Новиков.— В каждом четвертом случае сотрудники банка открывают фишинговые письма, если они пришли от реальной компании-партнера. Если здесь рассылка была по контактам из адресной книги, к которой также мог быть получен доступ, успешность фишинговой рассылки составит практически до 100%». И сейчас, по словам эксперта, необходимо оперативное и полноценное расследование произошедшего инцидента, чтобы определить всю цепочку получателей таких писем и возможную зону поражения не только «Юнистрима», но и всех его партнеров.

Вероника Горячева, Ксения Дементьева

Источник: "Коммерсантъ"
Тэги:

Читайте также

ВТБ запустил новую программу автокредитования
ВТБ запустил специальное предложение «АвтоРалли», в рамках которого ставки по кредитованию новых автомобилей снижены до 9,5% годовых
Райффайзенбанк запустил вклад «Время действовать»
С 22 февраля Райффайзенбанк запустил новый вклад – «Время действовать»
Сотрудники Банка России провели день финансовой грамотности в одной из школ в Азнакаево
Деловую игру «С финансами на ты» для учеников одиннадцатого класса, а также занятие по финансовой грамотности с учащимися девятого класса провели сегодня сотрудники Банка России в школе № 1 г. Азнакаево
Альфа-Банк запустил мобильное приложение для самозантых
Альфа-Банк предложил самозанятым клиентам встать на учет в ФНС, используя мобильное приложение банка
Выпуск от 22.02.2019: Инфляционные поддавки и ТОП-3 программ рефинансирования кредитов
Цены на продовольственные товары должны расти и ТОП-3 кредитов на рефинансирование
Вчера рубль консолидировался в узком диапазоне 65,40 -65,60 руб./долл
Валютный прогноз от банка «Восточный»
ВТБ Капитал Инвестиции запустил первый биржевой фонд российских корпоративных облигаций на Московской бирже
21 февраля на Московской бирже начались торги паями «ВТБ-Российские корпоративные облигации смарт бета»
В Госдуме предложили передавать пенсии по наследству
В Госдуме рассмотрят законопроект «О внесении изменений в федеральный закон «О страховых пенсиях»
Восстановления деловой репутации добились в ЦБ в 2018 году 77 финансовых топ-менеджеров
В 2018 году 225 жалоб поступило в комиссию Банка России
МФО объединяются для борьбы с мошенниками
Крупнейшие микрофинансовые организации (МФО), выдающие займы через Интернет, объединятся в рабочую группу на базе СРО «МиР», являющейся промежуточным звеном между ЦБ и МФО