В прошлом месяце хакеры, входящие в группировку Cobalt, осуществили вывод из Банка Жилищного Финансирования (БЖФ) порядка $100 тыс. - возпользовавшись шлюзами платежных систем. Такого рода атака не просто не свойственна группировке, денежные средства через шлюзы платежных систем не выводились на протяжении уже многих лет.
По мнению экспертов, это связано в первую очередь с тем, что для хакеров вывод денежных средства в крупных суммах через шлюзы платежных систем осложнен.
Как сказал исполнительный директор CyberPlat Владимир Кузнецов, когда денежные средства переводятся через шлюз платежной системы, деньги можно переводить как в онлайн, так и в виде траншей. Причем платежная система с банком сами осуществляют настройку лимитов на переводы — как по общему суточному размеру переводов , так и по максимальной их сумме, а также по количеству однотипных переводов и т. п. В нашем случае хакеры произвели взлом АБС банка для увеличения установленных лимитов на перевод денежных средств и, воспользовавшись шлюзами платежных систем, вывели средства на банковские карты, в дальнейшем деньги были обналичены.
Зловред оказался в банке в пришедшем фишинговом письме, якобы отправленном Альфа-Банком. В письме говорилось о намерении банка урегулировать вопрос с мошенническими трансакциями, которые будто бы исходили из БЖФ. По словам представителя пресс-службы Альфа-Банка, почта Альфа-Банка не была взломана. Атака через почту, название которой схоже с адресом известного банка, - прием, получивший широкое распространение среди хакеров, и рассчитан он на невнимательных сотрудников.
А вернулись хакеры к старым схемам, по мнению экспертов, в том числе и потому, что платежная система практически "не видит" несанкционированные платежи. Как правило, только по сообщению от банка платежная система узнает, что денежные средства перевели злоумышленники.
Правоохранительные органы знают о том, что заражено еще три кредитных организации. «Было установлено, что и в пострадавшем банке, и других зараженных организациях - крайне низок уровень информбезопасности, в них отсутствуют российские антивирусы, лицензионное ПО, обновления. В выявлении всех этих недочетов помогли бы внеплановые проверки ЦБ. Необходимо, чтобы ЦБ был наделен дополнительными полномочиями для внеплановых проверок информбезопасности в банках. Если это не будет сделано, велика угроза волны хищений. Что характерно, последнюю рассылку с вредоносом от Cobalt эксперты Positive Technologies зафиксировали в конце сентября, уже после того, как хакеры произвели описанную выше атаку.
