Как узнать о том, что вашу учетную запись взломали? Какова правильная последовательность действий в таком случае?
Егор Изотов, Начальник отдела информационно-технической защиты (Пивденкомбанк)
Однозначным (но не единственным) признаком, указывающим на получение злоумышленниками доступа к системе «Клиент-банк», можно назвать появление в базе документов этой системы платежных поручений, к набору и отправке которых лицо, ответственное за использование системы, не имеет отношения. Разумеется, существует вероятность того, что клиентская часть системы «Клиент-Банк» контролируется злоумышленниками таким образом, что клиент получает искусственно сформированную ими картину состояния своего счета и платежных документов, но мы ее, ввиду редкого применения такой методики, здесь не рассматриваем.
Для своевременного выявления попыток завладения денежными средствами и противодействия злоумышленникам мы рекомендуем клиентам следующее:
- Даже если финансовые операции не планируются, необходимо выходить на связь с банком хотя бы несколько раз в день, утром, в момент начала рабочего дня, и вечером, незадолго до окончания операционного дня в банке. Как правило, злоумышленники отправляют документы именно в эти периоды времени или в ночное время.
- При обнаружении документа, который заведомо не проводился на клиентской стороне уполномоченным лицом, или факта заражения компьютера, используемого для работы с системой «Клиент-банк», вредоносной программой, необходимо немедленно связаться с банком с целью блокирования всех платежей по всем вашим счетам, а также, если это необходимо, для принятия мер, направленных на возврат денежных средств, уже списанных с вашего счета.
- После этого необходимо заблокировать ключи системы «Клиент-Банк» и отключить компьютер от внутренней компьютерной сети и сети Интернет.
- Следующие действия клиента зависят от того, есть ли у него намерение проводить какие-либо действия, направленные на установление лиц, причастных к совершению данного уголовного преступления. В этом случае компьютер следует сохранить в нетронутом виде и передать уполномоченным к проведению следственных мероприятий лицам. В том случае, если проведение таковых мероприятий не планируется, на компьютер необходимо заново установить операционную систему и все необходимые в работе программы, поскольку вероятность того, что для похищения ключей были использованы троянские и вирусные программы чрезвычайно велика, и новые ключи могут быть украдены точно так же, как и предыдущие.
Кроме того, кража ключей может быть обнаружена сотрудниками банка, в том случае, если злоумышленник попытается подобрать к нему пароль, подключаясь к серверу банка с украденным ключом. В этом случае сотрудник предприятия, работающий с системой «Клиент-Банк» может при сеансе связи с банком увидеть сообщение о блокировке своего ключа. Если это произошло, то необходимо немедленно связаться с представителями банка для уточнения обстоятельств, приведших к блокировке ключа. В том случае, если блокировка была вызвана противоправными действиями третьих лиц, есть основания предполагать, что компьютер, используемый для работы с системой «Клиент-банк», находится под контролем злоумышленников, использующих вирусные программы для кражи ключей и паролей. В этом случае рекомендуется начать с исполнения п.3 вышеприведенных рекомендаций.
Борис Косяков, Начальник управления информационной безопасности (Астра Банк)
В первую очередь, нужно отключить взломанный (зараженный) компьютер от сети и сообщить об этом в банк, чтобы заблокировать учетную запись клиента для предотвращения мошенничества. Затем нужно обеспечить сохранность всех необходимых данных для дальнейшего расследования – ничего не изменять на взломанном (зараженном) компьютере.
Для расследования целесообразно привлекать квалифицированных специалистов (из банка или специализированных фирм). Только квалифицированное расследование и выяснение причины поможет избежать подобных инцидентов в дальнейшем.