Что делать, если хакеры взломали систему «Клиент-банк»?

Наталья Мамченко,

«Судебно-юридическая газета»

В последнее время участились случаи, когда кибермошенники присваивают себе средства со счетов различных компаний с помощью взлома компьютера бухгалтерии, на котором установлена система «клиент-банк». Так, недавно владелец одной из киевских фирм Алексей Давиденко описал в соцсети ситуацию, когда мошенники пытались украсть 3 млн грн.

В итоге полиция провела обыски по всем адресам и обнаружила целый IT-центр с компьютерами, которые ежеминутно осуществляли операции по взлому бухгалтерских компьютеров и выводу денег со счётов юридических лиц по всей Украине.

Уже после этого случая в редакцию «Судебно-юридической газеты» обратился читатель – директор небольшой типографии ООО «Интерконтиненталь-Украина», со счетов которой несколько дней назад украли 238 тыс. грн. Мошенники до сих пор не найдены. Каким образом за пару часов все заработанное вами может исчезнуть и какие шаги следует предпринимать в первую очередь, если вас взломали, разбиралась «Судебно-юридическая газета».

Герой нашего материала, директор «Интерконтиненталь-Украина» Олег Дорошенко, рассказал нашему корреспонденту, что рано утром 9 августа, в день, когда средства со счетов компании «испарились», уборщица увидела, что дверь офиса открыта нараспашку. Зайдя внутрь (около 9:00), сотрудники компании обнаружили пропажу компьютеров и планшетов, а также некоторой суммы наличных денег. При этом компьютер бухгалтерии, на котором была установлена система «Клиент-банк» «Ощадбанка», оказался неисправен.

«Основной офис у нас на 5 этаже, а бухгалтерия и дизайнеры – на 2 этаже здания. Утром мы обнаружили, что дизайнерский кабинет обокрали: забрали ноутбуки, планшеты, деньги. Охрана в здании есть, но они «ничего не видели». Что интересно, на 2 этаже ранее занимала офис транспортная компания, и у них было два случая краж, после которых они просто съехали, и мы взяли в аренду 2 кабинета.

Мы вызвали полицию. Пока разбирались с этой ситуацией, бухгалтерия сообщила, что основной компьютер, который подключен к системе «Клиент-банк», стал как-то странно работать, потом «завис» и вовсе отключился. Мы обратились к сотрудникам соседнего офиса сервисного центра, которые сказали нам, что операционная система «полетела», диск требует форматирования, что в целом означает полную поломку.

Поскольку платежи нам все равно нужно было производить, около 14-00 мы зашли через другой компьютер в систему «Клиент-банк» и увидели списание с нашего счета 238 тыс. 450 грн. на счет ФОП Казаков Н. Л. в отделение черкасского «ПриватБанка». Сумма была списана якобы за насосы высокого давления», — рассказал Олег.

Директор компании обратился к «Ощадбанку» с тем, чтобы заблокировать «Клиент-банк». «Получается так, что кто-то с чужого IP-адреса несанкционированно зашел на наш компьютер. В 9:50 деньги ушли, в 9:58 перечисление было завизировано. В «ПриватБанке» мне рассказали, что Казаков Н. Л. в 11:37 в кассе этого банка в Черкассах по ул. Крещатик, 215, снял деньги тремя суммами. В 11:37 – 177 тыс. грн., потом в 11:58 около 50 тыс. грн. и в 12:12 снял финальную сумму около 25 тыс. грн. Остаток на карточке, 1500 грн. и 75 грн., он снял уже в банкомате», - отметил директор компании.

В «ПриватБанке» Олегу показали фотографии человека, который снимал деньги в банкомате.

«Человека, который в «ПриватБанке» заключает договор на обслуживание, сразу фотографируют. Казаков Николай Леонидович 10.12.1984 г. р., то есть, ему около 30 лет. А человеку, который снимал деньги, где-то лет 50-55, и он уголовной внешности. То есть, это не Казаков Н. Л. снимал деньги», — считает он.

 Фото человека, который снял деньги со счета

Далее «Ощадбанк» написал заявление в «Приватбанк» о возврате денег, которые были перечислены несанкционированным путем.

Обычно, после обнаружения факта несанкционированного перевода средств со счета через систему «Интернет-клиент — банк», который был осуществлен с зарегистрированного где-либо IP-адреса на счет другой фирмы, сотрудники безопасности банка сразу обращаются к своим коллегам с просьбой срочно заблокировать проплату. Отметим, что согласно установленной процедуре они должны уведомить Национальный банк Украины о произошедшем и Службу безопасности Украины. Счета лица, которому были перечислены деньги, во всех банках блокируются.

«Но, тем не менее, мы получили такое официальное письмо «Ощадбанка». Затем мы сразу же заявили в отдел противодействия киберпреступлениям в Киеве, а они уведомили нас о том, что наше обращение принято к рассмотрению», - рассказал Олег.

Впрочем, конечно, деньги уже исчезли. «Мы спохватились где-то в районе 14-00, когда «поезд уже ушел». Последняя сумма была списана в 12-12. На сегодняшний день мы также заявили и в полицию по месту нашего нахождения. Открыто 2 уголовных производства, одно из них касательно несанкционированного снятия денежных средств», — отмечает он.

«Скорая» помощь

В письме «Ощадбанка» «Приватбанку» идет речь о просьбе поспособствовать решению проблемы, и «в случае позитивного решения…» вернуть средства на счет компании. Однако, можно ли вернуть средства, которые уже оказались в чужом кармане? Понятно, что правоохранительные органы будут проводить расследование, искать виновных и т. д., но в подобных случаях самое главное – скорость реакции лица, средства которого украли.

Существует несколько советов от тех, кто уже столкнулся с такой ситуацией, в частности, Алексея Давиденко:

1. Если компьютер бухгалтера внезапно поломался, не ждите, пока его отремонтируют. Звоните в свой банк – блокируйте электронные ключи. Знайте, в случае кражи — время ваш враг. Каждая следующая минута отдаляет вас от успеха вернуть украденные со счета деньги.

2. Если вы не успели остановить платежку и деньги ушли, мчитесь в свое отделение банка, пишите заявление и просите службу безопасности вашего банка немедленно связаться с банком-получателем для блокирования дальнейшего пересылки или обналичивания мошенниками ваших денег.

3. Параллельно, ищите контакты в банке-получателе сами.

4. Немедленно связывайтесь с отделом киберполиции в вашем городе для оперативной фиксации IP-точек несанкционированного входа в вашу систему и выявления всех контактных данных получателя ваших денег.

5. Позвоните в Минюст, может, все намного хуже, и у вас уже нет фирмы и прав распоряжаться своим банковским счетом, потому что ее «украли» мошенники через регистратора в каком-нибудь удаленном населенном пункте.

Если вы среагируйте оперативно, есть шанс вернуть деньги. Как правило, департамент киберполиции МВД Украины вместе с ОБЕП и службой безопасности банков действует по такой схеме:

1. Выявляет всех учредителей, директоров и доверенных лиц компании-получателя.

2. Определяет номера их мобильных телефонов и биллинг.

3. Определяет все IP-адреса несанкционированных входов и их физические адреса нахождения.

4. Достает фотографии всех участников компании-получателя.

5. Выманивает мошенников на отделение банка для получения денег в кассе.

6. Задерживает их с поличным.

Впрочем, есть и некоторые негативные моменты: у правоохранителей физически не хватает людей, чтобы одновременно провести обыски и аресты всех фигурантов, что дает преступникам время для маневра. Также следует отметить, что на проведение следственных действий нужна санкция суда, что также забирает ценное время от оперативно-розыскной работы. Не стоит забывать и о том, что даже если вы успели остановить кражу своих денег, и подозреваемые задержаны с вашими деньгами в руках, забрать назад сразу будет невозможно, т. к. они являются вещественным доказательством.

От подобной ситуации не застрахована ни одна компания и ни один человек. Деньги крали даже со счета экс-президента Франции. А, например, в июле этого года стало известно, что со счетов одного из крупнейших банков Польши похитили несколько миллионов злотых. Воры крали деньги со счетов бизнес-клиентов банка и выводили в Украину. Злоумышленники взломали систему с помощью вируса, которым инфицировали компьютеры банка. Как сообщила прокуратура города Ольштын, злоумышленники выводили деньги в Украину с помощью так называемых «столбов», то есть счетов подставных лиц. «Прокурор проанализировал счета, оказалось, что имела место кража с помощью так называемых «троянских программ», вируса, который заражает банковский счет фирмы. С помощью этого вируса преступникам удавалось украсть от нескольких до нескольких десятков тысяч злотых. Потом эти деньги попадали на частные счета, а дальше их пересылали на счета так называемых «столбов», то есть лиц, которые регистрировали счет на себя и таким образом помогали преступникам», — рассказал спикер Ольштынской окружной прокуратуры Збигнев Червинский.

В ситуации с Алексеем Давиденко не в последнюю очередь его выручило наличие дружественных связей с высокопоставленными лицами и оперативная реакция органов и банков. Но так случается далеко не всегда.

На банк надеяться не стоит?

Как известно, в феврале с. г. 34-летний боец АТО Сергей Бабский, у которого мошенники похитили 230 тысяч гривен, перечисленные на лечение,выиграл первый суд против банка, не обеспечившего защиту счета клиента. Обращения в различные инстанции, к народным депутатам, непосредственно к руководству «ПриватБанка», ничего не дали, и ему пришлось идти в суд. Мирно добиться возврата денег не удалось, хотя, по мнению С. Бабского, банк был обязан признать свою вину, ведь было несколько неудачных попыток перевести деньги с одного счета на другой. Но это почему-то не насторожило сотрудников банка.

Отметим, что в соответствии с частью первой статьи 1066 Гражданского кодекса Украины по договору банковского счета, банк обязан принимать и зачислять на счет открытый клиентом (собственником счета) приходящие ему денежные средства, исполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведения иных операций по счету. Он согласно ст. 1071 ГК банк может списать денежные средства со счета клиента на основании его распоряжения, решения суда, а так же в случаях предусмотренных законом или договором между банком и клиентом. А согласно ч. 3 ст. 1092 ГК, в случае если нарушение банком правил расчетных операций повлекло за собой ошибочное перечисление банком денежных средств, банк несет ответственность в соответствии с законом.

В соответствии с ч. 6  ст. 22 Закона Украины «О платежных системах и переводе денежных средств в Украине», в случае инициирования перевода средств при помощи расчетных документов, обслуживающий плательщика банк обязан проверить соответствие номера счета плательщика его коду и принять документ в случае их совпадения, а также полноту, целостность и достоверность этого расчетного документа в порядке, установленном нормативно-правовыми актами Национального банка Украины, в частности, постановлением НБУ № 22 от 21 января 2004 г. «Об утверждении Инструкции о безналичных расчетах в Украине в национальной валюте». В случае невыполнения этих требований, ответственность за убытки причиненные плательщику, возлагается на банк, который его обслуживает. А в случае перевода со счета плательщика без законных оснований, по инициативе ненадлежащего взыскателя, с нарушением условий поручения плательщика на осуществление договорного списания, или вследствие иных ошибок банка, возврат этой суммы осуществляется в установленном законом судебном порядке. При этом банк, который списал средства со счета плательщика без законных оснований, должен уплатить плательщику пеню, за каждый день, начиная от дня перевода до дня возвращения суммы перевода на счет плательщика, если другая ответственность не предусмотрена договором.

Но, к сожалению, в реальности судебная практика в данном вопросе чаще всего на стороне банка, а не клиента. Нередко суды исходят из того, что вина банка в перечислении денежных средств по поддельному платежному поручению отсутствует, так как на момент перечисления денежных средств банк не мог знать, что оно является поддельным, при этом, не принимая во внимание веские аргументы истца, например о том, что предоставленная банку доверенность от имени клиента не содержала даты ее выдачи, а поэтому являлась ничтожной. К судебным «аргументам» в пользу банка служат и выводы суда о том, что банк не обязан проверять достоверность оттиска печати и подписи клиента на платежном поручении, в том числе и с использованием специальных технических средств.

Правда, иногда суды принимают сторону клиентов и удовлетворяют их иски, указывая на ошибки банков, повлекшие за собой кражу средств клиентов. Так, к примеру, один суд, принимая сторону клиента банка, в решении констатировал тот факт, что банк не обратил внимание на логическое несоответствие номера на поддельном платежном поручении с номерами предыдущих платежных поручений этого же клиента.

Но, судя по сложившейся банковской политике и судебной практике, можно предположить, что у банков отсутствует мотивация недопущения случаев хищений средств в дальнейшем, поскольку они никакой ответственности или убытков в таких случаях не несут.

Таким образом, не стоит надеяться и на банк, который должен заметить «подозрительную» транзакцию. Надеяться в данном случае можно только на себя.

Как действуют мошенники?

Как известно, у нашей страны есть повод для сомнительной гордости — украинские хакеры считаются одними из лучших в мире.

Эксперты по информационной безопасности компании «Майкрософт-Украина», называют нелицензионное программное обеспечение виновником того, что хакеры получают возможность уводить деньги с чужих счетов. Чтобы подобраться к банковскому счету, хакеру нужно знать его номер, есть ли на нем деньги и сколько, иметь пароль доступа. Ответ на эти вопросы он получает с помощью вирусов, которые легко заносятся на нелицензионную «почву», а порой изначально содержатся в ней.

Вирусы попадают в компьютер при помощи нелицензионных программ или любой другой, которую пользователь скачал из интернета или купил на рынке. Либо вместе с закачанным на компьютер фильмом или музыкой: например, на сайте стоит какая-нибудь заставка, предлагающая обновить плейер или антивирус, а вместе с обновлением загружается вирус.

Как рассказывают эксперты,  если вирусная программа попадает в компьютер, на котором установлен «Клиент-банк», хакер наверняка изучит все документы, связанные с 1С, договоры, чтобы знать, с какими клиентами работает предприятие, сканированные документы. Эта информация очень быстро становится известна хакерам, потому что последовательность выполнения screenshot от 5 секунд до 10 — 15 минут. После этого хакер знает абсолютно все ваши действия и что у вас делается на предприятии. Более того, вирусы дают возможность взломщикам работать с компьютером параллельно с пользователем.

На практике это выглядит так: бухгалтер приходит на работу, выполняет какие-то действия на своем компьютере, после чего выключает его. Машина вроде бы начинает выключаться, гаснет экран монитора, но на самом деле хакер возвращает компьютер в рабочий режим. Короткого периода отсутствия пользователя достаточно, чтобы на «выключенном» компьютере хакер запустил программу «Клиент-банк» и перевел деньги со счета предприятия на свой.

Найти украденные деньги сложно. Все зависит от того, как будет проведено расследование: по факту (сегодня произошло, сегодня и расследование) или постфактум. Вернуть украденное можно, если деньги еще не успели обналичить, в противном случае шансы минимальные. Да и есть они, только если правоохранители подключаться к делу основательно.