Копеечка к копеечке: как грабят банки на округлении..

Закрытые банкосвкие информационные системы, над которыми трудятся десятки высокооплачиваемых программистов, иногда терпят убытки на «забавных» уязвимостях, которые не исправляются годами. В проектах на основе открытого исходного кода, в том числе криптовалютах, подобные уязвимости обнаруживаются и устраняются значительно быстрее.

Эксперты Positive Technologies (компания, которая специализируется на вопросах безопасности дистанционного банковского обслуживания) рассказали о давно известном виде «полузаконного» заработка, когда некоторые продвинутые пользователи интернет- и мобильного банка умудряются делать из воздуха по 10–15 тысяч рублей в месяц, используя простое округления чисел при обмене валют. Эта схема стала активно использоваться в конце 2015 – 2016 году.

Схема получения подобного сомнительного дохода элементарна. Например, с помощью услуги интернет-банкинга злоумышленник переводит 30 копеек в доллары США. При курсе доллара 65 к 1 эта баснословная сумма приравнивается к $0.004461. По правилам банков, при конвертации она округляется до двух знаков после запятой — то есть до $0.01 (что соответствует 1 центу). Предприимчивый клиент банка переводит 1 цент США обратно в рубли и получает обратно 65 копеек! Таким образом, за одну операцию нарушитель получает буквально из воздуха 36 копеек, то есть почти вдвое больше исходной суммы. По подсчетам специалистов, с помощью подобной схемы можно «заработать» до 15 тыс. руб. в месяц.

Подобные схемы называются «атаками на округление». Банковские клиенты начали активно использовать их в условиях кризиса, выявляя уязвимость систем дистанционного обслуживания банков. По оценкам специалистов Positive Technologies, до 25% дистанционных систем обслуживания российских банков (интернет- и мобильный банк) подвержены «атакам на округление». 

Тимур Юнусов, старший эксперт отдела безопасности банковских систем Positive Technologies, рассказывает, что «атаки на округление» осуществляются клиентами банков для мелких краж (суммы до 15 тысяч рублей в месяц), которые складываются из копеек, чтобы кредитная организация не обратила внимание на махинации. Банки не распространяют информацию о таких небольших денежных потерях. 

«О краже 10 тысяч рублей в течении месяца рассказывать не станут. Информация по хищениям и утечкам обычно становится гласной, если крадут деньги у клиентов, либо сумма ущерба банка исчисляется миллионами.»

По мнению эксперта, для противостояния авторизованным ворам банки могут оптимизировать алгоритмы округления: ограничить нижнюю сумму перевода или ввести проверку «в обе стороны» (при снятии 0.01$ заново высчитывать сумму снятия с рублевого счета). И очень странно, что такая простая защита до сих пор не используется большим количеством банков.

Ещё одним вариантом получения дополнительного дохода не совсем законным путём является так называемая «отложенная конвертация»: клиент создает поручение на обмен валюты в интернет-банке и ждет выгодного для себя курса, чтобы осуществить операцию. 

Если курс изменяется в выгодную для него сторону, он проводит операцию по «старому», более выгодному на текущий момент курсу, который запомнила система (распоряжение уже создано, осталось только подтвердить совершение операции введением пароля). Если курс изменяется в невыгодную для клиента сторону, он отменяет операцию.

В Positive Technologies отметили, что «атаками на округление» занимаются и хакеры, которые также используют эту практику после взлома интернет- или мобильного банка клиентов российских банков. Кибермошенники атакуют системы небольших кредитных организаций за пределами топ 100, по активам так как их дистанционные системы защищены не так хорошо, как у крупных игроков.

1 апреля 2016 года Банк России объявил о снижении объема хищений средств с карт россиян почти на треть — до 1,14 млрд рублей по итогам 1015 года. Артём Сычев, заместитель начальника главного управления безопасности и защиты информации Центробанка, сообщил, что объемы хищений с карт граждан и корпоративных счетов в 2016 году продолжат снижаться.

Он считает, что в 2016 году деятельность кибермошенников в первую очередь будет направленна на корпоративные счета банков. По прогнозам ЦБ, объем хищений с корсчетов банков по итогам 2016 года составит около 4 млрд рублей.