расчетный счет. Преступник называет кассиру иные реквизиты (например, номер своей карты или своего расчетного счета), что в итоге приводит к перечислению денежных средств не на счет, с которого они были списаны, а на счет мошенника. После совершения всех процедур кассир начинает осознавать свою роль в атаке.

Следует отметить, что реализация подобных схем атак происходит в результате нарушения кассиром внутренних процедур контроля (мониторинга) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры.

2.6.3. Атаки на системы дистанционного банковского обслуживания, используемые юридическими лицами

Согласно Обзору несанкционированных переводов денежных средств за 2018 г., почти половина хищений совершается в результате получения злоумышленниками доступа к управлению счетами организации в системе ДБО путем установки на компьютере версии вредоносного программного обеспечения (ВрПО), предоставляющего следующие возможности:

– получение удаленного доступа к зараженному компьютеру;

– кража учетных данных, используемых в системах ДБО;

– перехват и подмена реквизитов в платежных поручениях, направляемых через системы ДБО;

– создание подложных платежных поручений и отправка их в кредитную организацию.

Распределение причин несанкционированных списаний со счетов юридических лиц в 2018 г. представлено на рис. 33.

Рис. 33. Причины несанкционированных списаний со счетов юридических лиц в 2018 г. (%)

Перечислим следующие основные каналы попадания вредоносного программного обеспечения на компьютер клиента кредитной организации:

– массовая рассылка на адреса клиентов ОКФС электронных писем, содержащих вредоносные вложения;

– массовая рассылка на адреса клиентов ОКФС электронных писем, содержащих ссылки на ресурс, на котором размещено вредоносное программное обеспечение;

– использование техники watering hole, которая заключается во взломе популярных веб-сайтов заданной направленности (в случае с сотрудниками финансовых подразделений – СМИ и порталов бухгалтерской или экономической тематики) с последующим размещением на них вредоносного программного кода, предназначенного для загрузки на средства вычислительной техники при посещении взломанного ресурса пользователями – объектами атаки;

– установка клиентом на средства вычислительной техники программного обеспечения из недоверенных источников.

Стоит отметить, что даже новые экземпляры вредоносного программного обеспечения обычно имеют высокий уровень детектируемости популярным антивирусным программным обеспечением. При этом первичное проникновение часто осуществляется за счет эксплуатации уязвимостей, информация о которых давно опубликована (как и в случае с атаками непосредственно на кредитно-финансовые организации), либо с использованием программ-контейнеров, детектирующихся эвристически почти всеми распространенными антивирусными программами. Таким образом, наиболее эффективный метод противодействия подобным атакам зачастую заключается в поддержании актуального состояния антивирусных баз и своевременном обновлении программного обеспечения – как системного, так и прикладного.

2.6.4. Атаки на клиентов – физических лиц

Для получения денежных средств клиентов мошенники используют различные способы атак. При этом главной особенностью атак на клиентов – физических лиц является именно эксплуатация уязвимости, связанной с человеческим фактором, то есть использование методов социальной инженерии. Беспечность, любопытство, доверчивость или стремление сэкономить – основные черты, которые используют злоумышленники для того, чтобы получить доступ к платежным реквизитам граждан или побудить их добровольно (в юридическом смысле) расстаться с деньгами.

Согласно Обзору несанкционированных переводов денежных средств за 2018 г., методы социальной инженерии применяются злоумышленниками при распространении информации (например, с использованием услуг, предоставляемых операторами связи, ресурсов в интернете, в т. ч. электронной почты), побуждающей клиента сообщать сведения, необходимые для осуществления переводов денежных средств от его имени, в том числе аутентификационные данные (97 % всех атак на клиентов) (рис. 34).

В основе атак, связанных с телефонным мошенничеством и рассылкой SMS с текстом наподобие «ваша карта заблокирована», лежат базовые принципы психологического воздействия на субъекта, в частности так называемого «мягкого» воздействия. Задача злоумышленников сводится к попытке преодолеть недоверие и побудить жертву сообщить платежные реквизиты или совершить перевод самостоятельно. Указанной атаке подвергаются практически все сегменты платежеспособного населения, однако наиболее часто преступники стремятся воздействовать на наименее защищенных граждан, для которых характерен низкий уровень финансовой грамотности и киберграмотности (пенсионеров, лиц с особыми потребностями, жителей удаленных от федерального центра регионов и небольших городов).

Рис. 34. Причины совершения несанкционированных операций с использованием платежных карт в 2018 г. (%)

Для экономически активной части населения, пользующейся интернетом, актуальны другие способы установления контакта. В первую очередь это спам-рассылка писем, содержание которых рассчитано на разные категории получателей. Это сообщения о скидках, компенсациях, предложения знакомства и другие заманчивые предложения, содержащие вредоносные файлы или ссылки на фишинговые веб-сайты, которые сами по себе также являются способом коммуникации мошенников с жертвами. Получив такое письмо, человек открывает файл или переходит по ссылке, результатом чего становятся заражение устройства и компрометация платежных данных его владельца.

Распространенным методом осуществления несанкционированных переводов денежных средств с использованием мобильного устройства является его заражение вредоносным кодом. Применение методов социальной инженерии (ссылки в SMS, реклама на веб-сайтах) существенно повышает вероятность заражения мобильного устройства. При этом злоумышленник получает возможность составлять распоряжения об осуществлении переводов денежных средств, а владельцу телефона уведомления о совершении операций могут быть недоступны.

Кроме того, следует отметить случаи взлома аккаунтов в социальных сетях с целью рассылки по списку контактов их владельцев просьб о материальной помощи от их имени. Таким образом, наименее квалифицированными преступниками монетизируется наиболее дешевый «материал», возникающий как результат работы индустрии компьютерной преступности. Доступы к аккаунтам в социальных сетях продаются на закрытых ресурсах оптом. Единица измерения этого товара – тысяча, а цены – от нескольких долларов за единицу (т. е. за тысячу). Реквизиты доступа попадают в распоряжение взломщиков в процессе эксплуатации обширных бот-сетей. Из непригодных к чему-либо другому ботов – зараженных компьютеров «выжимают» хотя бы доступы к каким-либо сетевым ресурсам, которые потом продают. И это доступы не только к социальным сетям, но и к электронной почте, файловым хранилищам, веб-серверам. Монетизацией такого «материала» занимаются скупающие его преступники, зачастую начинающие, которые не нашли себе другой криминальной профессии. В то же время нужно ожидать, что по мере снижения доходов от хищений преступность будет уделять все больше внимания компьютерам и аккаунтам простых обывателей, изыскивая любые новые возможности извлечения дохода, даже если для этого потребуются тщательный поиск и анализ компрометирующей информации, перехват переписки, шантаж, угрозы, вымогательство, продвинутые схемы мошенничества.

2.6.5. Атаки на устройства самообслуживания (отмена транзакции)

В 2018 г., согласно данным, которые указывает Банк России в Обзоре несанкционированных переводов денежных средств, были зафиксированы следующие способы воздействия на банкоматы:

– прямое подключение к банкомату технических устройств, позволяющих им управлять;

– удаленное управление банкоматом, платежным терминалом, в том числе вследствие заражения вредоносным кодом;

– физическое воздействие на банкомат, платежный терминал (взрыв, взлом и т. д.).

В качестве основных способов воздействия на банкомат следует указать атаку типа blackbox и проникновение в банкомат изнутри локальной сети банка для загрузки программного обеспечения, взаимодействующего с диспенсером и обеспечивающего выдачу наличных денежных средств. Основное различие в фиксируемых атаках типа blackbox и атаках изнутри сети кредитной организации – в способе доставки вредоносного программного обеспечения.

Атака blackbox обычно начинается со вскрытия передней панели банкомата и подсоединения стороннего устройства. Чаще