Мошенничество с Банк-клиентом.

[Eduard S.]

Всем привет. Не знаю в какую тему писать это предупреждение, может конечно эта инормацияуже вовсю здесь где-то обсуждается. Сегодня столкнулся со следующей ситуацией. Утром в банк-клиенте (Балтинвестбанк) создал две платежки и отправил. Банк-клиент свернул, ключевой ниситель оставил в дисководе. Далее занимался в 1С. Минут через пять после отправки платежек, обратил внимание на то, что дисковод с дискетой усердно трещит. Вроде, думаю, ничего не отправляю, развернул банк клиент, а у меня со счета полным ходом идет отправка платежки, которую я не создавал. На моих глазах статус платежки меняется с ждет отправки на отправляется, в этот момент вытащил дискету с ключом, минут через 10 статус поменялся на не отправлено. Платежка была на весь остаток по расчетному счету. В Балтинвестбанке говорят, что это сделали свои, т.е. я, и то что их голимый банк-клиент уже взломан признавать не хотят. Вот откопал одну статейку с ассоциации банков России. ссылка удалена У нас в платежке тоже значилось физлицо и банк естественно "Альфа-Банк". Надеюсь всем вам пойдет на пользу!

[Eduard S.]

Цитирую текст пользователя aig с ассоциации региональных банков России по удаленной ссылке:"10.02.2010 17:00
Хронология событий и предварительные выводы с рекомендациями по защите.

Возможно, Вы читали или слышали о случаях мошенничества с пластиковыми картами разных банков, это уже прошлый век, добро пожаловать в век высоких технологий и продвинутого цинизма, а также всеобщего молчания и бездействия.

03 февраля

На протяжении всего дня компьютер бухгалтера нашей фирмы, на котором установлена система «Банк-Клиент», был не в сети. В связи с тем, что было подозрение на наличие вируса, ибо комп. забивал весь канал связи. Мы его отключили до выяснения, но никаким образом этот факт не связывали с тем, что произошло далее.

04 февраля

Нам необходимо было узнать о поступлении средств и сделать плановые проплаты. Так как с компьютером бухгалтера так и не разобрались (он всё ещё проверялся Касперским и был отключен от сети), бухгалтер позвонила в банк, чтобы по телефону узнать о поступивших средствах.

Именно в этот момент выяснилось, что днём ранее (03 февраля) через нашу систему «Банк-клиент» (но не с нашего IP адреса) была произведена проплата в адрес физического лица - клиента «Альфа Банка» (Само физическое лицо, его ИНН, р.с. и т.п. нам, естественно, известны). Воровство было совершено на самом высоком техническом уровне, и очень оперативно были сняты деньги, как мы потом выяснили.

Непосредственно в нашем банке (а обслуживаемся мы в ОАО «Гранд Инвест Банк» г. Москва) нам заявили, что «сломать» систему «Банк Клиент» невозможно, что там была моя цифровая подпись и операционист машинально, согласно инструкциям, перевела деньги. В банке сказали: «Ищите среди своих…». Если бы не одно «Но». Когда мы позвонили в «Альфа банк», то там это восприняли абсолютно спокойно, как будто у них это происходит не раз и не десять в день, такое сложилось первое впечатление. По их словам, они заблокировали счёт того физического лица, но денег там уже не оказалось (это мы выяснили своими силами), а от любых комментариев «Альфа-банк» отказывается категорически, ссылаясь на большую тайну и инструкции.

В этот же день я подал заявление в ОБЭП Восточного округа (по месту нахождения фирмы), в процессе беседы с представителем он меня остановил на полуслове и продолжил мой рассказ сам, а именно, что деньги ушли в адрес физ. лица «Альфа Банка» и на том счёте их естественно нет, и что деньги были переведены с IP адреса компании «Скартел», т.е. оператора 4G Yota. Я оказался не один, нас оказывается сотни, а то и тысячи пострадавших.

Как выяснилось таких заявлений у них скопилось много и абсолютно все были обворованы по одной схеме, а именно через «сверхнадёжный» «Банк-клиент» и у всех деньги уходили в адрес физ.лиц «Альфа-банка». В ОБЭПе мне порекомендовали ехать и подавать заявление сразу в Центральное УВД, потому как именно под его юрисдикцией находится головной офис «Альфа-Банка».

Через 30 минут я уже был в ЦАО УВД, представитель власти принял меня, выслушал, попросил написать подробности, что я и сделал. Пока я писал, к следователю пришёл ещё один человек, который пострадал по абсолютно такой же схеме, с одной лишь разницей, что физическое лицо «Альфа-банка» было другое (как потом выяснилось все физ. Лица разные, но все клиенты «Альфа-Банка»), но время перевода средств, а также наименование платежа было точно таким же (13:23 по МСК, за капитальный ремонт на улице Ленина 15…. в общем, ребята с юмором…).

Я обменялся контактами с другими пострадавшими, чтобы держать друг друга в курсе вновь открывшихся обстоятельств.

Уже выходя из УВД, и анализируя слова следователя, что пострадавших не просто много, а очень много и «Альфа-банк» ведет очень странную политику закрытости информации (не исключаю, что просто ведут расследование, хотелось бы верить), невольно возникают разные нехорошие мысли, хотя это только догадки…, просто наверное люди хорошо исполняют работу согласно их компетенции…

Так прошёл день 04 февраля.

Далее происходили разные события, появлялись новые пострадавшие, нашу вторую организацию пытались обворовать по такой же схеме, но по каким то причинам платёж не прошёл (как потом выяснилось, там была вторая цифровая подпись и воры не стали тратить время, ведь процесс поставлен на поток).

Итак, собрав все данные (в том числе полученные позже) и проведя элементарный анализ можно констатировать следующее:

ФАКТЫ:



1) Кража происходит у всех по одной схеме: комп., на котором «Банк-клиент» блокируется, чтобы не было оперативного доступа к счёту (блокируется у всех по разному, у кого то не работает пароль в «Банк-клиент», у кого-то забивается канал, у кого то вообще разрушается жесткий диск), в это время преступники действуют (переводят деньги используя цифровую подпись «которую нельзя подделать» и оперативно снимают деньги с помощью банкоматов и просто из банка со счёта), когда пострадавшие совершенно случайным образом узнают, что был несанкционированный платёж, то уже слишком поздно, денег нет. Все пострадавшие из разных банков, но все следы ведут туда (по крайней мере в тех многочисленных случаях, которые мне известны)– физ. лица клиенты «Альфа Банка».

2) Имея все данные о мошенниках, IP адреса откуда были произведены проплаты, видео с банкоматов и многое другое. НИКТО не собирается ничего предпринимать оперативно по горячим следам, бюрократия бьёт все рекорды. Я лично с этим столкнулся, как и другие пострадавшие готовые подтвердить каждое слово.

3) Случай носит массовый характер и убытки исчисляются огромными суммами (я полагаю, несколько десятков млн. $ точно)

4) Все суммы снимаются до 600 т.р. (именно эта сумма не требует дополнительного запроса банка, такое наше законодательство). У большинства пострадавших сняли от 500 до 590 т.р. Только мне «повезло», сняли 300 с копейками, до этого у меня были проплаты и я считаю мне повезло к какой-то мере, если так уместно говорить в этой ситуации.

5) Все пострадавшие использовали софт «Банк-клиент» старой версии (более года), у всех пострадавших была одна цифровая подпись, т.е. совершенно очевидно, что взломана версия «Банк-клиент». Сами банки, где обслуживаются пострадавшие, принимают позицию «мы не виноваты, подпись была подлинной» и на аргументы, что вскрыли именно их софт, а пострадали невинные организации – на них не действуют. И самое главное, что ВСЕ организации, использующие этот софт подвержены атаке на свои счета…, не спасает ничего, никакие антивирусы, даже железная защита… НИЧЕГО! Я предупредил всех своих знакомых, партнёров и клиентов и некоторым это уже помогло.

6) Один из пострадавших, у которого разрушили жесткий диск, а деятельность его связана именно с компьютерным «железом», после его восстановления выяснил, что с огромной вероятностью, полный доступ ко всем данным был получен посредством программы-трояна troyan.pws.ibank18. Эта вредоносная программа на момент кражи не ловилась НИ ОДНИМ антивирусом и только пару дней назад DrWEB внёс его в свои базы (со слов пострадавшего). Это лишний раз подтверждает, что ни один из потерпевших ничего не мог сделать!

Выводы:



1) Пострадавшие организации, которых великое множество, абсолютно ничего не могли сделать в силу того, что методов уберечься просто не было, за исключением превентивных мер, таких как: блокировка доступа с других IP (и это тоже не панацея от всех бед, я слышал, у некоторых было, то , что платили они якобы со своего компа, когда он был выключен -даже так (!!!)), криптомодуль новой версии и т.п. Ни один из банков (в случаях мне известных), где размещают счета пострадавшие не оповестил и не предпринял ничего заранее, будучи полностью уверенным в том, что вскрыть систему «Банк-клиент» невозможно. Тем не менее, факты говорят за себя.

2) Откуда у «Альфа-Банка» столько «мертвых душ», и мёртвые ли они? И почему именно «Альфа-банк» ведь многие из них (преступников) являются не простыми клиентами, ибо лимиты снятия за день у них не как у «простых обывателей». Я, являясь владельцем золотой визы одного известного банка имею лимит снятия за день меньше, гораздо меньше, учитывая, что каждое моё заявление на увеличение кредита и лимита снятия в день тщательно проверяется СБ Банка… Вот это не просто странно, а очень и очень странно. Думаю, учитывая размах содеянного тут не обошлось без «не последних» лиц СБ… ну вы поняли кого. Работают не банальные воры кредиток, а серьёзная группировка, которая и продолжает действовать, снимая средства по всей России.

3) Обратите внимание на то, что в СМИ вы не найдете НИ ОДНОГО упоминания об этих случаях, всё по мелочи, всё не то. Т.е. информация тщательно куда-то исчезает или просто не появляется по причинам мне неизвестным, по крайней мере, мои поиски в сети были тщетными. Хотя пострадавших очень много.

4) Да, вот ещё интересный момент, пару дней назад ехал в машине и по радио слышал, что «Альфа-банк» обменивает порядка двух с половиной тысяч карт, которые якобы использовались нашими туристами в Европе и которые «подвержены риску» быть скопированными. Сказать честно, я бы тоже что-либо подобное выкинул бы в СМИ, чтобы хотя бы как-то реабилитировать своё честное пречестное имя и подготовить плацдарм для отбеливания репутации, когда все эти случаи, а также масса уголовных дел всплывет в СМИ. И человек непосвящённый таки подумает, что не просто так «Альфа-банк» менял карточки «вот оно чё…», сказал бы Иван Дулин. Да, но для чего ждать полгода, если эти события как-то связаны между собой?

5) Очень интересен тот факт, что вирус не был обнаружен на других компьютерах локальной сети. Ведь в антивирусных базах этого вируса не было и следовательно инфицированных этим вирусов компьютеров должно быть очень много. А по факту – только компьютеры, с которых был доступ к «Банку-клиенту». Это наводит на мысль, что вирус мог попасть с сайта «Банка-клиента», т.е. был взломан сам ресурс и туда был закачан вредоносный код, который потом был загружен в момент доступа к «Банку-клиенту». Версия, которая имеет право на жизнь и вполне логичная.



Много вопросов, и много очевидных вещей…,но нет ответов, точнее ответы есть, но все они неофициальные и расследования проводятся силами пострадавших, некоторые из которых объединяются.

p.s. Вчера позвонил в ЦАО УВД, спустя несколько дней мне сказали имя сотрудника, к которому приписали моё заявление. Оказался, очень адекватный человек. На мой вопрос по срокам заведения уголовного дела мне дан предварительный ответ: «В лучшем случае дело будет заведено не ранее, чем через 30 дней и то на усмотрение следователя». Вот так. Думаю за 30 дней, с n-ой суммой красиво ворованных средств можно не просто уйти на заслуженный отдых, но и пару раз объехать мир и концов уже не найти.

Рекомендации по защите средств:

1) В письменном виде в банк сообщение о том, чтобы установили новый «Банк-клиент».

2) В письменном виде в банк, чтобы блокировали проплаты до выяснения (самый простой способ - звонок) перечисления средств с вашего счёта на расчётные счета физ.лиц, в случае зарплат на карточки предоставляйте список лиц кому можно без уведомления, некий белый список

3) В письменном виде в банк просьбу об уведомлении на указанный телефон с любой проплаты на физ. лицо.

4) В письменной форме в банк заявление о привязке IP адреса или нескольких адресов к вашему «Банку-клиенту».

5) Если есть возможность заведите вторую цифровую подпись (т.е. бух. и ген. Директор не в одном лице), это помогает.

6) Если вдруг бухгалтерский комп. начинает «странно» себя вести, СРОЧНО звонить в банк и перестраховываться, блокировать платежи и предупредить свой банк, возможно и ваша организация попала под удар.

Будьте осторожны. Возможно, этот текст поможет Вам.

p.s. Всё выше написанное опубликовано исключительно с целью затруднить, а в идеале остановить преступные действия злоумышленников. А также информировать общественность о превентивных мерах по устранению подобных неприятностей. Само собой, все вышеизложенное является только констатацией событий и фактов с моими личными домыслами (надеюсь не лишенными элементарной логики). Готов по первому требованию предоставить все известные мне и другим пострадавшим факты, IP-адреса и другое, соответствующим органам (в том числе для СБ заинтересованных банков), а также оказать содействие по мере сил и возможностей, в борьбе с этим беспределом, который начался два месяца назад (по известным мне данным) и только набирает обороты."

[Аноним]

ВЫ что забыли в какой стране живете?

[Demin]

Ключевая фраза

Если вдруг бухгалтерский комп. начинает «странно» себя вести, СРОЧНО звонить в банк и перестраховываться, блокировать платежи и предупредить свой банк, возможно и ваша организация попала под удар.

[Fjedor]

У меня банк-клиент в Собинбанке. Бесплатное SMS-информирование об уходе денежных средств со счёта. Плохо только нет информирования о входящих платежах.

[Eduard S.]

У нас по другому юрлицу открыт р/с в "Банк "Санкт-Петербург", так там там так же, прежде чем отправить платежку нужно ввести пароль, который приходит смс-сообщением.

[Fjedor]

Совсем не так же, поскольку у меня пароль один для входа. А SMS-информирование ТОЛЬКО для исходящих платежей.

[Eduard S.]

так же.... безопасно

[Fjedor]

Согласен, но такой банк-клиент...

[conan-varvar]

А я на прошлой неделе открыл счет в нст-банке и поставил их банк-клиент. Они к банк-клиенту бесплатно дают генератор одноразовых паролей, это внешнее устройство. Я с их айтишником говорил, он сказал, что главная беда в том, что пароли хранятся там же где и основной дистрибутив и пароли постоянные. Это и дает хакерам свободу действий - влез в комп и ты автоматом знаешь все пароли, явки и пр. А пароль с внешнего устройства подобрать нереально, т.е. хакер пусть даже влез в ваш комп и видит сколько у вас денег, но списать деньги он не сможет - пароля нет.
А насчет смс-информирования у моего товарища прошлой осенью случай был. Поставил банк-клиент с смс-информированием,очень хвастался. Смски должны были идти на телефон бухгалтера. Был предпраздничный день, офис начал отмечать с обеда и на пискнувший телефон не обратили внимания. Полтора лимона недосчитались. Сейчас разбираются с банком.

[Fjedor]

Был предпраздничный день, офис начал отмечать с обеда и на пискнувший телефон не обратили внимания. Полтора лимона недосчитались. Сейчас разбираются с банком.

Хорошо отпраздновали ... кто получил деньги.

[И.ГЕ]

Два года назад у меня тоже взломали и тоже перевод на физлицо в Альфа.Неужели два года безнаказанно все продолжается?

[Securaa]

Банк-клиент свернул, ключевой ниситель оставил в дисководе. Далее занимался в 1С.

Т.е - человеческий фактор. Разве у Вас так в инструкции указано работать с системой? А система Вашего банка не имеет защиты "от дурака" (сленг). Ну, если пойти на балкон, а входную дверь оставить открытой - могут всё и из квартиры унести

[allk]

Помогите проверить организацию по выставленному счёту на оплату материала.

[Linsy]

allk
Что значит проверить и как по вашему это сделать?

[tasha-dv]

Посоветуйте что делать
На днях со счета фирмы через интернет банкинг Далькомбанка были переведены больше миллиона рублей на счета физ. лиц Промсвязьбанка. Ключи были украдены с компьютера через удаленный доступ, пароли каким-то образом подобраны. Деньги уже на следующий день были обналичины с карты в Москве.
Как вернуть деньги? Кого винить?

[Storn]

tasha-dv, бежать в полицию

[tasha-dv]

Уголовное дело уже заведено. НО найти этого хакера очень сложно, может и невозможно.
Как вернуть деньги, например с банка

[Анжелика Ник]

а уже выявлена вина этого банка?

[tasha-dv]

Да получается, что вообще никто не виноват, ключи-то у нас украли
Хакеры.....
А как деньги вернуть?
Я считаю что это вина банка

[Demin]

Да получается, что вообще никто не виноват, ключи-то у нас украли

Ребята, за информационной безопасностью надо следить. Клиентский косяк.

[Анжелика Ник]

Я считаю что это вина банка

в чем?

[DW]

Всем кто работает с клиент-банком, чтобы избежать таких проблем надо не полениться и отвезти в банк письмо примерно следующего содержания:

В ОАО "САМЫЙ ЛУЧШИЙ БАНК"

ООО «ХХХ» р/с 12345678901234567890 просит в случае поступления через систему Клиент-банк платежных поручений на перечисление денежных средств на расчетные счета физических лиц (кроме счетов сотрудников перечисленных в Приложении №1 к настоящему письму), не исполнять такие платежные поручения, а уведомить ООО «ХХХ» по телефону ххх-хх-хх.

Генеральный директор __________________ М.П.

* * *

Приложение №1 к Письму №__от___

СПИСОК сотрудников ООО "ХХХ" на расчетные счета которых производиться перевод денежных средств на выплату заработной платы через систему Банк-клиент

ФИО сотрудника № расчетного счета
1
2
3
.....

Всего ___ сотрудников.

Генеральный директор __________________ М.П.

[Demin]

просит

"Прошу - только не кидай меня в терновый куст..." (с)

[not_available]

Всем кто работает с клиент-банком, чтобы избежать таких проблем надо не полениться и отвезти в банк письмо примерно следующего содержания:

В ОАО "САМЫЙ ЛУЧШИЙ БАНК"

ООО «ХХХ» р/с 12345678901234567890 просит в случае поступления через систему Клиент-банк платежных поручений на перечисление денежных средств на расчетные счета физических лиц (кроме счетов сотрудников перечисленных в Приложении №1 к настоящему письму), не исполнять такие платежные поручения, а уведомить ООО «ХХХ» по телефону ххх-хх-хх.

Генеральный директор __________________ М.П.

* * *

Приложение №1 к Письму №__от___

СПИСОК сотрудников ООО "ХХХ" на расчетные счета которых производиться перевод денежных средств на выплату заработной платы через систему Банк-клиент

ФИО сотрудника № расчетного счета
1
2
3
.....

Всего ___ сотрудников.

Генеральный директор __________________ М.П.

У большинства банков нет возможности выполнить вашу просьбу!

[И.ГЕ]

Ну почему же,мне всегда из банка перезванивают для подтверждения,если я делаю платеж физлицу

[DW]

Всё зависит от размеров организации, банка и отношения с ним.
У нас и организация и банк небольшие и письмо приняли.
Также есть вариант, когда в фирме только один сотрудник (гена) и получает он з.п. наличными по чеку. Тогда просто пишется письмо в банк с просьбой не исполнять поручения на физлиц через банк-клиент.

[Аноним]

Рекомендации по защите средств:

1) В письменном виде в банк сообщение о том, чтобы установили новый «Банк-клиент».

2) В письменном виде в банк, чтобы блокировали проплаты до выяснения (самый простой способ - звонок) перечисления средств с вашего счёта на расчётные счета физ.лиц, в случае зарплат на карточки предоставляйте список лиц кому можно без уведомления, некий белый список

3) В письменном виде в банк просьбу об уведомлении на указанный телефон с любой проплаты на физ. лицо.

4) В письменной форме в банк заявление о привязке IP адреса или нескольких адресов к вашему «Банку-клиенту».

5) Если есть возможность заведите вторую цифровую подпись (т.е. бух. и ген. Директор не в одном лице), это помогает.

6) Если вдруг бухгалтерский комп. начинает «странно» себя вести, СРОЧНО звонить в банк и перестраховываться, блокировать платежи и предупредить свой банк, возможно и ваша организация попала под удар.

Будьте осторожны. Возможно, этот текст поможет Вам.

p.s. Всё выше написанное опубликовано исключительно с целью затруднить, а в идеале остановить преступные действия злоумышленников. А также информировать общественность о превентивных мерах по устранению подобных неприятностей. Само собой, все вышеизложенное является только констатацией событий и фактов с моими личными домыслами (надеюсь не лишенными элементарной логики). Готов по первому требованию предоставить все известные мне и другим пострадавшим факты, IP-адреса и другое, соответствующим органам (в том числе для СБ заинтересованных банков), а также оказать содействие по мере сил и возможностей, в борьбе с этим беспределом, который начался два месяца назад (по известным мне данным) и только набирает обороты."

Добавьте еще пункты:
7) Не сидеть на компе, где работает клиент-банк с правами администратора

Кто из пострадавших работах с правами пользователя? Думаю, никто.

8) Выделить по возможности отдельный комп для работы в клиент-банк, а развлекаться на другом.

Кто-нибуть пробовал грузить мешки с песком в дорогом костюме? Нет. Отчего же развлечение и работа совмещается на одном компе ?

[Аноним]

9) не храните ключи на жестком диске

10) не оставляете носители с ключами в подключенном состоянии

11) не храните обе подписи на одном носителе

[Ольга Коврижных]

ВТБ еще в начале года в обязательном порядке ввел 2 варианта защиты расчетного счета:
1. Носитель с некопируемым ключом.
2. СМС-информирование: при каждом входе в Клиент-банк высылается новый дополнительный пароль на телефон, выбранный клиентом из списка 3-х телефонов, указанных в доп.соглашении. После отправки платежей приходит смс с указнием количества платежек и суммы платежей.

И всегда нужно доставать носитель после окончания сеанса работы.