Мошенники научились воровать деньги с банков «округлении» валюты

написаноadminGWP 29.05.2016

По экспертным оценкам, «особо продвинутые» пользователи интернет-банка «делают из воздуха» 10-15 тысяч рублей в месяц

Фото: REUTERS/Илья Naymushin

«Особо сообразительные» пользователи интернет-банка (ИБ) и мобильный банк (МБ) в последнее время стало освоить принципы округления чисел и результат счета, для получения дополнительного дохода. Этот доход, по оценкам экспертов, может достигать 15 тысяч рублей в месяц. Об этом «Известиям» заявил, что компания Positive Technologies специализируется на вопросах безопасности дистанционного банкинга.

Граждане редко выгадывают на форекс курсах, но в конце 2015 – 2016 году появилась новая схема, которую начали активно использовать, чтобы получить доход. Схема проста: пользователь интернет-банка носит, условно говоря, 0,29 рубля (29 центов) долларов. Если курс валюты составляет 65 евро, эта сумма 0,29 евро соответствует $0,004461. Эта сумма конвертации округляются с точностью до двух знаков после запятой правила банков — до $0,01, что соответствует 1 центу. Затем нарушитель несет 1 цент США обратно в рубль. В результате перевод может быть он 0,65 руб (65 центов). Таким образом, за одну операцию клиент может 0,36 рубля (36 центов), т. е. больше, чем вложил.

Компания Positive Technologies рассказали, что такие схемы называют «атаки округление» и клиенты в кризис стали активно использовать его, используя уязвимости систем дистанционного обслуживания банков подобные манипуляции. По оценкам, Positive Technologies, 25% удаленных систем обслуживания российских банков (интернет-и мобильный банки) подвергаются «атакам на округление».

В соответствии с старший эксперт отдела безопасности банковских систем Positive Technologies Тимура Юнусова, «в атаку завершают» используется банками для клиентов, мелких краж — на сумму до 15 тысяч рублей в месяц, которые состоят из центов. Каждая операция, как правило, оценивается только копейками, что кредитная организация не обратил внимание на манипуляции. Собеседник пояснил, что округления принцип известен со времен появления онлайн-игр. Банки подобных инцидентов и объемов ущерба, не разглашать.

— Если у вас есть банка украдут в течение месяца от 10 до 50 тысяч рублей, то этот факт, скорее всего, никто оказать не может», — говорит Тимур Юнусов. — Банки публиковать информацию хищениям и утечке только в том случае, если крадут деньги клиентов, или если взлом атака «разоряет банк» (речь идет о миллионных кражах).

По словам Тимура Юнусова, банки могут применять алгоритмы округления, для того, чтобы противостоять сдавать воров: ограничить нижнюю сумму перевода, или войти проверить «обе стороны» (при удалении от 0,01 центов, снова высчитывать сумму устранении рублей за счет: 0,60 центов).

Но, по словам двух представители банка топ-100 активам, опрошенные «Известиями», это возможность дополнительного дохода гораздо больше времени, чем так называемый «отложенный convert», когда клиент создает платежку по конвертации в интернет-банке и ждет более благоприятной для себя, конечно, сделать операцию.

— Клиент видит, в какую сторону идет, конечно», — пояснил представитель одного крупного банка на условиях анонимности. — Если выгодно, что в его сторону, то он будет проводить операции. Но делает это «старые» более выгодному на данный момент курсу, который помню система (поскольку организация уже создана, остается только подтвердить паролем). Если клиент видит тенденции изменения курса в невыгодную для нее сторону, то он просто отменить операцию.

В Positive Technologies, отметил, что «атаки завершают» дело и кибермошенники, которые используют его в практике, после взлома через интернет или мобильного банка, клиентов российских банков. Хакеры атакуют интернет — и мобильные банки небольших кредитных организаций за пределами топ 100 активов дистанционные системы, где намного меньше защищены, чем крупные игроки. По оценкам Digital Security, 23 млн россиян активно используют ИБ для совершения трансакций через Сеть, заходя в личный кабинет с компьютера; 17 млн граждан — МБ (через смартфоны/планшеты; на них установлены специальные приложения от банков). По словам гендиректора компании Zecurion Алексея раевского, хакеры использовали «атак на округление» меньше, чем в 1% случаев.

— Такие схемы хищения изначально использовали недобросовестные разработчики банковских систем, который показывает Алексей Раевский. — Сейчас есть возможности хищения гораздо более крупных сумм, гораздо меньше трансакций.

В Positive Technologies показывают, что приложения банка для IOS более защищена, чем Android на основе.

— В 2013 и 2014 году банковские приложения для IOS составляет 2,3 уязвимости, 2015. году-уже 1,6, то есть IOS стала еще более безопасной операционной системой, — указано в Positive Technologies. — Приложения для android все три года упадет на 3,8 уязвимости.

Но самое главное — это все-таки культура клиента: если клиент реагирует на, например, имитацию обращения банка через фейковое письмо, подмена страниц и SMS или же гражданин добровольно сообщает, кто-то свои логины-пароли, он берет на себя большие риски.

1. апреля, Банк России объявил о снижении объема хищений средств карт россиян почти на треть — до 1,14 млрд евро в квартал прошлого года. Когда он заявил в интервью «Известиям» замначальника главного управления безопасности и защиты информации Цб Артем Сычев, объем кражи карты для граждан и компаний, счета в этом году продолжают снижаться. По словам Артема Сычева, приоритет кибермошенников на 2016 год — корсчета банков. По прогнозам ЦБ, объем кражи с корсчетов банков результаты в 2016 году составит около 4 млрд. евро.