Виртуальные мошенники атаковали счет в «Девон-кредите»

ПРОРЕХА В «ЭЛЕКТРОННОМ КАРМАНЕ»

Клиент альметьевского банка «Девон-Кредит» с 2006 года ООО «Лайф-Мед» подало на кредитную организацию заявление в Арбитражный суд РТ с требованием взыскать с него 3,5 млн. рублей. Именно такую сумму занимающаяся оптовой торговлей металлопрокатом компания потеряла 26 апреля 2012 года, когда произошел сбой в системе «Банк-Клиент», которой «Лайф-Мед» пользуется с 2008 года.

По словам представителя «Лайф-Мед» в суде Радика Нурлыгареева, в тот же день, когда система дала сбой, банк был незамедлительно оповещен о произошедшем. «Это были предпраздничные дни, но программист из банка пришел восстанавливать систему только после праздников – 2 мая. После этого мы обратились в банк, где нас уже уведомили, что 26 апреля у нас с расчетного счета ушло 3,5 миллиона рублей», – поделился своим взглядом на ситуацию Нурлыгареев.

Деньги, как выяснилось, были отправлены на счет некоего ООО «Русская торгово-промышленная компания», зарегистрированного в Москве. 17 мая 2012 года счет этой организации был закрыт. Вернуть деньги «Лайф-Меду» не удалось…

«ВСЕ ЭТО БАНК НЕ ПРИНЯЛ ВО ВНИМАНИЕ»

Свои требования заявитель аргументирует тем, что в обязанности банка входили прием документов от клиента и их проверка. По мнению Нурлыгареева, списание 3,5 млн. рублей со счета «Лайф-Мед» является упущением исключительно «Девон-Кредита», так как банк попросту не обратил внимания на ряд подозрительных моментов, связанных с данным платежом.

- Во-первых, этому платежу был присвоен иной порядковый номер, который не соответствует реестру. Во-вторых, он был сформирован в системе «Банк-Клиент», а не в системе 1С, которую мы использовали для формирования платежных поручений, «Банк-Клиент» использовался лишь для передачи документов. Наконец, сумма данного платежа несоразмерно большая для нас – все предыдущие платежи проводились в размере 20 - 50 тысяч рублей, – рассказал представитель «Лайф-Меда». – Все это банк не принял во внимание и не направил запрос, чтобы мы могли подтвердить, что такой платеж действительно имеет место быть.

При этом в договоре банковского обслуживания, по словам Нурлыгареева, прямо указано, что если платежное поручение выглядит подозрительно, то банк имеет право приостановить платеж или проверить его, что он и должен делать всегда.

Подозрительный платеж был сформирован в системе «Банк-клиент», а не в привычной для «Лайф-Мед» системе 1С Чтобы загрузить картинку, кликните по ней мышкой

Ситуация, по мнению Нурлыгареева, сопровождается множеством таинственных совпадений. А именно, представитель заявителя подчеркнул, что банк имеет право отказать в платеже, когда его сумма превышает общее количество средств, которые находятся на клиентском счету. Однако по роковому стечению обстоятельств 26 апреля со счета «Лайф-Мед» было списано именно 3,5 млн. рублей на оплату каких-то пластиковых изделий, в то время как вся сумма средств равнялась 3,7 млн. рублей. При этом Нурлыгареев отмечает, что в прошлом с данной организацией у «Лайф-Мед» не было никаких правоотношений.

Кроме того, в беседе с корреспондентом «БИЗНЕС Online» Нурлыгареев отметил, что буквально за месяц до злосчастных событий программист банка проверил систему и дал заключение, что она исправна, а в акте приема-передачи системы было указано, что продукт банка отвечает всем требованиям безопасности.

Что еще интереснее: спустя неделю после событий 26 апреля из банка уволился начальник службы безопасности, а потом и программист. При этом «Русская торгово-промышленная компания» формально действительно существует и «Лайф-Мед» даже обращалась с заявлением в правоохранительные органы, чтобы разобраться в ситуации. Однако в возбуждении уголовного дела было отказано.

- Деньги, которые собирались в течение трех-четырех лет, просто ушли. Как третьим лицам стали известны наши реквизиты и сумма на счету, совершенно непонятно. Мы считаем, что банк должен способствовать их возвращению, – заявил Нурлыгареев. Представитель «Лайф-Мед» также полагает, что этого удалось бы избежать, если бы банк обеспечил регулярную смену паролей для входа в систему. – В системе банка «Девон-Кредит» пароль был выдан единожды, чем, по нашему мнению, и воспользовались третьи лица, – отметил Нурлыгареев.

«БЕЗОТВЕТСТВЕННЫЕ ХОЗЯЕВА» СИСТЕМЫ

Тем не менее представитель банка «Девон-Кредит» Татьяна Одринская утверждает, что в марте, накануне произошедшего, пароли для входа в систему были сменены. По ее мнению, ответственность за произошедшее лежит на самой компании «Лайф-Мед»: предприятие использовало ненадлежащие противовирусные программы или не использовало их вовсе. К тому же, по словам Одринской, компания в работе с системой не соблюдала требования безопасности. «Используя электронные платежи, предприятие должно обеспечить максимальную безопасность со своей стороны. Люди уехали на обед, оставили ключи e-token на месте. Это равноценно оставленной квартире с ключами в дверях», – сообщила Одринская.

Помимо этого, Одринская подчеркнула, что спорный платеж прошел проверку на достоверность и действительно не вызвал никаких подозрений со стороны сотрудников банка. «У нашего банка есть сертификаты ФСБ, которые говорят о том, что наша система соответствует всем уровням защиты», – отметила представитель ответчика.

С доводом истца относительно «загадочных увольнений» Одринская категорически не согласилась, отметив, что программист ушел спустя год после «происшествия» с «Лайф-Мед».

Также представитель «Девон-Кредит» рассказала, что банк пытался помочь своему клиенту в возврате денег, связавшись с банком, где находился счет ООО «Русской торгово-промышленной компании». Однако был получен ответ, что организация закрыла счет и ушла из банка.

На данный момент ФГБУ «Самарская лаборатория судебной экспертизы» проводит компьютерно-техническую экспертизу вышедшей из строя системы, которой пользовалась компания «Лайф-Мед». Дело в Арбитражном суде РТ приостановлено до получения результатов экспертизы.

ТАКИЕ СИТУАЦИИ ПРОИСХОДЯТ ДОСТАТОЧНО ЧАСТО

Газета «БИЗНЕС Online» поинтересовалась у экспертов, насколько распространены подобные ситуации, чем они обусловлены и как можно их избежать.

Венера Иванова – председатель правления ЗАО «Автоградбанк»:

– В моей практике были случаи, когда со счета клиента без его ведома уходили деньги, но это было связано не со сбоем в нашей банковской системе, а с тем, что сам клиент легкомысленно отнесся к безопасному хранению электронного ключа. Когда клиент подключается к электронному документообороту, с ним заключается договор, по которому клиент обязуется никому не передавать свой ключ. Но на практике часто так бывает, что ключ оформляется на руководителя, а он передает его бухгалтеру. Тот, уходя в отпуск, может передать его другому бухгалтеру, то есть ключ хранится не так, как положено. Поэтому так и получается, что платежи могут уйти без ведома того человека, на которого у нас выписан электронный ключ.

В случае «Лайф-Мед» и банка «Девон-кредит» будет разбираться суд, которому предстоит выяснить: то ли этот инцидент связан с тем, что клиент некорректно использовал свой электронный ключ, то ли действительно был сбой в работе системы электронного документооборота банка. Если будет доказано второе, что был сбой, то я считаю, что банк однозначно должен отвечать.

Что касается вопроса о том, как бизнес может обезопасить себя от подобных коллизий, то в любом случае есть договорные отношения между банком и клиентом по обслуживанию расчетного счета и электронному документообороту. Просто в этих договорах нужно предусматривать корректную ответственность сторон.

Александр Боломатов – ассоциированный партнер юридической фирмы «ЮСТ» (Москва):

- Подобного рода ситуаций очень много. В данном случае налицо типичное мошенничество, которое, вероятнее всего, произведено с ведома банка. Банк, имея проблемы с online-доступом к своему серверу, допустил не блокировку любых операций, а проведение операции в адрес третьего лица. Я полагаю, что в этой ситуации не обошлось без помощи сотрудников банка. Думаю, что этим должны заинтересоваться правоохранительные органы.

Тот факт, что в возбуждении уголовного дела было отказано, не значит, что отказ нельзя обжаловать. Я знаю, что по подобным историям существуют положительные прецеденты и дела возбуждают. Данной организации можно посоветовать написать жалобу регулятору или в Центробанк. Когда банк, защищая своих недобросовестных сотрудников, начинает «отбиваться» от своих клиентов, это подрывает всю банковскую систему.

Кроме того, мне кажется, что если банк непричастен к списанию средств, то он должен доказать, что мошенником, спровоцировавшим данную ситуацию, является клиент. Тогда уже банк должен обратиться в правоохранительные органы и настаивать на возбуждении уголовного дела по факту мошенничества, требовать найти лиц, которые совершили данные преступления, и настаивать на приговоре. Если банк этого не делает, то это уже само по себе странно.

Подобные ситуации все чаще возникают в силу особенностей современных технологий. Я думаю, что услугой «Банк-Клиент» пользуется более 80 процентов всех организаций, поэтому возникновение электронного мошенничества закономерно.

Разумеется, абсолютной безопасности никто гарантировать не может. Такой цели даже не стоит. Есть цель улаживать конфликтные ситуации, максимально соблюдая интересы всех сторон. Есть цель создать комфортный сервис, который позволяет юрлицам осуществлять операции, отказаться от бумажного оборота, отказаться от траншей, чтобы платежи шли в online-режиме, то есть переходить на большую интерактивность.

Конечно, было бы безопаснее, если бы в банк приходил сотрудник организации с паспортом и доверенностью. Но это уже прошлый век. Можно иметь несколько счетов: расчетный счет, с помощью которого будут осуществляться платежи и счет, на котором будут концентрироваться денежные средства. Вторым счетом распоряжаться только в присутствии директора и главного бухгалтера.

Самый лучший способ для бизнеса обезопасить себя – это пользоваться услугами банков, которые не допускают такого отношения к клиентам.

Павел Сигал – председатель координационного совета по вопросам поддержки и развития малого и среднего предпринимательства в РТ:

- Такие ситуации происходят достаточно часто. Это такая схема мошенничества. На мой взгляд, в этом больше вины банка. Почему система не работала несколько дней? Это совершенно недопустимо, неважно, праздничные дни, непраздничные… Система должна работать непрерывно, поэтому она и называется «Банк-Клиент», она должна работать всегда. При сбое системы банк обязан был прислать своих специалистов в течение нескольких часов.

Я удивлен, что в возбуждении уголовного дела было отказано, потому что ситуация содержит явные признаки мошенничества. Возникает вопрос, как и к кому попала электронная подпись при осуществлении данного платежа. Если даже это сделал сотрудник компании-клиента, это все равно мошенничество.

Гарантий, которые могли бы обезопасить от подобных происшествий, никто не даст. Как говорил еще Остап Бендер, стопроцентную гарантию дает только страховое агентство, и то не всегда. Нивелировать риск подобных случаев может только контроль и со стороны предприятия, и со стороны банка. Если нормальный, порядочный банк видит какой-то несвойственный платеж, то он должен проинформировать клиента, прежде чем его провести.

«ЗАЧАСТУЮ КЛИЕНТЫ НЕ СОБЛЮДАЮТ ПРАВИЛА БЕЗОПАСНОСТИ»

Рустам Саяхов – председатель правления банка «Аверс»:

- С такими ситуациями сталкиваются порой и наши клиенты. Во всех случаях, с которыми мы сталкивались, это объясняется пренебрежением информационной безопасностью со стороны клиентов. Когда мы с этим сталкивались, мы помогали клиентам в расследовании этих инцидентов. После этого выяснялось, что произошедшее можно объяснить либо тем, что клиент нарушил условия безопасности, либо мошенническими действиями третьих лиц. К нам претензий по возврату денег не поступало.

Любой банк, распространяющий услугу «Банк-Клиент» или «Интернет-Клиент», всегда снабжает пользователей подробной памяткой, как обезопасить себя от мошенничества, которое сейчас набирает силу. Необходимо проводить целый комплекс мероприятий.

Данный случай с компанией «Лайф-Мед» комментировать трудно, но зачастую происходит так, что клиенты пренебрегают правилами информационной безопасности.

Если доступ к интернет-банку осуществляется с локальной сети, то злоумышленник, проникнув в сеть, может этим воспользоваться. Мы, в свою очередь, стараемся совершенствовать систему подтверждения платежей.

Гарантий абсолютной безопасности, конечно, нет. Если клиент защитился несколькими преградами, то вероятность мошенничества значительно снижается. Должна быть защищена локальная сеть, должны быть дополнительные устройства, которые могут подтвердить платеж, совершенный клиентом. Многое также зависит от частоты смены паролей. Порой электронные ключи оставляются в разъеме USB. Этого тоже нельзя допускать.

Марат Бикмуллин – председатель совета директоров ООО «Информационные системы»:

- О таких случаях я наслышан. Более того, два года назад в одной из моих организаций мы столкнулись с подобной попыткой кражи денег. Наш бухгалтер вовремя увидела нетипичные действия на экране. Деньги уже были приготовлены к транзакции. Бухгалтер сообразила и просто выдернула компьютер из сети, тем самым остановив эту операцию.

После этого случая я стал выяснять у специалистов, как такое возможно. Мне был дан ответ, что сломать те системы, которые используются в банках, невозможно. Главная проблема в том, что клиенты зачастую используют зараженный компьютер.

Тут совет только один – современный лицензированный антивирус, который хорошо обновляется. А самое лучшее – это использовать такой компьютер, который больше нигде не используется, не «гулять» по интернету с помощью данного компьютера, не вставлять туда «посторонние» флэшки, а использовать компьютер только для одной задачи – доступа к услуге «Банк-Клиент». Соблюдая данные условия, вероятность подобных хищений ничтожна мала, не более чем в случае, если кто-то просто вломится в офис и украдет деньги.

Артем Архипов – руководитель проекта SpeakTo, ЗАО «Такснет»:

- На самом деле такие ситуации происходят ввиду различных причин. Это могут быть как мошеннические операции, совершаемые самими сотрудниками банка, так и случаи мошенничества со стороны самих клиентов. Но такие случаи, как правило, быстро раскрывают. Это могут быть хакерские атаки. Также я не исключаю вероятности ошибок в банковской электронной системе.

Подобное может произойти из-за небрежного отношения сотрудников организации к хранению доступов к системе «Банк-Клиент».

Безусловно, абсолютную гарантию безопасности никто не сможет дать, но если следовать рекомендациям банков, то можно свести вероятность такой ситуации к нулю.

Клиентам банков следует внимательно читать условия договора и ответственно относиться к хранению доступов к системе «Банк-Клиент».

«КЛИЕНТЫ К УСИЛИЯМ НЕ ГОТОВЫ»

Дмитрий Кузнецов – заместитель технического директора Positive Technologies:

- Это очень распространенная ситуация. За последние 25 лет активного применения в России электронных банковских расчетов накопилась большая судебная практика по делам такого рода. Данная ситуация очень похожа на стандартную хакерскую атаку.

Самая распространенная схема мошенничества – массовые атаки на пользователей сети интернет. С помощью сайтов, зараженных вирусами Flash-роликов, и некоторых других способов хакеры получают доступ ко всем компьютерам, до которых удается дотянуться. Если среди них оказываются компьютеры, используемые для работы с системами «Банк-Клиент», у хакера появляется возможность выполнять операции от имени клиента банка, используя его ключи электронной подписи. Говоря упрощенно, хакер удаленно контролирует рабочее место бухгалтера и, когда тот вставляет носитель ключей электронной подписи, может сформировать, подписать и отправить в банк платежное поручение. При этом на экране ничего не отображается. Для того чтобы бухгалтеру не пришло уведомление об операции, хакеры устраивают DoS-атаку на сервер «Банк-Клиент», блокируя рассылку выписок. Такая атака не блокирует работу платежной системы банка, и денежный перевод проходит без задержек.

Абсолютной гарантии безопасности быть не может. Банки пытаются внедрять различные технологии усиления защиты на стороне клиента. К сожалению, все они так или иначе обходятся хакерами из-за того, что у самого клиента недостаточно квалификации для полноценного использования таких средств. Самый радикальный способ – предоставление банком клиенту специального защищенного терминала для работы с системой «Банк-Клиент», но даже крупные западные банки оказывают такую услугу только VIP-клиентам из-за дороговизны решения.

Данная ситуация может быть во многом обусловлена наплевательским отношением самого клиента к защите собственных рабочих мест. На компьютерах, выполняющих критические операции (такие как работа с системой «Банк-Клиент»), очень часто используются устаревшие операционные системы, не устанавливаются обновления безопасности, используются программы, полученные из сомнительных источников. Часто приходится наблюдать ситуацию, как администратор отключает защиту от копирования Microsoft Office с помощью генератора ключей, игнорируя предупреждение антивируса о наличии в этом генераторе «троянского коня».

Чтобы решить проблему на стороне клиента, требуются определенные усилия и банка, и самого клиента. Пока клиенты к таким усилиям не готовы.