По нулям

Культура чаепития в Агентстве маркетинговых коммуникаций и исследований всегда была на высоте. Поэтому, когда во вторник утром генеральный директор агентства Олег Грамматиков налил себе чаю — впервые в новом офисе, — он приготовился хорошо провести время. Как будто не было хлопот с переездом, коробок, вечно спешащих грузчиков, перегородившей двор бетономешалки, из-за которой погрузка затянулась вдвое, трудностей со сборкой дорогой мебели. Не зря говорят, что переезд равняется двум пожарам.

Сюрприз от ФМ

Весь понедельник сотрудники агентства просидели на чемоданах. После обеда в офис наконец приехал вечно жалующийся на свою тяжелую долю представитель компании «АЙТИ-Сервисы», которой агентство доверило обслуживание «компьютерного парка», и под контролем секретарши Анечки подсоединил все провода к нужным разъемам.

Сегодняшний день обещал быть более спокойным. Олег устроился в кожаном кресле, поставил перед собой чашку с молочным улуном и, как обычно, вошел в программу интернет-банкинга. С прошлого вторника на счету компании лежали деньги, полученные от главного заказчика агентства, — их Олег планировал пустить на оплату аренды офиса.

Последние три года Олег не мог нарадоваться на свой банк. До января 2010-го банк носил имя, напоминавшее о связи с крупным промышленным холдингом; потом, когда менеджеры выкупили его у старого владельца, банк переименовали в «Инновационный». По профессиональным контактам Олег знал и высоко ценил банковских маркетологов и, доверяя их работе, доверял и всему банку — тем более что за три года банк ни разу не задержал платежи, несмотря ни на какие кризисы.

Войдя в программу интернет-банкинга, Олег обомлел: остаток на расчетном счете компании составлял 3100 рублей 16 копеек. Не понимая, в чем дело, Олег открыл выписку из операций по счету — и узнал судьбу остальных денег. Пятьсот восемьдесят тысяч рублей были переведены накануне, в понедельник, на счет некоего Чувылихина Ф.М. Назначение платежа Олега бы не удивило, если бы платеж находился не в дебетовом, а в кредитовом разделе выписки. Однако программа врать не могла: вчера агентство маркетинговых коммуникаций и исследований заплатило указанную сумму незнакомому гражданину «по счету №5» за «маркетинговые коммуникации и исследования»!

В силу специфики своей работы Олег разбирался в интернет-маркетинге и интересовался современными технологиями сетевой рекламы. Как пользователь он применял достижения новой электронной эпохи и страдал от ее недостатков (например, от спама в электронной почте). Конечно, он видел в блокбастерах, как хакеры уводят миллионы со счетов наркобаронов в офшорных банках, но реальной угрозы со стороны хакеров никогда не чувствовал. До этого момента Олег считал, что интернет вполне дружелюбен и практически безопасен.

Итак, в нескольких вещах Олег был абсолютно уверен. Во-первых, вчерашний день он провел в трезвом уме и твердой памяти, притом вдали от офиса. Во-вторых, доступ к интернет-банкингу был только у него. Дискету для входа в программу он всегда носил с собой; логин и пароль нигде не записывал, благо память на длинные комбинации цифр его никогда не подводила. В-третьих, компьютеры в понедельник еще не были подключены к интернету. Впрочем, это надо было проверить...

Еще надеясь, что речь идет о недоразумении, Олег развил лихорадочную активность.

— Аня, свяжись с банком «Инновационный», постарайся дозвониться до их службы безопасности и клиентского управления. Свяжешься — сразу передавай трубку мне. И попутно опроси сотрудников, знакома ли кому-нибудь фамилия Чувылихин.

— А имя и отчество у него какие, Олег Викторович? Может, они его по фамилии не знают? — пискнула Аня, догадавшаяся по интонации шефа, что происходит нечто экстраординарное.

— Ф.М. его имя-отчество. Как радиостанция. Или как у Достоевского. Ну что, ты связалась с банком? — В голосе Олега сквозило нетерпение.

— Да-да, Олег Викторович! С клиентским управлением. Вам еще чаю?

— Чаи потом гонять будем, — буркнул Олег и взял телефонную трубку.

Начало расследования

Голос начальницы клиентского управления банка звучал успокаивающе, как у стоматолога. Впрочем, свое дело она знала: установив личность Олега и удостоверившись, что он действительно располагает правом первой подписи от имени агентства с применением электронно-цифровой подписи, она нашла детали платежа и сообщила, что пропавшая сумма вчера же была списана банком «Инновационный» в адрес банка «Фениксъ», в котором и находился счет получателя платежа (инициалы которого совпадали с инициалами классика русской литературы, так много написавшего о страстях и обманах).

— Что же делать? — растерянно спросил Олег.

— Подробно изложите все факты в письменном заявлении и подвезите его нам сегодня. А я подключу нашу службу безопасности, — ответила сотрудница банка и положила трубку.

До разговора с эсбешником «Инновационного» Олег успел сделать два важных дела: допил остывший чай и, опросив своих сотрудников, добавил к расследованию пару фактов. Диковинного получателя платежа никто не знал. Компьютер Олега в понедельник до четверти восьмого вечера простоял в коробке, выключенный и разобранный. В «Инновационном» банковский день для пользователей интернета заканчивался в 18:00, значит, с этого компьютера подложный платеж не уходил.

Эсбешник в трубке был корректен. Спросил, стоит ли на компьютере

антивирус («Да, лицензионный и регулярно обновляемый», — ответил Олег); не увольнялся ли в последнее время кто-либо из сотрудников ИТ-департамента («Компания у нас маленькая, ИТ-департамента нет»). Олег чувствовал: собеседник, как и он сам, не знает, в каком направлении копать.

В конце концов Олег пообещал сообщить эсбешникам, когда его сотрудники подвезут в банк заявление, и попросил держать его в курсе дел. Затем он вызвал штатного юриста Юрия Петровича и дал ему час на составление заявления. После этого связался с Ильей, молодым руководителем «АЙТИ-Сервисов». Тот рассказал Олегу, что по похожей схеме у его друзей недавно похитили 150 тысяч рублей со счета физического лица, выведя их на подставного человека в другом банке. Илья посоветовал подать заявление в милицию, чтобы возбудить уголовное дело. Олег дал юристу еще полчаса и велел написать второе заявление — в органы внутренних дел.

Следующим шагом было совещание с сотрудниками, которое мало что прояснило. Впрочем, два звоночка все-таки прозвучали. Сначала 23-летний аналитик Виталий сообщил, что месяца два назад к нему приходил университетский друг и пытался с флэшки закачать ему на компьютер фотографии вечеринки, но антивирус возмущенно отверг флэшку из-за обилия троянов. Виталий клялся, что пролечил флэшку и, не открывая, вернул ее владельцу с напутствием соблюдать ИТ-гигиену. Олег, понимая, что это вряд ли было причиной электронной кражи (его компьютер на пароле и к офисной сети не подключен), в сердцах лишил Виталика обещанной премии. Потом курьер Коля отреагировал на упоминание банка «Фениксъ». Он вспомнил, что в телевизионной рекламе банка звучал слоган «Десять в одном»: десять пальцев рук символизировали в нем десять разных счетов, которые получал клиент банка «Фениксъ». «Десять счетов по цене одного. Нужен только паспорт», — сулила реклама. Мысленно пообещав толковому курьеру повышение, Олег вернулся в свой кабинет, на всякий случай отключил компьютер и попросил Анечку принести «разъездной» ноутбук.

С ноутбука Олег зашел на сайт «Феникса» и быстро установил, что действительно, предъявив паспорт и заполнив простую анкету, каждый совершеннолетний резидент РФ мог открыть в любом отделении банка единый счет с десятью субсчетами, по каждому из которых лимит снятия составлял триста тысяч рублей в день. Кроме того, в стоимость годового обслуживания единого счета (тысяча рублей) входило изготовление и обслуживание дебетовой карточки, а также комплект для интернет-банкинга.

Юрист

В кабинете показалась плешивая голова юриста.

— Юрий Петрович, ты что, досрочно задание выполнил?

— Нет. Я в процессе. Просто у меня тут пара вопросов. Можно?

— Валяй.

— Вопрос первый. Мы готовим заявление в органы. По какому адресу мы его будем подавать?

— А как по закону положено?

— Вообще-то положено по месту совершения преступления, но… где оно, это место?

Олег задумался. Если деньги ушли на счет неведомого «физика» в чужом банке, то место преступления — это местонахождение компьютера, с которого отправили подложное платежное поручение. Но это место Олегу неизвестно. А если получивший деньги «физик» снял их в банкомате, то местом преступления можно было бы считать место расположения банкомата… если бы преступник сообщил его жертвам. Но он не удосужился это сделать. У «Феникса» всего-навсего две тысячи банкоматов — какой из них считать местом преступления? А если преступники воспользовались несколькими банкоматами, и не обязательно фениксовскими?

— Юрий Петрович, ты это… не усложняй. — Олег, кажется, нашел решение проблемы. — Мы пострадавшая сторона?

— Разумеется.

— Вот и подавай заявление по нашему юридическому адресу. А второе — по месту нахождения головного офиса «Инновационного». И принеси мне, кстати, наш с ними договор банковского счета.

— Уже принес. С ним и связан мой второй вопрос. Мне кажется, что банк в этой ситуации ни за что не отвечает.

— Как это?! Ведь у них наш счет, с которого деньги обманом увели невесть куда!

— Олег Викторович, вы дали мне два срочных задания… и у меня на них остался всего час. Давайте я, чтобы вас не подвести, пойду их доделывать, а вы пока поизучаете договор с банком — может, какие-нибудь соображения возникнут. — Дипломатичный юрист бочком выкатился из кабинета.

Айтишник

Айтишник Илья примчался в агентство до того, как курьер отвез заявление в банк. Заподозрить его в обмане было трудно: лицо Ильи светилось от гордости, как у профессионала-механика, объясняющего дилетантам, почему красавец «мерседес» заглох посреди деревенской площади.

— Понимаешь, Олег, — разглагольствовал Илья, по обыкновению тыкая старшему товарищу, — наверняка твой Эф-Эм Чувылихин окажется бомжом, который за сто баксов или за бутылку водки на сутки ссудил свой паспорт добрым людям и открытую на свое имя карточку даже в руках не держал.

— Погоди, допустим, Чувылихин — подставное лицо. Но ведь установить адрес, с которого в банк было подано платежное поручение, можно?

— Можно. Но тут много «если». Если будет возбуждено уголовное дело… Ты, кстати, в милицию заявление подал?

— Вечером отвозим. Так какие еще там «если»?

— Второе «если» — это если сотрудник органов настойчиво попросит интернет-провайдера сообщить ему IP-адрес. Третье — если провайдер решит помочь органам и без проволочек ответит. Четвертое — если искомый адрес окажется достоверным и не будет принадлежать какому-нибудь интернет-кафе.

— То есть итог предсказуем: «И вышел обратно на Дерибасовскую».

— Ты еще скажи спасибо, что благодаря нам вас самих не привлекут как обвиняемых!

— Илья, ты это… говори, да не заговаривайся! — Олег даже поперхнулся. — Нас-то за что? Вроде бы не мы украли, а у нас!

— А наши доблестные органы иначе рассуждают. Раз воспользовались вашим входом, значит, с вашего компа пароль украли. Вот они и забирают ваш жесткий диск на анализ наличия вредоносного вирусного ПО, — пояснил довольный Илья.

— Ну, забирают и забирают. Из этого не следует, что мы из потерпевших превращаемся в виноватых. Ты, компьютерный гений, яснее излагай свои парадоксы, а то я сейчас в состоянии аффекта — могу и «монитор» кое-кому испортить!

— Остынь, Олежек. Я же говорю, вам уголовное преследование не грозит. Потому что стараниями моей конторы на компьютерах твоей конторы нелицензионного ПО нет. Мы же сами вам, помнишь, на несколько тысяч долларов оформляли покупку лицензий.

— Спасибо, мил-человек, утешил! — Олег взял себя в руки, но в голосе его ощущался сарказм. — Если б не ваше усердие…

— …то вас бы взяли за одно место как нарушителей прав Билла Гейтса.

— А как быть с тем, что установленное тобой антивирусное ПО не отловило хакерский вирус?

— Ты уверен, что дело именно в вирусах, а не в банальном инсайде у тебя в компании?

— Уверен, у меня инсайда нет. Насчет инсайда в банке вопрос, конечно, другой, но, по идее, репутация банка на порядки дороже украденной суммы. Наверное, у него и кадровая политика строгая, и процедуры борьбы с мошенничеством имеются.

— Пойми, ламер, — голос Ильи отечески потеплел, как всегда, когда он говорил с малосведущими в тонких компьютерных материях, — антивирус, как резиновое изделие, не дает стопроцентной гарантии. Более того, все известные вирусы попадают в библиотеку антивирусного ПО не сразу, а через какое-то время — до этого момента антивирус не обеспечивает противоядия. Ну и, наконец, есть вирусы, которые пишутся за большие деньги на заказ — они могут сокрушать оборону всех известных антивирусных систем. Правда, красть с их помощью твоих 580 тысяч рублей — это все равно что межконтинентальной баллистической ракетой стрелять по комарам. Глупо и нерентабельно. В общем, дело темное.

Закончился разговор тем, что Олег заказал Илье аудит ИТ-безопасности компьютеров своей компании, попросив беспощадно выкорчевывать все игры, болталки, порнуху, фотографии домашних питомцев с любого компьютера, невзирая на лица и должности. А-ля гер ком а-ля гер.

Последние новости

К позднему вечеру диспозиция была такова. Банк принял заявление и поставил в общем отделе штамп о приеме, но комментариев не дал. В отделении милиции по месту расположения банка заявление принимать отказались. «Вы уже третьи за сегодня», — сказали там курьеру агентства и дали адрес отдела ГУВД, занимающегося экономическими преступлениями. Илья не выявил на компьютерах сотрудников подозрительной вирусной активности.

Олег перечитал договор с банком и понял, что составлен он филигранно. С одной стороны, банк не имел права ограничивать клиента в распоряжении принадлежащими средствами на его расчетном счете. С другой стороны, банк снимал с себя всякую ответственность за последствия компрометации ключа электронно-цифровой подписи. Получалось, что это не хакер обманным путем завладел логином и паролем клиента, а клиент сам, добровольно, шел по улице и расклеивал на каждом доме объявления со своими конфиденциальными данными. По мнению банка, платежное поручение в адрес дорогостоящего частного маркетолога (даже не индивидуального предпринимателя, а простого физического лица) производил не неведомый хакер, а сам клиент, естественно, на свой страх и риск.

В среду произошли еще три события. Начальница клиентского управления банка сообщила Олегу, что платежка в адрес Чувылихина была отправлена примерно в час дня и списана из банка двухчасовым рейсом. Банкирша посетовала, что коллеги из «Феникса» не стали с ней общаться. Эсбешники были удачливее. Чувылихин по их информации действительно существовал, был прописан в Комсомольске-на-Амуре и недавно заявил об утере паспорта. Деньги были сняты по карточке со счета Чувылихина в Иркутском филиале банка «Фениксъ» в пять утра во вторник. ДЭБовцы приняли заявление, но обещали подъехать не раньше середины следующей недели. В личной беседе они сообщили, что завалены аналогичными делами, причем на более крупные суммы.

В своей почте Олег нашел письмо от Ильи со ссылкой, которая вела на сайт компании, предлагающей решения в области безопасных интернет-платежей. Олега заинтересовал анонс исследования, проведенного компанией в 2009 году. Из релиза следовало, что ежегодно в мире каждый двухсотый клиент банка становится жертвой фишинговых атак и потери составляют от двух до десяти миллионов долларов на каждый миллион клиентов онлайн-банкинга.

А в корпоративной почте в папке «Спам» внимание Олега привлекло письмо, озаглавленное «Маркетинговые коммуникации недорого для Агентства маркетинговых…» Непроизвольно Олег кликнул на сообщение. В нижнем правом углу компьютера встрепенулся антивирус: «Попытка загрузки фишинговой ссылки. Сеанс прекращен».

Как агентству вернуть свои деньги и обезопасить себя от мошенничества? Ситуацию комментируют эксперты.

Сергей Иванов, генеральный директор компании «7000» — Новые Технологии Защиты информации

В этой истории привлекают внимание несколько фактов: сумма перевода частному лицу не превышает 600 тыс. рублей — следовательно, не подлежит банковскому контролю; преступник использовал распространенное основание для платежа; создателю счета обеспечена анонимность; наличные средства сняты со счета через банкомат. Все это говорит о том, что деньги у агентства пропали не случайно и кража не была спонтанной.

Следует обратить внимание и на то, что обязательства банка, перечисленные в договоре, не подразумевают его ответственности в случае утечки данных авторизации. То есть юридические службы банка подготовились к такой ситуации. Да и сам герой допускал возможность атаки и добросовестно использовал средства защиты доступа, предложенные службой информационной безопасности банка.

Что касается причины кражи, наиболее вероятной мне кажется утечка данных для авторизации — сертификата (или ключевой пары для системы шифрования), с помощью которого проставляется ЭЦП на заявках. И не важно, был злоумышленник хакером, знакомым с клиентским интерфейсом банка, инсайдером, обладающим полным правом доступа, или автором вируса, копирующего ключевую информацию и пароли. Главное, что такое копирование вообще оказалось возможным. И виновата в этом, как мне представляется, служба информационной безопасности банка: рекомендованные им меры безопасности были неадекватны реальной угрозе. Разработчики системы доступа к управлению счетами (веб- или банк-клиента) применяют устаревшие методики обеспечения безопасности — хранение ключевых данных на дискете. А ведь уже более десяти лет на рынке представлены средства защиты, позволяющие использовать сертификаты и ключевые пары, но не позволяющие их копировать. И стоят они меньше 1000 рублей.

На месте героя я бы обратился к руководству банка с заявлением о том, что их меры по обеспечению безопасного доступа к счету несовременны и недостаточны, и попросил в полюбовном порядке возместить хотя бы часть утраченных средств. Если банк на это не пойдет, я бы посчитал своим долгом публично заявить о нанесенном мне финансовом ущербе.

Хотя доказать вину банка невозможно, в уязвимости системы безопасности банка, обусловленной использованием дискет для хранения ключевой информации, сомневаться не приходится.

Для предотвращения подобного рода инцидентов, кроме стандартных мер безопасности (антивирусная защита, межсетевое экранирование, прописанные в договорах обязательства и ответственность аутсорсеров при обеспечении безопасности и т.п.), я бы рекомендовал использовать смарт-карты и электронные ключи (токены) — средства, не позволяющие копировать и тиражировать данные авторизации.

Кирилл Труханов, руководитель арбитражной группы юридической фирмы VEGAS LEX

Проблема, с которой столкнулся герой этой истории, не нова. А благодаря повсеместному распространению системы Банк-Клиент, позволяющей дистанционно управлять банковским счетом, эта проблема приобретает все большую актуальность.

Еще недавно мошенники завладевали денежными средствами, подделывая платежные поручения. Пропажа денег с расчетного счета порождала судебные споры между банками и их клиентами. По таким спорам судебная практика сформировалась еще в конце 1990-х на уровне ВАС РФ. Взыскать убытки с банка во многих случаях довольно сложно, но зачастую вполне реально.

Развитие компьютерных технологий заставило совершенствоваться и мошенников. На сегодняшний день арбитражные суды рассмотрели солидное количество споров, связанных с «неожиданным» для пользователя системы Банк-Клиент уменьшением остатка на банковском счете.

Вопрос о том, как не стать жертвой мошенников, скорее, технический, и все мы знаем на него примерный ответ: больше внимания уделять компьютерной безопасности. Гораздо более интересным и неоднозначным представляется вопрос о том, как вернуть свои деньги. Можно возместить убытки за счет банка, мошенников или лица, на банковский счет которого были переведены деньги. С практической точки зрения актуальны первые два варианта.

Интереснее всего, конечно, взыскать убытки с банка. Арбитражная практика, однако, складывается в пользу банков, и, чтобы добиться своего, герою понадобятся действительно талантливые и креативные юристы, которым нужно будет доказать в суде нарушение банком его обязательств и вину банка в списании денежных средств.

Для взыскания ущерба непосредственно с мошенников есть все основания, однако правоохранительные органы должны этих мошенников найти. И в такой ситуации позиция потерпевшего ни в коем случае не должна быть пассивной. Необходимо оперативно обратиться в правоохранительные органы и в службу безопасности банка и предоставить им максимум информации, которая поможет установить правонарушителей. Порой эти несложные действия могут привести к ощутимому практическому результату.