Проект видавничого дому «МЕДІА-ПРО»
Атака на банковский счет | director.com.ua

Атака на банковский счет

Автор статьи: 

Александр КОЗКА

Заглавное изображение: 

Современные технологии позволяют финансовым мошенникам постоянно изобретать новые способы криминального отъема чужих денег. В этой сфере самым уязвимым считается такой популярный банковский продукт, как расчетно-кассовое обслуживание. Посягательству подвергаются как традиционные расчетные технологии, так и компьютеризированные системы удаленного управления счетом. Наиболее привлекательными для преступников являются счета юридических лиц

Опасные традиции

Согласно исследованиям специалистов по защите финансового рынка, преступные посягательства в сфере расчетно-кассового обслуживания компаний имеют тенденцию к активизации. В связи с развитием компьютерных технологий, мошенники все больше отдают предпочтение хищениям посредством несанкционированного доступа и удаленного управления банковским счетом. Но не пренебрегают они и традиционными, так называемыми, «бумажными» способами. Рассмотрим основные технологии и уловки финансовых мошенников, причины, способствующие хищению денег со счетов юридических лиц, а также возможные способы противостояния преступным посягательствам.

Осуществление хищения с использованием «бумажных» технологий требует от мошенников определенной подготовки. Наиболее типичными подготовительными действиями в этом случае являются:
•подбор соучастников (юридических и физических лиц), распределение обязанностей на различных этапах совершения преступления, разработка плана его сокрытия;
•незаконное получение и использование сведений о счетах, с которых преступники планируют похитить деньги;
•учреждение подставных компаний-однодневок, на счет которых перечисляются похищенные средства;
•подделка платежных документов, доверенностей на право распоряжения счетом компании-жертвы, банковских карточек с образцами подписей лиц, уполномоченных распоряжаться операциями по счету, оттиска печати, изготовление фиктивных документов для лиц, участвующих в совершении преступления;
•изготовление поддельного судебного решения и исполнительного документа, поддельного аккредитива;
•подделка платежного поручения на перечисление денежных средств, подписи руководителя компании и других реквизитов;
•открытие счета на имя подставного физического лица для последующего перевода на него похищенных средств.

В случаях использования традиционной «бумажной» технологии хищений, мошенники, как правило, действуют в два этапа. Первый заключается в представлении банковскому учреждению фиктивных документов, которые содержат не соответствующее действительности поручение о переводе средств со счета компании-жертвы на счет компании-соучастника преступления или, как вариант, о выдаче наличных денег со счета.

При этом банку могут представляться поддельные документы следующих видов:
•поддельное платежное поручение от имени владельца счета о переводе денежных средств на счет компании или физического лица;
•поддельные расходные кассовые ордера, расчетные чеки;
•фиктивная доверенность на право распоряжения счетом и получения денег;
•поддельные судебное решение и исполнительный документ, предписывающие списать денежные средства со счета компании-жертвы и перевести их на счет компании-соучастника;
•поддельный аккредитив с поручением компании-жертвы перевести определенную сумму на счет подставной фирмы как оплату за выполненные работы, предоставленные услуги либо поставленные товары;
•фиктивное поручение об открытии счетов физических лиц с последующим перечислением на них денежных средств компании-жертвы якобы в качестве расчета за выполненные работы, предоставленные услуги, приобретенные товары и т. п. с последующей выдачей наличных денег лицам, контролируемым преступниками.

Если первый этап прошел для мошенников успешно, второй будет заключаться в обналичивании средств с помощью физических лиц-сообщников. Зачастую это осуществляется с предъявлением поддельных паспортов со специально открытого для этой цели счета физического лица, непосредственно из кассы банка или счета фирмы-однодневки.

Берегись Интернета

Но наиболее стремительно сегодня развиваются способы хищения денежных средств с использованием ІТ-технологий: киберпреступники проникают в банковские сети через системы интернет-банкинга.

Удаленное хищение, проведенное скрытно и незаметно, с использованием брешей в защите сетей и каналов связи финучреждения, дает мошенникам шанс остаться безнаказанными.

Речь главным образом идет о вредоносных программах, позволяющих получить несанкционированный доступ к системам дистанционного банковского обслуживания и скопировать любые пользовательские данные (логин, пароль, электронные банковские ключи) либо электронные подписи, с помощью которых мошенники, дублируя действия бухгалтера, могут похитить деньги со счета. Удаленное управление счетом требует еще более тщательной подготовки, имеющей свои особенности. Как правило, подобные хищения не обходятся без привлечения сотрудника финучреждения, имеющего доступ к секретам системы безопасности.

При этом преступниками выполняются следующие подготовительные действия:
•создание и запуск в систему специальных программ для получения информации о ключах и паролях;
•создание и использование специальных программ для их внедрения в компьютеры клиентов с целью получения данных о ключах и паролях доступа к системе дистанционного обслуживания счета;
•незаконное завладение паролем-ключом к системе «Клиент–Банк», «Интернет-банкинг»;
•неправомерный доступ к информации, обеспечивающей технологический процесс платежей;
•создание подставной фирмы, компании-однодневки, открытие для нее банковского счета, на который планируется перевести похищенные денежные средства;
•открытие счета на имя фиктивных физических лиц для последующего перевода похищенных денежных средств;
•оформление зарплатных карт на вымышленных сотрудников фиктивных компаний для получения наличных денег.

После подготовки следующими шагами мошенников будут непосредственные действия, направленные на реализацию преступных планов. Учитывая типичность технологического процесса осуществления платежей, преступники также используют типичные способы совершения хищений.

Таковыми являются:
•создание и авторизация платежного документа, проведение с использованием систем удаленного доступа несанкционированных операций по списанию денежных средств с банковских счетов;
•списание средств со счета клиента финучреждения на счет соучастника преступления путем изготовления несуществующих электронных платежных сообщений, искажения, переадресации реальных электронных платежных сообщений;
•перевод денежных средств со счета клиента на счет подставной фирмы с применением санкционированного доступа к обслуживаемой системе;
•несанкционированное пополнение счета банковской карты, выданной на имя физического лица — соучастника преступления.

В чем просчет?

По мнению специалистов, к хищению денежных средств компаний приводят бреши в системе информационной защиты и неправильная корпоративная политика IT-безопасности.

К числу главных просчетов финучреждений, способствующих совершению преступлений в сфере обслуживания банковских счетов, относятся:
•недостаточность или неполнота организационных и технических мероприятий по предупреждению и выявлению хищений;
•недостатки в организации системы конфиденциального делопроизводства, способствующие незаконному получению и использованию сведений, составляющих банковскую тайну;
•отсутствие у сотрудников банка способности выявлять признаки подделки документов;
•недостатки защиты компьютерных сетей банка от неправомерного доступа;
•недостатки в сфере организации системы информационной защиты процессингового центра от несанкционированного доступа к операциям по счету;
•ненадлежащая организация системы безопасности, отсутствие специальных подразделений или лиц, предназначенных для выявления и предупреждения преступных посягательств посредством защиты информации и сетей;
•неспособность охватить автоматизированными средствами контроля деятельность сотрудников, обладающих максимальными возможностями доступа к информационным ресурсам и средствам их обработки (программисты, администраторы).

Следует заметить, что и клиенты банка в немалой степени способствуют кражам со своих счетов. Из-за недостатков в организации защиты ключевой и парольной информации систем «Клиент–Банк», «Интернет-банкинг» мошенники получают возможность совершать операции по счету от имени клиента.

У береженого счет сбереженный

Тем не менее, риски хищения денег с банковских счетов могут быть существенно минимизированы путем устранения описанных выше недочетов и осуществления всех необходимых функций для защиты IT-инфраструктуры как банка, так и фирмы-клиента. При этом работать необходимо по всем направлениям, независимо от применения специальных методов защиты, таких как электронные ключи. Финучреждениям, которые не сумели вовремя выявить и предотвратить совершенные против них противоправные действия, стоит провести тщательную проверку надежности функционирования всех структурных уровней и элементов систем, отвечающих за безопасность расчетов.

Следует использовать полнофункциональные решения для защиты, начиная от серверов и заканчивая персональными компьютерами сотрудников. Только системные и полные меры безопасности смогут обеспечить защиту и контроль каждого устройства, используемого для доступа, хранения или обработки конфиденциальной банковской информации.

Кроме сугубо технических моментов по защите счетов, большое значение имеет правильное построение и организация функционирования системы управления компании-клиента и связанные с этим внутренние нормативные и организационные решения.

Как известно, в большинстве случаев хищений имеет место человеческий фактор. Иногда, чтобы не пострадать от преступных замыслов мошенников и их сообщников из числа банковских работников, достаточно выполнять несколько нехитрых правил.

Прежде всего, нужно ограничить доступ к документам предприятия для большинства работников. Это касается и бумажных, и электронных носителей. Хранить финансовые и платежные документы лучше в сейфах или металлических шкафах. Нельзя оставлять без присмотра платежные документы в местах, где они, даже на короткое время, могут быть доступны лицам, не имеющим к ним отношения. Информация о движении денежных средств по расчетному счету компании должна быть строго конфиденциальной. Знать о планируемых поступлениях должны лишь сотрудники, имеющие непосредственное отношение к обслуживанию финансовых потоков.

Не лишним будет наладить доверительные отношения с работниками банка, обслуживающими счета предприятия, и попросить их, в случае сомнительных операций, дополнительно согласовывать платежи с ответственным лицом фирмы по телефону.

Для этого у банковского специалиста должны быть под рукой рабочие и мобильные телефоны руководителя и главного бухгалтера, имеющих право первой и второй подписи на платежных документах. Оперативно контролировать движение по счету и остатки на нем поможет также регулярное получение выписки из банка.

Если указанные выше правила могут быть действенными для предотвращения простого «бумажного» мошенничества, то в ситуации с киберпреступностью правила гораздо сложнее.

В случае возникновения опасений относительно возможного получения доступа посторонними лицами к вашему счету через интернет-банкинг, эксперты по безопасности советуют незамедлительно отключить компьютер, работающий в системе, от Интернета. Следующим шагом должно стать обращение в финучреждение с изложением проблемы и просьбой заблокировать учетную запись компании-клиента. Последующие действия должны быть направлены на проверку компьютера на предмет заражения вредоносным программным обеспечением и смену пароля от учетной записи.

При этом главным защитником интересов клиентов должен выступать все-таки банк. Для этих целей у него имеются специальные подразделения и сотрудники, обеспечивающие безопасность банковских операций. Их прямая задача — посредством неукоснительного выполнения задач финансового контроля, кадрового обеспечения, тщательного соблюдения технологических норм не позволить преступникам использовать различные способы совершения преступлений в сфере расчетно-кассовых отношений. Непосредственная структура, призванная решать задачи обеспечения безопасности платежей клиентов в экстремальных ситуациях, — служба безопасности банка.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж