Перед новогодними праздниками банки и банкоматы уязвимы для атак мошенников, выяснил РБК. ЦБ предупредил банки о возможности атак на банкоматы без физического воздействия — с помощью писем от банков и органов власти.
Крупные российские банки могут подвергнуться масштабной кибератаке перед Новым годом, рассказали РБК специалисты компании Group-IB и «Лаборатории Касперского». Перед праздниками банкоматы заполнены деньгами, а сотрудники банков уделяют меньше внимания безопасности, отмечают специалисты. Среди возможных организаторов атак на банкоматы в Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений, называют международную группировку Cobalt с российскими корнями.
Российские банки извещены регулятором о новом виде мошенничества, сообщил РБК представитель Банка России.
Преступная группа Cobalt начала атаки в июне 2016 года, говорится в расследовании Group-IB (имеется у РБК). Преступники грабят банкоматы без физического воздействия, проникая в локальную сеть банка и получая полный контроль над устройствами, говорится в расследовании Group-IB. По удаленной команде машины начинают выдавать наличность, а заранее подготовленные люди просто собирают деньги в сумки, следует из документа Group-IB,
В этом году ими уже были атакованы банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.
Чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки по электронной почте письма с вредоносными вложениями. «Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков», — уточняет Group-IB. Но на самом деле письма приходят с двух серверов с программой, изменившей адрес отправителя, при этом ЕЦБ, производитель банкоматов и региональные банки никакого отношения к этой рассылке не имеют.
Оба сервера, с которых рассылались письма, по данным Group-IB, находятся в России. В частности, для распространения вредоносных программ по банкам в русскоговорящем сегменте преступники использовали вложения с названиями «Договор_хранения2016.zip» и «Список документов.doc», говорится в расследовании.
После того как сотрудник банка запускает файл из фальшивого письма, вредоносное вложение загружается в оперативную память компьютера. «Это означает, что после перезагрузки операционной системы атакующие теряли контроль над этим компьютером», — пишет Group-IB. Чтобы «выжить», приложение автоматически прописывалось в автозагрузку. Дальше с помощью разнообразных способов преступники получали доступ к паролям администраторов системы банка. Это могло занимать у них от десяти минут до недели, говорится в расследовании. После атакующие обеспечивали себе удаленный доступ к локальной сети банка и привилегии, позволяющие им делать все, что необходимо для будущей кражи денег из банкоматов. Им требовалось только «закрепиться» и наладить резервные каналы доступа, если подозрительная активность будет замечена службами безопасности банка.
После того как преступники получали контроль над локальной сетью банка, они начинали искать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на устройства программы, позволяющие управлять выдачей наличных, говорится в расследовании.
Один банкомат в несколько минут
Получив доступ к управлению банкоматами, преступники подходили к устройствам по выдаче наличных в разных концах города лишь с мобильным телефоном. «Он что-то сообщал по нему своим партнерам и готовил сумку. Через несколько минут банкомат начинал порциями выдавать деньги. После того как деньги в банкомате заканчивались, человек повторно связывался с партнерами и уходил», — пишет Group-IB. После опустошенный банкомат перезагружался. По данным Group-IB, съемом денег занимались небольшие группы, которые переходили к заранее определенным банкоматам и снимали деньги в течение нескольких часов.
В компании ожидают, что Cobalt может снова активизироваться в России в самое ближайшее время. Группировка начала многочисленные рассылки фишинговых писем с вредоносным вложением в российские банки месяц назад, рассказывает менеджер по развитию международного бизнеса Group-IB Виктор Ивановский. «Думаю, что они готовятся к ограблениям банкоматов к Новому году — это идеальное время для кражи, поскольку банкоматы к праздникам заполнены деньгами по максимуму. Поэтому мы считаем, что российским банкам необходимо повысить уровень бдительности и подготовиться к возможным атакам», — говорит Ивановский.
Атака на сети
Эксперт считает, что под угрозой атаки в первую очередь находятся крупные банки с разветвленной сетью банкоматов — от ста до тысячи. В первую очередь злоумышленники будут подбирать банки со слабыми местами в технической защите, говорит Ивановский.
Поскольку метод Cobalt позволяет опустошить все кассеты банкомата за считанные минуты, то потери банков при атаке группировкой могут быть очень высокими, считает Ивановский. В Европе, по его словам, только с одного банкомата при рабочем уровне загрузки группировка могла получить минимум €100 тыс. «Но атакой одного банкомата операция, как правило, не ограничивается», — предупреждает он.
Ивановский прогнозирует, что в будущем многие грабители сосредоточатся именно на формате краж, как у Cobalt, стараясь свести к минимуму воздействие на банкоматы и проникая в локальную банковскую сеть. «Будущее — это ограбление 30–100 банкоматов одновременно, а не одного», — говорит он.
Поэтому работники банков при малейшем подозрении на вредоносное письмо должные обращаться в службу безопасности банка, даже несмотря на, казалось бы, знакомый домен отправителя, продолжает Ивановский. «Вложения из таких писем открывать ни в коем случае нельзя. Опасность может представлять даже текстовый файл в формате rtf», — говорит он. По словам Ивановского, серьезно снизить возможность заражения поможет всего лишь своевременное обновление операционной системы и браузера.
Первые случаи атак на банки с помощью набора программ Cobalt Strike были зафиксированы еще в 2014 году, рассказывает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. С тех пор активность их использования только растет: программы появились в открытом доступе в интернете и стоят $3,5 тыс., продолжает он. По словам Голованова, ущерб от таких атак применительно к российским банкам может доходить до сотен миллионов рублей и ограничивается только числом тех, кто забирает деньги из банкоматов. Он соглашается с тем, что атака на российские банкоматы может быть предпринята перед Новым годом. «В целом можно сказать, что предновогодние дни период, когда активизируются злоумышленники, так как сотрудники банка, как и все в России, готовятся к длинным выходным и меньше уделяют внимания безопасности», — отмечает Голованов.
При этом угрозу для российских банков конкретно от деятельности Cobalt эксперт расценивает как «среднюю». По его мнению, российские банки по сравнению с многими другими достаточно хорошо защищены от атак. Однако Голованов уточняет, что в каждом случае все зависит от готовности каждого конкретного банка: системы его информационной безопасности, бюджета на IT, подготовки сотрудников.
Банковский и финансовый сектор был главной целью киберпреступников в течение последних нескольких лет. Согласно отчету специализирующегося в сфере информационной безопасности издания Infosecurity финансовые организации подвергаются кибератакам в три раза чаще по сравнению с компаниями в других отраслях. Чтобы противостоять росту киберпреступности, ведущие зарубежные банки увеличивают расходы на обеспечение безопасности в этой сфере. Ожидается, что по итогам 2016 года общая сумма расходов на кибербезопасность в международном банковском секторе составит $8,3 млрд.
Суммы при этом растут из года в год. Так, например, в 2014 году крупнейший американский банк JP Morgan Chase потратил на кибербезопасность $250 млн. Годом позже аналогичная статья для этой финансовой организации составила уже $500 млн (согласно оценке The Wall Street Journal).
Что касается российских банков, по словам руководителя службы кибербезопасности Сбербанка Сергея Лебедя, в 2016 году организация потратила около 1,5 млрд руб. Сумма сравнима с расходами на кибербезопасность в 2015-м, но в два раза превышает потраченные в этой сфере деньги за 2014 год.
ЦБ известил российские банки
Предновогодней активности злоумышленников ждут и в Банке России. «Есть вероятность усиления различных видов атак (включая информационные рассылки, публикации негативного и провокационного характера в социальных сетях, DDOS-атаки, рассылки вредоносного программного обеспечения и так далее) в течение декабря 2016 года», — сообщил РБК представитель ЦБ. По его словам, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) регулярно оповещает всех участников информационного обмена о вредоносных рассылках, в том числе якобы от имени банков или органов исполнительной власти. ФинЦЕРТ является структурным подразделением главного управления безопасности и защиты информации Банка России.
В банках заявляют, что готовы к возможным предновогодним атакам на банкоматы, в том числе по методу Cobalt. «Понимая наличие подобных уязвимостей, ВТБ24 уже предпринял необходимые меры по защите своих устройств», — сказал РБК представитель банка. При этом, по его словам, атаки на банкоматы ВТБ и ВТБ24 без физического воздействия пока не фиксировались.
В пресс-службе «ФК Открытие» РБК заявили, что банку известно о деятельности Cobalt, но практически все письма с зараженными вложениями, которые приходят сотрудникам, отсекаются на уровне почтовых фильтров.
В практике Промсвязьбанка были попытки атак по методу Cobalt, рассказал директор по карточным технологиям банка Александр Петров. «Но в результате работы средств защиты на различных уровнях инфраструктуры банка они все были предотвращены», — добавил он.
После введения санкционных ограничений и потери доступа к сервисам Apple, Google и Microsoft Telegram фактически стал для российских разработчиков основной площадкой для тестирования приложений и распространения обновлений. На этом фоне замедление работы мессенджера обернулось серьёзными проблемами для отрасли.
Как заявили опрошенные РБК представители рынка, Telegram без преувеличения превратился в элемент критической инфраструктуры мобильной разработки. Его замедление способно вызвать сбои в процессах тестирования и выпуска новых версий приложений.
Директор по инновациям Fork-Tech Владислав Лаптев отметил, что Telegram стал одним из ключевых инструментов доставки тестовых сборок — версий приложений, которые ещё не опубликованы в официальных магазинах, но уже требуют проверки тестировщиками и другими сотрудниками. Альтернативные сервисы оказались недоступны после ухода зарубежных вендоров или из-за санкций.
Руководитель направления разработки iOS в red_mad_robot Александр Тузовский пояснил: «В мобильной разработке Telegram часто выступает как оперативный “транспорт” для команды: это тематические чаты по проектам и релизам, уведомления от CI/CD (набор принципов и практик, позволяющих чаще и надёжнее развёртывать изменения ПО), боты для сбора фидбэка от тестировщиков, а также автоматические сообщения о статусе публикаций в магазинах приложений».
Руководитель направления Android-разработки red_mad_robot Сергей Иванов среди ключевых преимуществ Telegram назвал его широкое распространение, низкий порог входа, удобный API и относительную бесплатность.
По словам Владислава Лаптева, ранее российские разработчики активно использовали Firebase App Distribution от Google и App Center от Microsoft. Однако из-за санкций — а в ряде случаев и сопутствующих ограничений со стороны Роскомнадзора — эти инструменты стали недоступны. Google ввела ограничения на оплату для россиян и начала удалять аккаунты российских пользователей. Microsoft закрыла App Center ещё в марте 2025 года, а его замена работает на инфраструктуре Azure, которая в России также недоступна.
«Сейчас разработчики рискуют во второй раз за четыре года лишиться инфраструктурного канала. Особенно остро это ощущают крупные финансовые организации, где требования к контролю качества и безопасности приложений значительно выше», — прокомментировал Владислав Лаптев.
Директор по продуктам студии разработки «Решение» Анфиса Кондрашова добавила, что ограничения Telegram могут привести к росту затрат на отдельные процессы: «Речь идёт, например, о стоимости отправки кода авторизации при регистрации пользователя. Отправка кода через Telegram обходится примерно в 5 рублей, а СМС — более чем в 40 рублей за сообщение. Экономика наших клиентов может серьёзно пострадать».
Вице-президент по операционной деятельности и информационным технологиям финансовой группы «БКС Холдинг» Сергей Путятинский отметил: «Для нашей компании это неактуально — мы используем внутренние инструменты, внедрённые несколько лет назад. Но я знаю много крупных организаций в России, которые по-прежнему задействуют Telegram в процессах мобильной разработки. Для них это создаёт существенные риски, поэтому проблема на рынке действительно существует».
В ВТБ, в свою очередь, сообщили, что используют для мобильной разработки собственный мессенджер, созданный внутри банка, поэтому ограничения в работе Telegram их не затрагивают.
О замедлении Telegram стало известно 10 февраля, однако фактически проблемы начались раньше — волна жалоб пользователей стартовала вечером 9 февраля.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
