Aa Aa Aa

Полтавский хакер нашел уязвимость в системе онлайн-банкинга

Анастасия Пика
Полтавский хакер нашел уязвимость в системе онлайн-банкинга

Сотрудники Полтавского отдела по противодействию киберпреступности УМВД поймали хакера, которому удалось обмануть автоматизированную систему удаленного доступа одного из коммерческих банков Украины. Сообщение об этом случае 20 июня появилось на официальном сайте УМВД Украины в Полтавской области.

Как говорится в заявлении отдела по связям с общественностью, действия хакера привели к утечке конфиденциальной информации и нарушению процесса её обработки. Как результат - банковская электронная система посылала SMS с динамическим паролем не на телефон владельца карточного счёта, а на телефонный номер афериста, неправильно воспринимая его как номер клиента банка.

Специалисты обнаружили уже 6 фактов незаконного списания средств с банковских карточных счетов клиентов. Мошеннику объявлено о подозрении по части 1 статьи 361 Уголовного кодекса Украины (несанкционированное вмешательство в работу электронно-вычислительных машин, автоматизированных систем, компьютерных сетей или сетей электросвязи) и части 3 статьи 190 Уголовного кодекса Украины (мошенничество совершенное путем незаконных операций с использованием электронно-вычислительной техники). Кибермошеннику грозит до 17 000 гривен штрафа и до восьми лет тюрьмы. Сейчас он находится под домашним арестом.

Начальник сектора противодействия киберпреступности УМВД Полтавщины Александр Кравченко поделился с InternetUA некоторыми деталями поимки преступника, однако название банка сообщить отказался.

- В будь-якій злочинній схемі є свої вразливі місця. В цьому випадку хакер при заволодінні чужими грошовими коштами, скористався реквізитами, які допомогли на нього вийти. Гроші перераховувалися з рахунків на рахунки, і саме по цим ланцюжками наші спеціалісти вийшли на зловмисника. До цього деякі власники банківських карток зверталися постфактум до органів міліції на місцях, де вони проживають. Але зараз доволі розповсюджені факти зникнення коштів і заволодіння ними шахрайським шляхом, тому об'єднати їх в єдину систему різні підрозділи не могли, бо навіть не знали про існування аналогічних заяв. Але так як управління по боротьбі з кіберзлочинністю стежить за подібними повторюваними злочинами, ми прийняли рішення про необхідність розслідування.

Зараз підозрюваний під домашнім арештом. Він не перебуває і не перебував у трудових відносинах з банком, і не має до нього жодного відношення. З огляду на таємницю слідства я не можу озвучити про який банк йде мова. На даний момент слідство триває.

Технические специалисты мобильных операторов в комментариях InternetUA сообщили, что в данном случае ответственность за утечку средств лежит исключительно на разработчиках банковского софта.

Наши знакомые хакеры сообщили, что в данном случае, скорее всего, система электронного банкинга была взломана методом межсайтовой подделки запроса. И удивились, почему злоумышленник украл не такую большую сумму - всего лишь 40 000 грн.

Чтобы разобраться в ситуации, InternetUA провел собственное расследование. Оказалось, что милиционеры не договаривают. Речь идет далеко не об одном банке и шести случаях хищения средств с платежных карт. На данный момент есть информация уже об 11 банках.

Олег Серга, пресс-секретарь "Приватбанка":

- На самом деле, пострадавшие от мошенника - клиенты многих банков. Так как среди них есть и наши, мы активно помогаем следствию и выясняем детали произошедшего. Пытаемся сделать все, чтобы пострадавшие получили компенсацию. Сколько пострадало клиентов именно "Приватбанка", пока сказать не могу. Знаю, что злоумышленник не был сотрудником банка. Также могу сказать, что существует несколько вариантов доступа к счетам клиентов, в частности, фишинговые перехваты смс-паролей, перехваты обновления паролей и так далее. Пока следствие продолжается, мы не знаем, какой именно метод использовал хакер.

Стоит отметить, что озвученная МВД схема "банковская электронная система посылала SMS с динамическим паролем не на телефон владельца карточного счёта, а на телефонный номер афериста" не дает ответа на вопрос, каким образом хакеру удалось этого добиться без серьезной уязвимости в системе онлайн-банкинга.

Напомним, что в Украине были случаи, когда злоумышленники заполучали дубликаты sim-карт мобильных номеров владельцев банковских карт. Телефоны жертв блокировались, а мошенники получали пароли и коды подтверждения операций в Интернете. Однако пока непонятно, использовал ли хакер эту схему.

Учитывая рост потерь от мошенничества с банковскими счетами и кредитными картами, в сентябре прошлого года операторы платежных систем Visa и MasterCard сообщили о разработке новой технологии для защиты данных пользователей пластиковых карт, основанной на использовании уникального кода, подтверждающего личность владельца. Однако официально она еще не была внедрена.

Впрочем, как говорил герой одного известного фильма: "Что один человек сделал - другой завсегда сломать сможет". Банковским IT-специалистам еще придется "попотеть" для того, чтобы максимально защитить свои системы от хакеров. А советы владельцам платежных карт, которые чаще всего сами являются виновниками подобных бед, остаются неизменными: не переходить по подозрительным ссылкам, не открывать вложения в письмах от якобы вашего банка, никогда и никому не сообщать свой пин-код и другую конфиденциальную информацию ни по телефону, ни в Интернете. Помните - у сотрудников банка УЖЕ есть вся необходимая информация о вас.