kuap.ru

Заведу отдельную тему, которая становится все более актуальной.

РБК, 17.03.2016, 10:35
Юлия Титова
Хакеры украли у банков почти 2 млрд руб. с помощью «писем от ЦБ»

Криминалисты выявили новый вирус, с помощью которого хакеры атаковали банки и похитили у них за полгода 1,8 млрд руб. Злоумышленники рассылали банкам письма якобы от Банка России За последние полгода, с августа 2015 по февраль 2016 года, при помощи вируса Buhtrap хакеры совершили 13 успешных атак на российские банки, в результате которых похитили 1,8 млрд руб., сообщает в своем отчете компания Group-IB, которая занимается расследованием компьютерных преступлений.

Группа хакеров, которая использует вирус Buhtrap, действует с октября 2014 года, однако первые атаки на банки были зафиксированы в августе 2015 года, до этого группа атаковала только клиентов банков.

Атаки хакеров заключались в том, что они использовали рассылку писем якобы от имени Банка России. Первая рассылка была зафиксирована 22 октября 2015 года, говорится в отчете компании Group-IB. Тогда многим российским банкам пришло письмо с почтового ящикам support@cbr.ru.com с темой «Информация для банковских работников», внутри которого был документ MS Office. Открытие документа приводило к запуску программы, которая проверяла в истории браузеров компьютеров ссылки, связанные с интернет-банком и банковским программным обеспечением. Если такие ссылки находились, то программа загружала из интернета вредоносное программное обеспечение (Buhtrap) и устанавливала его. При этом большинство антивирусных программ не определяет загрузчик как вредоносную программу, говорится в отчете Group-IB.

Хакеры не остановились на этом и пошли дальше. Они узнали о существовании клуба «Антидроп», в который входят представители служб безопасности банков и обмениваются между собой информацией о мошенничествах. 18 декабря 2015 году хакеры Buhtrap разослали письма с адреса mironova.olga@gazprombank.com.ru с темами «Срочно! Обновленная база дропов», «Обновленная база дропов» со ссылкой на вредоносный файл, рассказывается в отчете Group-IB. Но сотрудники безопасности банков достаточно быстро поняли, что рассылка является мошеннической, говорится в отчете.

Ущерб от вируса Buhtrap
600 млн руб. — максимальная сумма хищения у российского банка в 2016 году
25,6 млн руб. — минимальная сумма хищения у российского банка в 2016 году
143 млн руб. — средняя сумма успешного хищения у банка
1 млрд руб. — сумма хищений, которые удалось остановить в январе 2016 года

Годовые затраты банков на эффективные средства предотвращения атак в 28 раз меньше, чем средний прямой ущерб от одной целенаправленной атаки.

В январе этого года хакеры сделали вторую рассылку от имени ЦБ с якобы открытой там вакансией. Письма приходили с ящика vakansiya@cbr.ru.net, который представляет собой видоизмененный домен ЦБ, с темой «Вакансия в Центральном банке» и вирусовым документом MS Office (Buhtrap). Пресс-служба ЦБ на запрос РБК ответила, что адрес vakansiya@cbr.ru.net не принадлежит ЦБ. «По факту данной рассылки Банк России направлял информацию в правоохранительные органы. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинСЕРТ) направлял участникам информационного обмена соответствующую информацию», — отметила пресс-служба.

По словам директора по методологии и стандартизации Positive Technologies (компания занимается информационной безопасностью) Дмитрия Кузнецова, еще одна хакерская рассылка банкам была зафиксирована 14 марта. Хакеры зарегистрировали для отправки писем домен fincert.net, который ассоциируется у банкиров со структурным подразделением главного управления безопасности и защиты информации Банка России FinCERT, у которого нет своего сайта.

«Такая социальная инженерия — распространенная техника, которую хакеры используют, когда необходимо получить доступ к компьютерам определенной категории сотрудников организации», — говорит Кузнецов.

В этом году хакерской атаке, в результате которой банкам пришлось на некоторое время отключиться от БЭСП (банковские электронные срочные платежи), подверглись два банка — Металлинвестбанк и Русский международный банк.

5 марта «РИА Новости» со ссылкой на источник в правоохранительных органах сообщило о том, что хакеры вывели более 677 млн руб. со счетов Металлинвестбанка. Позже в пресс-службе Металлинвестбанка заявили, что потери банка от хакерской атаки составили 200 млн руб. «Сумма, которую злоумышленники пытались похитить, составляет менее 1% от активов банка, размер потерь меньше прибыли, полученной банком с начала 2016 года, которая составляет более 400 млн», — говорилось в пресс-релизе.

Русский международный банк подвергся атаке 21 января, сообщал портал «Банки.ру» со ссылкой на президента банка Григория Афанасьева. «Мошенники произвели несколько тысяч списаний денежных средств с корсчетов банка в адрес примерно 60 других банков, затем эти деньги были перечислены в основном физлицам», — объяснял Афанасьев. Так как в банке сработала программа «Антикиллер», направленная на блокировку атаки, источник вируса в банке понять не смогли, говорит Афанасьев.

http://www.rbc.ru/finances/17/03/2016/5 ... 97e5b8e6b3

Ссылки на ранее опубликованное:

Энергобанк (0067)
viewtopic.php?p=2385#p2385
viewtopic.php?p=4633#p4633
viewtopic.php?p=5289#p5289

Металлинвестбанк:
viewtopic.php?p=5453#p5453
viewtopic.php?p=5462#p5462

Бангладеш: viewtopic.php?p=5525#p5525

Из ранее опубликованого

Русский международный банк подвергся хакерской атаке

http://www.banki.ru/news/lenta/?id=8601059



Таатта банк
http://www.securitylab.ru/news/480069.php

Злоумышленникам удалось снять в банкоматах в разных регионах страны около 50 млн рублей до того, как сотрудники правоохранительных органов заблокировали счета

Жажда денег: самые громкие хакерские атаки нашего времени
Ольга Лазарева
19.02.2016 17:43
.....
2015: взлом систем трех греческих банков
Хакерская группировка Armada Collective атаковала серверы трех крупнейших греческих банков (названия которых в целях безопасности не разглашаются), потребовав с каждого из них выкуп в размере 7 млн евро. Несмотря на угрозы вымогателей вывести электронные системы банков из строя, ни один из них не поддался на шантаж и не заплатил хакерам. Через два дня специалистам удалось перехватить контроль над банковскими компьютерными системами, и злоумышленники остались ни с чем. Впрочем, выйти на их след полиции так и не удалось.

http://www.zarubejom.ru/samye_gromkie_h ... go_vremeni

"Таатта" (1249) - не якутский филиал!
Выложу начало текста:

08:39 / 11 Марта, 2016
Киберпреступники похитили со счетов якутского банка «Таатта» почти 100 млн рублей
Неизвестные проникли в сеть финучреждения и перевели средства на тысячи счетов, оформленных на подставных лиц.
Со счетов филиала якутского банка «Таатта», расположенного в городе Канск Красноярского края, было похищено порядка 100 млн рублей. Как сообщает местное издание KrasNews.com со ссылкой на анонимные источники, неизвестные проникли в компьютерную сеть финансового учреждения и перевели средства на несколько тысяч счетов, оформленных на подставных лиц.
Злоумышленникам удалось снять в банкоматах в разных регионах страны около 50 млн рублей до того, как сотрудники правоохранительных органов заблокировали счета. По факту кражи возбуждено уголовное дело. В настоящее время проводится расследование инцидента.
........
http://www.securitylab.ru/news/480069.php

/// Ну вот, о чем предупреждали большевики.
/// Не спроста у них было отключение от БЭСПа

http://ria.ru/incidents/20160318/1392264185.html

Источник: хакеры могли украсть из банка "Гарант-Инвест" 400 млн рублей
14:5518.03.2016 (обновлено: 15:00 18.03.2016)18002

МОСКВА, 18 мар — РИА Новости.
Московский банк "Гарант-Инвест" подвергся хакерской атаке, злоумышленники могли похитить порядка 400 миллионов рублей, рассказал РИА Новости источник в банковских кругах.

"На "Гарант-Инвест" была совершена хакерская атака, банк потерял 400 миллионов рублей", — сообщил источник, близкий к банку.
ЦБ РФ с 17 марта отключил "Гарант-Инвест" от своей системы "Банковские электронные срочные платежи" (БЭСП), сообщил РИА Новости другой источник в банковских кругах. Банки, которые ЦБ отключает от БЭСП, часто лишаются лицензии. В некоторых случаях отключение от БЭСП является временным, вызванным техническими причинами, например, хакерской атакой.

Другой источник, близкий к "Гарант-Инвесту", сообщил, что в банке было произведено обновление ключей, используемых для защиты электронных документов. Такое действие, согласно инструкции ЦБ 303-П, может производить представитель Агентства по страхованию вкладов.

"У нас меняли ключи, поэтому с утра час не работал БЭСП… На сегодня каких-либо потерь нет, БЭСП у нас прекрасно работает, никакого АСВ у нас нет", — заявил РИА Новости председатель правления банка Игорь Касьянов, не ответив на вопросы, была ли совершена на банк хакерская атака.

"Гарант-Инвест", по данным РИА Рейтинг, занимал на 1 января 2016 года 198-е место среди российских банков с активами в размере 16,5 миллиарда рублей. Согласно отчетности кредитной организации на 1 февраля, население хранило в нем 8,56 миллиарда рублей.

Подробности о взломе ЦБ Бангладеш: опечатка и сломавшийся принтер

https://geektimes.ru/post/272882/

Глава центробанка Бангладеш Атиур Рахман [Atiur Rahman] подал в отставку после того, как в начале февраля 2016 года хакерам удалось увести $81 миллион с банковского счёта ЦБ, находившегося в распоряжении Федерального резервного банка США. При этом правительство Бангладеш узнало о происшествии не от главы ЦБ, а из газет.

Дерзкое ограбление

По заявлению менеджеров высшего звена, работавших в банке, для совершения операции хакеры вначале нашли уязвимость в защите внутренней сети ЦБ Бангладеш, разыскали и украли оттуда ключи и другие данные, необходимые для совершения сделок, а также изучили процедуры работы банка. Судя по комментариям нанятой банком для расследования инцидента компании FireEye Inc, на компьютерах работников банка было установлено шпионящее за сотрудниками ПО.

После этого хакеры отправили несколько десятков запросов в ФРБ с поручениями о переводе миллионов долларов со счёта ЦБ Бангладеш на несколько счетов, находящихся в банках Филиппин и Шри-Ланки. В сумме по всем запросам хакеры пытались перевести на подставные счета почти миллиард долларов.

Роковая ошибка

Успешно обработано было четыре запроса на сумму $81 миллион, отправлявшие деньги на Филиппины. Ещё один запрос в $20 миллионов был сделан для отправки денег на счёт в Шри-Ланке. Но в последнем запросе хакер допустил опечатку, и вместо перевода на счёт фонда Shalika Foundation попытался отправить их на счёт Shalika Fandation. Из-за ошибки банк-посредник Deutsche Bank отправил запрос в ЦБ Бангладеш с просьбой подтвердить транзакцию.

В ФРБ утверждают, что примерно в тот же момент большое количество необычно крупных переводов подало сигнал системе безопасности банка, после чего они также связались с ЦБ Бангладеш для подтверждения.

В результате $20 миллионов, направлявшиеся в Шри-Ланку, были возвращены, а $81 миллион в Филиппинских банках хакеры успели перевести дальше.

Проблема с принтером

Для работников центрального банка Бангладеш эта история началась с проблем с принтером, который по ночам в автоматическом режиме должен распечатывать операции, проведённые по международной системе SWIFT. В пятницу 5 февраля директор банка обнаружил, что транзакции не распечатались, а принтер не отвечает. Он поручил сотрудникам разобраться с оргтехникой, а сам отправился домой, ибо пятница в Бангладеш считается выходным днём.

В субботу, когда директор пришёл на работу, проблема не решилась — оказалось, что не работает уже сам терминал SWIFT. На терминал выводилась ошибка «A file is missing or changed». После того, как работникам удалось перезагрузить терминал и заставить его работать, они и обнаружили запросы от ФРБ по поводу 46 подозрительных платёжных поручений.

Но поскольку суббота и воскресенье были выходными днями для ФРБ, связаться с официальными лицами банка удалось лишь в понедельник.

Итоги операции

Правительство Бангладеш обвиняет ФРБ в том, что они не остановили вовремя подозрительные операции. ФРБ отвечают на обвинения в том ключе, что хакеры взломали не их банк, транзакции были подтверждены реальными ключами, и что ФРБ активно работает с ЦБ Бангладеш с момента происшествия.

К расследованию подключилось и управление развлечений и азартных игр Филиппин, поскольку $81 миллион, судя по всему, был переведён на счета тамошних казино.

Консультации с юристами об иске против ФРС США
22 марта 2016 года стало известно, что Банк Бангладеш ведет консультации с юристами по поводу начала судебного расследования в отношении Федерального резервного банка Нью-Йорка, допустившего кражу средств со счета бангладешского ЦБ в ФРС.
Об этом сообщили ряд СМИ со ссылкой на доклад Банка Бангладеш, посвященный краже средств со счета в Федеральной резервной системе США.
В частности, в агентстве "Рейтер" заявили о том, что Центральный банк Бангладеш нанял адвоката для составления иска против ФРС.
В агентстве "Блумберг" также сослались на доклад от 13 марта 2016 года, в котором Банк Бангладеш обвиняет ФРБ Нью-Йорка в попустительстве преступникам.
В докладе отмечается, что в бангладешском ЦБ "считают произошедшее серьезным нарушением в обеспечении безопасности со стороны ФРБ Нью-Йорка" и в соответствии с этим ЦБ "готовит документы для предъявления судебного иска в отношении ФРБ Нью-Йорка в связи с потерей средств".
Ранее в марте в СМИ также попали сообщения о планах Министерства финансов Бангладеш о подачи иска в отношении ФРС США.
http://www.tadviser.ru/index.php/%D0%9A ... 0%B5%D1%88

Банк Бангладеш ведет консультации с юристами по поводу начала судебного расследования в отношении Федерального резервного банка Нью-Йорка

Ничего у них не выйдет.
Сказано ж им было: "хакеры взломали не ФРБ, транзакции были подтверждены реальными ключами, и что ФРБ активно работает с ЦБ Бангладеш с момента происшествия"

Мне другое интересно, а вот валютные резервы ЦБ в том же самом ФРБ хранятся, и их точно также могут увести?

/// Из старенького.
/// Прошлогодние атаки здесь не отражены.

http://www.securitylab.ru/news/478010.php

Хакеры попытались похитить 60 млн рублей со счетов казанского «Алтынбанка»

СБ банка совместно с сотрудниками полиции удалось заблокировать большую часть переводов.

Стали известны подробности поражающей масштабом и продуманностью «рождественской» кибератаки на казанский банк «Алтынбанк». В ходе атаки злоумышленники попытались похитить 60 млн рублей. Согласно сообщению пресс-службы банка, большую часть средств удалось заблокировать.

Утром 24 декабря некоторые компьютеры в головном офисе «Алтынбанка» начали самопроизвольно отключаться. Как тогда же выяснилось, некоторые переводы средств клиентов банка, произошедшие накануне вечером, были выполнены по подложным реквизитам.

Мошенники внедрили в компьютерную сеть банка вредоносное ПО, подменившее в платежных поручениях клиентов наименование и банковские реквизиты получателя денег. Кроме того, вредонос должен был парализовать работу банка, удалив всю информацию на компьютерах и отключив каналы связи, в том числе межбанковские.
В общей сложности по подложным реквизитам было перечислено 60 млн рублей на счета юрлиц. Далее деньги разошлись по десяткам счетов других юридических лиц в разных регионах России.

Службе безопасности банка совместно с сотрудниками полиции удалось заблокировать большую часть переводов и не допустить уничтожение информации на компьютерах банка. По факту кражи возбуждено уголовное дело по 4 части статьи 158 УК РФ (кража, совершенная организованной группой и/или в особо крупных размерах).
В понедельник, 28 декабря, «Алтынбанк» возобновил проведение электронных платежей физических лиц в полном объеме. Подключение банка к системе электронных платежей ЦБ (БЭСП) восстановлено.