После более чем полугодового затишья хакеры совершили успешную атаку на ПИР-банк, лишив его свыше 58 млн руб. Вывод похищенных средств осуществлялся на счета 22-х крупнейших банков, преступники обналичили их в разных регионах России. Ранее ЦБ заверял, что такого рода атаки прекратятся. Очередное хищение принесет не только серьезные проблемы в атакованный банк, оно угрожает всему банковскому рынку.
От представителей сразу нескольких банков пришло сообщение о том, что на текущей неделе хакеры совершили первую в этом году атака на банк. По словам одного из них, атака совершена на ПИР-банк (329-е место по активам). По словам другого источника, в ЦБ с корсчета указанного банка в ночь на 4 июля хакеры вывели свыше 58 млн руб. - и это самые скромные подсчеты.
Представители ПИР-банка подтвердили, что он был атакован. Как сказала председатель правления банка Ольга Колосова, сейчас пока сложно дать точную оценку размеру хищения. Вывод части похищенных средств мы остановили, но уже ясно, что большей части мы лишились безвозвратно. Для вывода денежных средств преступники использовали веерную рассылку на пластиковые карты физлиц в 22-х банках, входящих в топ-50, большую часть денег успели обналичить в ночь, когда они были похищены. Вирус, который атаковал банк, не идентифицируют имеющиеся сейчас средства, и этот факт подтвердили сотрудники ФинЦЕРТ, скорее всего проникновение вируса в банк организовано с помощью фишингового письма.
4 и 5 июля банк вынужденно прекратил работу, так как были «скомпрометированы ключи» (злоумышленникам удалось фактически получить полный доступ к автоматизированному рабочему месту клиента Банка России, АРМ КБР, в результате чего они успешно вывели деньги с корсчета банка в ЦБ). На 6 июля запланировано возобновление работы банка.
ЦБ подтвердил атаку хакеров, но подробности не раскрываются, известно, что регулятор сдержанно прокомментировал тему.
ФинЦЕРТ организовала проведение всех необходимых мероприятий, ситуация детально анализируется, до завершения анализа любые выводы будут преждевременными.
Хакерские атаки на банки с выводом денежных средств через платежную систему Банка России - бич кредитных организаций, и их пик пришелся на 2016 год, когда хакерам удалось похитить 1,5 млрд руб. Прошлогодней осенью, представляя отчет ФинЦЕРТ, ЦБ заверил, что больше банкам не грозят атаки на АРМ КБР. Но до конца года хакеры совершили две атаки, выведя средства с корсчета в ЦБ. Общий ущерб от нил оценен в 54 млн руб.
Как говорят аналитики, хищение средств не приведет к существенному нарушению финансовой устойчивости банка. По словам младшего директора по банковским рейтингам «Эксперт РА» Ивана Уклеина, ПИР-банк располагает таким объемом капитала, что по состоянию на 1 июня потенциально выдержит убытки до 740 млн руб., т.е. до достижения нормативом Н1.0 критического минимума 8%. Вместе с тем сама атака, если учесть отдельные показатели банка, способна привлечь к нему внимание регулятора, так как запас банка совсем ненамного превышает минимальное требование по капиталу в 1 млрд руб. — всего на 67,6 млн руб. К тому же банком был резко сокращен масштаб деятельности. Если в 2015 году портфель розничных кредитов составлял 3,8 млрд руб., то к лету этого года он снизился до 570 млн руб. Как оценивает Иван Уклеин, за последний год расходы банка почти в 2 раза выше доходов от операционной деятельности. Причем значительная доля активов банка поддерживается наличными денежными средствами, а оборот по кассе весьма высок. Внимание привлекают и почти непрерывное перераспределение небольших долей собственников. По словам исполняющего обязанности главы департамента по информбезопасности Артема Сычева, регулятор уже трижды ЦБ лишал лицензий банки из-за низкого уровня информбезопасности.
Последствия новой атаки неизбежно коснутся всего рынка. По словам начальника управления информбезопасности Златкомбанка Александра Виноградова, тут важно понимание того, что подобная атака может грозить любому банку, даже такому, который предпочитает покупку дорогого софта, пентесты и регулярное проведение анализа уязвимостей. Потому что по большому счету, для успешности атаки достаточно, чтобы всего один сотрудник банка один раз открыл фишинг-письмо, очень похожее как письмо от банковского клиента.
