Злоумышленники похитили свыше 200 млн руб. у российских организаций путем подмены реквизитов

Безопасность Пользователю Интернет
мобильная версия
, Текст: Татьяна Короткова

«Лаборатория Касперского» обнаружила новый зловред TwoBee, с помощью которого злоумышленники редактировали текстовые файлы для обмена данными между бухгалтерскими и банковскими системами. Файлы оказались легкой добычей для преступников, поскольку не были защищены шифрованием и по умолчанию имели стандартные имена, сообщили CNews в «Лаборатории Касперского». По данным компании, киберпреступники смогли похитить более p200 млн у российских организаций с помощью простой подмены реквизитов в платежных поручениях.

Такой подход нельзя назвать новым — несколько лет назад платежные поручения подменял нашумевший в свое время троян Carberp. Однако эта техника уже довольно давно уступила место другим более сложным методам атак, в частности, заражению банкоматов, проникновению в системы дистанционного банковского обслуживания или платежные системы.

Тем не менее эта, казалось бы, забытая тактика позволила злоумышленникам легко добиться желаемого результата, отметили в компании. В настоящее время создатели зловреда TwoBee используют десятки банковских счетов, на которые переводят деньги своих жертв. Почти 90% атак пришлось на компании среднего и малого бизнеса. Большинство пострадавших организаций (25%) зафиксировано в Москве. Следом по числу заражений идут Екатеринбург и Краснодар.


Пример банковской выписки, которую редактировали злоумышленники

«Техника подмены реквизитов в платежных поручениях в свое время сошла на нет благодаря массовому распространению технологий шифрования в большинстве финансовых систем. Вероятно, тот же способ будет эффективен и в борьбе с TwoBee — защищенные выгрузки не позволят троянским программам так просто менять реквизиты в денежных переводах. Именно поэтому мы советуем всем компаниям передавать финансовую информацию в зашифрованном виде», — пояснил Денис Легезо, антивирусный эксперт «Лаборатории Касперского».

«Для защиты от атак с использованием TwoBee или похожих на него зловредов мы рекомендуем организациям, в первую очередь, сверять номер счета из подтверждающего запроса от банка с номером счета получателя, указанным в бухгалтерской системе. Это на 100% гарантирует защиту от мошенничества, — заявил Игорь Митюрин, Департамент безопасности Сбербанка. — Вместе с тем важно убедиться, что вы используете актуальные и обновленные версии программного обеспечения, установили защитные программы и ограничили доступ в интернет с тех устройств, на которых установлены системы дистанционного банковского обслуживания и бухгалтерские системы».

«Актуальные версии наших учетных программ проверяют, не был ли файл обмена модифицирован зловредом после загрузки данных в программу банка, но до отправки платежей на исполнение. Но, конечно, наиболее надежный вариант — использовать сервисы прямого обмена с банками, например, по технологии DirectBank, которую сейчас поддерживают более 25 банков, от крупнейших до небольших, — отметил Алексей Харитонов, руководитель отдела продвижения экономических программ, фирма «1С». — В этом случае выгрузка-загрузка файлов обмена вообще не требуется, все платежные документы формируются и подписываются электронной подписью прямо в учетной программе и из нее отправляются напрямую на сервер банка».