«Особо сообразительные» пользователи интернет-банка (ИБ) и мобильного-банка (МБ) в последнее время стали осваивать принципы округления чисел и конвертации средств на счетах для получения дополнительного дохода. Этот доход, по оценкам экспертов, может достигать 15 тыс. рублей в месяц. Об этом «Известиям» рассказали в компании Positive Technologies, специализирующейся на вопросах безопасности дистанционного банковского обслуживания.
Граждане редко выгадывают на валютных курсах, однако в 2016 году появилась новая схема, которую начали активно использовать для получения дохода. Схема проста: пользователь интернет-банка переводит, условно говоря, 0,29 рубля (29 копеек) в доллары. Если курс этой валюты составляет 65 рублей, то сумма в 0,29 рублей соответствует $0,004461. Эта сумма при конвертации будет округлена до двух знаков после запятой по правилам банков — то есть до $0,01, что соответствует 1 центу. Затем нарушитель переводит 1 цент США обратно в рубли. В результате перевода он получит 0,65 рубля (65 копеек). Таким образом, за одну операцию клиент получает 0,36 рубля (36 копеек), т.е. больше, чем вложил.
В компании Positive Technologies рассказали, что подобные схемы называются «атаками на округление», и клиенты в кризис стали активно прибегать к ним, используя уязвимости систем дистанционного обслуживания банков для подобных манипуляций. По оценкам Positive Technologies, 25% дистанционных систем обслуживания российских банков (интернет- и мобильный банки) подвержены «атакам на округление».
По словам старшего эксперта отдела безопасности банковских систем Positive Technologies Тимура Юнусова, «атаки на округление» используются клиентами банков для мелких краж — на суммы до 15 тыс. рублей в месяц, которые складываются из копеек. Каждая операция, как правило, оценивается именно копейками, чтобы кредитная организация не обратила внимание на манипуляции. Собеседник пояснил, что принцип округления известен со времен появления онлайн-игр. Банки подобные инциденты и объемы ущерба не раскрывают.
— Если у банка украдут в течение месяца 10−50 тыс. рублей, то данный факт, скорее всего, никто разглашать не будет, — говорит Тимур Юнусов. — Банки обнародуют информацию по хищениям и утечкам лишь тогда, когда крадут деньги у клиентов либо если хакерская атака «разоряет банк» (речь идет о миллионных кражах).
По мнению Тимура Юнусова, банки могут реализовывать алгоритмы округления для того, чтобы противостоять авторизованным ворам: ограничивать нижнюю сумму перевода, либо вводить проверку «в обе стороны» (при снятии 0,01 цента заново высчитывать сумму снятия с рублевого счета: 0,60 копейки).
Впрочем, по словам представителей двух банков из топ-100 по активам, опрошенных «Известиями», этот вариант получения дополнительного дохода гораздо более трудоемкий, чем так называемая «отложенная конвертация», когда клиент создает платежку по конвертации в интернет-банке и ждет выгодного для себя курса, чтобы провести операцию.
— Клиент смотрит, в какую сторону пойдет курс, — пояснил представитель одного крупного банка на условиях анонимности. — Если в выгодную для него сторону, то он проводит операцию. Но делает это по «старому» более выгодному на текущий момент курсу, который запомнила система (поскольку распоряжение уже создано, осталось только подтвердить паролем). Если клиент видит тренд изменения курса в невыгодную для него сторону, то он просто отменяет операцию.
В Positive Technologies отметили, что «атаками на округление» занимаются и кибермошенники, которые также используют эту практику после взлома интернет- или мобильного банка клиентов российских банков. Хакеры атакуют интернет- и мобильные банки небольших кредитных организаций за пределами топ-100 по активам, дистанционные системы которых куда менее защищены, чем у крупных игроков. По оценкам Digital Security, 23 млн россиян активно пользуются ИБ для совершения трансакций через Сеть, заходя в личный кабинет с компьютера; а 17 млн граждан — МБ (через смартфоны/планшеты; на них устанавливаются специальные приложения от банков). По словам гендиректора компании Zecurion Алексея Раевского, хакеры прибегают к «атакам на округление» менее чем в 1% случаев.
— Подобные схемы хищений поначалу использовали недобросовестные разработчики банковских систем, — указывает Алексей Раевский. — Сейчас есть возможности хищения гораздо больших сумм за гораздо меньшее количество трансакций.
В Positive Technologies указывают, что банковские приложения для IOS являются более защищенными, чем на базе Android.
— В 2013 и 2014 годах на банковские приложения для IOS приходилось 2,3 уязвимости, в 2015 году — уже 1,6, т.е. IOS стала еще более защищенной операционной системой, — указали в Positive Technologies. — На приложения для Android все три года приходится по 3,8 уязвимости.
Но главное — это все-таки культура клиента: когда клиент реагирует, например, на имитацию обращения банка через фейковое письмо, подмену страницы и SMS или же гражданин добровольно сообщает кому-то свои логины-пароли, он берет на себя повышенные риски.
1 апреля Банк России объявил о снижении объема хищений средств с карт россиян почти на треть — до 1,14 млрд рублей по итогам прошлого года. Как заявлял в интервью «Известиям» замначальника главного управления безопасности и защиты информации Центробанка Артем Сычев, объемы хищений с карт граждан, а также корпоративных счетов в этом году продолжат снижаться. По словам Артема Сычева, приоритет кибермошенников на 2016 год — корсчета банков. По прогнозам ЦБ, объем хищений с корсчетов банков по итогам 2016 года составит около 4 млрд рублей.