Buhtrap атакует счета компаний через бухгалтерские сайты

Банковское сообщество обеспокоено массовым заражением компьютеров пользователей вирусами, которые приводят к хищению средств компаний через систему банк-клиент. При этом есть ряд сайтов, преимущественно бухгалтерских, которые «награждают» «вредоносами» своих посетителей регулярно.

Для них специалисты в сфере информбезопасности предлагают ввести ответственность за халатность на законодательном уровне. Пока же банкам, компаниям и владельцам информационных ресурсов необходимо объединить усилия, чтобы минимизировать потери, уверены эксперты.

Вчера специализирующаяся на кибербезопасности компания Group-IB сообщила о выявленном масштабном заражении пользователей профильных сайтов для бухгалтеров и юристов вирусом Buhtrap. Он, попадая в компьютерную сеть через компьютер сотрудника, посещавшего такой сайт, похищает деньги компании на счетах в банках через систему банк-клиент. Buhtrap подгружается лишь на компьютеры, с которых есть доступ к дистанционному банковскому обслуживанию (перед загрузкой ищет файлы ДБО). В 2016 году ежедневно от подобных атак компании теряли 3,8 млн руб., отмечают в Group-IB. При этом кибермошенники оттачивают мастерство, и масштабы проблемы растут. Показательным, по словам экспертов, в данном случае может быть пример хищения средств через сайт glavbukh.ru летом этого года — в течение 13 минут с момента входа сотрудника компании на сайт Buhtrap уже предоставил злоумышленникам доступ к банк-клиенту и позволил вывести деньги, пишет kommersant.ru.

Как сообщил “Ъ” заместитель начальника ГУБиЗИ Банка России Артем Сычев, в ЦБ знают об инцидентах заражения вирусами клиентов банков через профильные бухгалтерские сайты, результатами которых стало хищение денежных средств.

«Однако требовать соблюдения подобными сайтами информбезопасности мы не можем, это вне сферы нашей компетенции»,— отметил Артем Сычев.

«В настоящее время нет регулятора, кто мог бы предъявить подобные требования,— отмечает заместитель директора центра компетенций по экспертным сервисам Positive Technologies Алексей Новиков.— FinCert — структура ЦБ — действует лишь в рамках своих полномочий, ФСБ и ГосСОПКА — по объектам критической информационной инфраструктуры. Единого же контролера нет».

При этом, как показывает статистика, киберпреступники распространяют вирус постоянно через одни и те же сайты, дыры в которых не закрываются даже после выявления хищений. Специалисты в сфере информбезопастности настаивают на введении ответственности за подобную халатность для владельцев информационных ресурсов на законодательном уровне.

«Если владелец сайта не хочет решать проблему, он способствует ее распространению»,— указывают в Group-IB. «К ответственности необходимо привлекать тех, кто знал об уязвимостях, но не устранил их и допустил атаки и хищения с использованием своих ресурсов»,— добавляет Алексей Новиков. Впрочем, пока в виде законопроекта данная идея не оформлена.

Юристы уверены, что решить проблему могло бы вмешательство в ситуацию правоохранительных органов. «Прокуратура в рамках своих полномочий может направить запрос любому из подобных сайтов с требованиями устранить проблемы в информбезопасности, которые могут привести к хищению денежных средств,— отмечает председатель коллегии адвокатов “Старинский, Корчаго и партнеры” Евгений Корчаго.— За неисполнение подобного предписания есть административная ответственность, главное — чтобы прокуратура была заинтересована в подобной борьбе». Впрочем, пока такой заинтересованности не наблюдается, отмечают эксперты.

Банкиры тем временем не на шутку озабочены хищениями средств вирусом Buhtrap. «Хищение средств у клиента банка, даже по вине самого клиента,— это в любом случае головная боль банка, поскольку любой подобный инцидент всегда требует подробного расследования со стороны банка,— отмечает глава юридического департамента СДМ-банка Александр Голубев.— Существуют и репутационные риски, ведь далеко не всегда клиенты готовы признать собственную оплошность или хотя бы подождать с выводами до окончания расследования».

Пока законодательного решения нет, все стороны — клиенты, банки, информресурсы — готовы объединить усилия в борьбе с проблемой. По словам исполнительного вице-президента Ассоциации российских банков Эльмана Мехтиева, для противодействия неправомерным списаниям средств клиентов недостаточно построения новых линий обороны только на стороне банков. Банкиры и владельцы профильных сайтов должны объединиться и вырабатывать совместные меры борьбы, указывает он.

«Эффективным было бы создание системы взаимодействия между сайтами, банками и компаниями, занимающимися безопасностью, которая позволила бы оперативно устранять потенциальные и реальные угрозы»,— отмечает руководитель интернет-проектов группы «Главбух» Алексей Грудинин.

Заражение популярных сайтов — это действительно серьезная угроза информационной безопасности для целых корпораций, поэтому очень важно заниматься детектированием таких ресурсов и передавать эту информацию в государственные CERT (центры реагирования на компьютерные инциденты), которые могут проверить ее и принять необходимые меры, указывает директор по маркетингу Solar Security Валентин Крохин.