По нулям | Большие Идеи

・ Корпоративный опыт


По нулям

Генеральный директор агентства маркетинговых коммуникаций и исследований обнаруживает, что со счета его фирмы пропали деньги. Как их вернуть и можно ли обезопасить себя от мошенничества?

Автор: Артем Генкин

По нулям

читайте также

Держать дистанцию

Ирина Пешкова

Что делать, если вам кажется, что вы хуже остальных

Нихар Чхая

Революционная технология для медицины

Диксон Рональд

Как планировать офисные дни, которые сотрудники не захотят пропускать

Эрика Кесвин

Культура чаепития в Агентстве маркетинговых коммуникаций и исследований всегда была на высоте. Поэтому, когда во вторник утром генеральный директор агентства Олег Грамматиков налил себе чаю — впервые в новом офисе, — он приготовился хорошо провести время. Как будто не было хлопот с переездом, коробок, вечно спешащих грузчиков, перегородившей двор бетономешалки, из-за которой погрузка затянулась вдвое, трудностей со сборкой дорогой мебели. Не зря говорят, что переезд равняется двум пожарам.

Сюрприз от ФМ

Весь понедельник сотрудники агентства просидели на чемоданах. После обеда в офис наконец приехал вечно жалующийся на свою тяжелую долю представитель компании «АЙТИ-Сервисы», которой агентство доверило обслуживание «компьютерного парка», и под контролем секретарши Анечки подсоединил все провода к нужным разъемам.

Сегодняшний день обещал быть более спокойным. Олег устроился в кожаном кресле, поставил перед собой чашку с молочным улуном и, как обычно, вошел в программу интернет-банкинга. С прошлого вторника на счету компании лежали деньги, полученные от главного заказчика агентства, — их Олег планировал пустить на оплату аренды офиса.

Последние три года Олег не мог нарадоваться на свой банк. До января 2010-го банк носил имя, напоминавшее о связи с крупным промышленным холдингом; потом, когда менеджеры выкупили его у старого владельца, банк переименовали в «Инновационный». По профессиональным контактам Олег знал и высоко ценил банковских маркетологов и, доверяя их работе, доверял и всему банку — тем более что за три года банк ни разу не задержал платежи, несмотря ни на какие кризисы.

Войдя в программу интернет-банкинга, Олег обомлел: остаток на расчетном счете компании составлял 3100 рублей 16 копеек. Не понимая, в чем дело, Олег открыл выписку из операций по счету — и узнал судьбу остальных денег. Пятьсот восемьдесят тысяч рублей были переведены накануне, в понедельник, на счет некоего Чувылихина Ф.М. Назначение платежа Олега бы не удивило, если бы платеж находился не в дебетовом, а в кредитовом разделе выписки. Однако программа врать не могла: вчера агентство маркетинговых коммуникаций и исследований заплатило указанную сумму незнакомому гражданину «по счету №5» за «маркетинговые коммуникации и исследования»!

В силу специфики своей работы Олег разбирался в интернет-маркетинге и интересовался современными технологиями сетевой рекламы. Как пользователь он применял достижения новой электронной эпохи и страдал от ее недостатков (например, от спама в электронной почте). Конечно, он видел в блокбастерах, как хакеры уводят миллионы со счетов наркобаронов в офшорных банках, но реальной угрозы со стороны хакеров никогда не чувствовал. До этого момента Олег считал, что интернет вполне дружелюбен и практически безопасен.

Итак, в нескольких вещах Олег был абсолютно уверен. Во-первых, вчерашний день он провел в трезвом уме и твердой памяти, притом вдали от офиса. Во-вторых, доступ к интернет-банкингу был только у него. Дискету для входа в программу он всегда носил с собой; логин и пароль нигде не записывал, благо память на длинные комбинации цифр его никогда не подводила. В-третьих, компьютеры в понедельник еще не были подключены к интернету. Впрочем, это надо было проверить...

Еще надеясь, что речь идет о недоразумении, Олег развил лихорадочную активность.

— Аня, свяжись с банком «Инновационный», постарайся дозвониться до их службы безопасности и клиентского управления. Свяжешься — сразу передавай трубку мне. И попутно опроси сотрудников, знакома ли кому-нибудь фамилия Чувылихин.

— А имя и отчество у него какие, Олег Викторович? Может, они его по фамилии не знают? — пискнула Аня, догадавшаяся по интонации шефа, что происходит нечто экстраординарное.

— Ф.М. его имя-отчество. Как радиостанция. Или как у Достоевского. Ну что, ты связалась с банком? — В голосе Олега сквозило нетерпение.

— Да-да, Олег Викторович! С клиентским управлением. Вам еще чаю?

— Чаи потом гонять будем, — буркнул Олег и взял телефонную трубку.

Начало расследования

Голос начальницы клиентского управления банка звучал успокаивающе, как у стоматолога. Впрочем, свое дело она знала: установив личность Олега и удостоверившись, что он действительно располагает правом первой подписи от имени агентства с применением электронно-цифровой подписи, она нашла детали платежа и сообщила, что пропавшая сумма вчера же была списана банком «Инновационный» в адрес банка «Фениксъ», в котором и находился счет получателя платежа (инициалы которого совпадали с инициалами классика русской литературы, так много написавшего о страстях и обманах).

— Что же делать? — растерянно спросил Олег.

— Подробно изложите все факты в письменном заявлении и подвезите его нам сегодня. А я подключу нашу службу безопасности, — ответила сотрудница банка и положила трубку.

До разговора с эсбешником «Инновационного» Олег успел сделать два важных дела: допил остывший чай и, опросив своих сотрудников, добавил к расследованию пару фактов. Диковинного получателя платежа никто не знал. Компьютер Олега в понедельник до четверти восьмого вечера простоял в коробке, выключенный и разобранный. В «Инновационном» банковский день для пользователей интернета заканчивался в 18:00, значит, с этого компьютера подложный платеж не уходил.

Эсбешник в трубке был корректен. Спросил, стоит ли на компьютере

антивирус («Да, лицензионный и регулярно обновляемый», — ответил Олег); не увольнялся ли в последнее время кто-либо из сотрудников ИТ-департамента («Компания у нас маленькая, ИТ-департамента нет»). Олег чувствовал: собеседник, как и он сам, не знает, в каком направлении копать.

В конце концов Олег пообещал сообщить эсбешникам, когда его сотрудники подвезут в банк заявление, и попросил держать его в курсе дел. Затем он вызвал штатного юриста Юрия Петровича и дал ему час на составление заявления. После этого связался с Ильей, молодым руководителем «АЙТИ-Сервисов». Тот рассказал Олегу, что по похожей схеме у его друзей недавно похитили 150 тысяч рублей со счета физического лица, выведя их на подставного человека в другом банке. Илья посоветовал подать заявление в милицию, чтобы возбудить уголовное дело. Олег дал юристу еще полчаса и велел написать второе заявление — в органы внутренних дел.

Следующим шагом было совещание с сотрудниками, которое мало что прояснило. Впрочем, два звоночка все-таки прозвучали. Сначала 23-летний аналитик Виталий сообщил, что месяца два назад к нему приходил университетский друг и пытался с флэшки закачать ему на компьютер фотографии вечеринки, но антивирус возмущенно отверг флэшку из-за обилия троянов. Виталий клялся, что пролечил флэшку и, не открывая, вернул ее владельцу с напутствием соблюдать ИТ-гигиену. Олег, понимая, что это вряд ли было причиной электронной кражи (его компьютер на пароле и к офисной сети не подключен), в сердцах лишил Виталика обещанной премии. Потом курьер Коля отреагировал на упоминание банка «Фениксъ». Он вспомнил, что в телевизионной рекламе банка звучал слоган «Десять в одном»: десять пальцев рук символизировали в нем десять разных счетов, которые получал клиент банка «Фениксъ». «Десять счетов по цене одного. Нужен только паспорт», — сулила реклама. Мысленно пообещав толковому курьеру повышение, Олег вернулся в свой кабинет, на всякий случай отключил компьютер и попросил Анечку принести «разъездной» ноутбук.

С ноутбука Олег зашел на сайт «Феникса» и быстро установил, что действительно, предъявив паспорт и заполнив простую анкету, каждый совершеннолетний резидент РФ мог открыть в любом отделении банка единый счет с десятью субсчетами, по каждому из которых лимит снятия составлял триста тысяч рублей в день. Кроме того, в стоимость годового обслуживания единого счета (тысяча рублей) входило изготовление и обслуживание дебетовой карточки, а также комплект для интернет-банкинга.

Юрист

В кабинете показалась плешивая голова юриста.

— Юрий Петрович, ты что, досрочно задание выполнил?

— Нет. Я в процессе. Просто у меня тут пара вопросов. Можно?

— Валяй.

— Вопрос первый. Мы готовим заявление в органы. По какому адресу мы его будем подавать?

— А как по закону положено?

— Вообще-то положено по месту совершения преступления, но… где оно, это место?

Олег задумался. Если деньги ушли на счет неведомого «физика» в чужом банке, то место преступления — это местонахождение компьютера, с которого отправили подложное платежное поручение. Но это место Олегу неизвестно. А если получивший деньги «физик» снял их в банкомате, то местом преступления можно было бы считать место расположения банкомата… если бы преступник сообщил его жертвам. Но он не удосужился это сделать. У «Феникса» всего-навсего две тысячи банкоматов — какой из них считать местом преступления? А если преступники воспользовались несколькими банкоматами, и не обязательно фениксовскими?

— Юрий Петрович, ты это… не усложняй. — Олег, кажется, нашел решение проблемы. — Мы пострадавшая сторона?

— Разумеется.

— Вот и подавай заявление по нашему юридическому адресу. А второе — по месту нахождения головного офиса «Инновационного». И принеси мне, кстати, наш с ними договор банковского счета.

— Уже принес. С ним и связан мой второй вопрос. Мне кажется, что банк в этой ситуации ни за что не отвечает.

— Как это?! Ведь у них наш счет, с которого деньги обманом увели невесть куда!

— Олег Викторович, вы дали мне два срочных задания… и у меня на них остался всего час. Давайте я, чтобы вас не подвести, пойду их доделывать, а вы пока поизучаете договор с банком — может, какие-нибудь соображения возникнут. — Дипломатичный юрист бочком выкатился из кабинета.

Айтишник

Айтишник Илья примчался в агентство до того, как курьер отвез заявление в банк. Заподозрить его в обмане было трудно: лицо Ильи светилось от гордости, как у профессионала-механика, объясняющего дилетантам, почему красавец «мерседес» заглох посреди деревенской площади.

— Понимаешь, Олег, — разглагольствовал Илья, по обыкновению тыкая старшему товарищу, — наверняка твой Эф-Эм Чувылихин окажется бомжом, который за сто баксов или за бутылку водки на сутки ссудил свой паспорт добрым людям и открытую на свое имя карточку даже в руках не держал.

— Погоди, допустим, Чувылихин — подставное лицо. Но ведь установить адрес, с которого в банк было подано платежное поручение, можно?

— Можно. Но тут много «если». Если будет возбуждено уголовное дело… Ты, кстати, в милицию заявление подал?

— Вечером отвозим. Так какие еще там «если»?

— Второе «если» — это если сотрудник органов настойчиво попросит интернет-провайдера сообщить ему IP-адрес. Третье — если провайдер решит помочь органам и без проволочек ответит. Четвертое — если искомый адрес окажется достоверным и не будет принадлежать какому-нибудь интернет-кафе.

— То есть итог предсказуем: «И вышел обратно на Дерибасовскую».

— Ты еще скажи спасибо, что благодаря нам вас самих не привлекут как обвиняемых!

— Илья, ты это… говори, да не заговаривайся! — Олег даже поперхнулся. — Нас-то за что? Вроде бы не мы украли, а у нас!

— А наши доблестные органы иначе рассуждают. Раз воспользовались вашим входом, значит, с вашего компа пароль украли. Вот они и забирают ваш жесткий диск на анализ наличия вредоносного вирусного ПО, — пояснил довольный Илья.

— Ну, забирают и забирают. Из этого не следует, что мы из потерпевших превращаемся в виноватых. Ты, компьютерный гений, яснее излагай свои парадоксы, а то я сейчас в состоянии аффекта — могу и «монитор» кое-кому испортить!

— Остынь, Олежек. Я же говорю, вам уголовное преследование не грозит. Потому что стараниями моей конторы на компьютерах твоей конторы нелицензионного ПО нет. Мы же сами вам, помнишь, на несколько тысяч долларов оформляли покупку лицензий.

— Спасибо, мил-человек, утешил! — Олег взял себя в руки, но в голосе его ощущался сарказм. — Если б не ваше усердие…

— …то вас бы взяли за одно место как нарушителей прав Билла Гейтса.

— А как быть с тем, что установленное тобой антивирусное ПО не отловило хакерский вирус?

— Ты уверен, что дело именно в вирусах, а не в банальном инсайде у тебя в компании?

— Уверен, у меня инсайда нет. Насчет инсайда в банке вопрос, конечно, другой, но, по идее, репутация банка на порядки дороже украденной суммы. Наверное, у него и кадровая политика строгая, и процедуры борьбы с мошенничеством имеются.

— Пойми, ламер, — голос Ильи отечески потеплел, как всегда, когда он говорил с малосведущими в тонких компьютерных материях, — антивирус, как резиновое изделие, не дает стопроцентной гарантии. Более того, все известные вирусы попадают в библиотеку антивирусного ПО не сразу, а через какое-то время — до этого момента антивирус не обеспечивает противоядия. Ну и, наконец, есть вирусы, которые пишутся за большие деньги на заказ — они могут сокрушать оборону всех известных антивирусных систем. Правда, красть с их помощью твоих 580 тысяч рублей — это все равно что межконтинентальной баллистической ракетой стрелять по комарам. Глупо и нерентабельно. В общем, дело темное.

Закончился разговор тем, что Олег заказал Илье аудит ИТ-безопасности компьютеров своей компании, попросив беспощадно выкорчевывать все игры, болталки, порнуху, фотографии домашних питомцев с любого компьютера, невзирая на лица и должности. А-ля гер ком а-ля гер.

Последние новости

К позднему вечеру диспозиция была такова. Банк принял заявление и поставил в общем отделе штамп о приеме, но комментариев не дал. В отделении милиции по месту расположения банка заявление принимать отказались. «Вы уже третьи за сегодня», — сказали там курьеру агентства и дали адрес отдела ГУВД, занимающегося экономическими преступлениями. Илья не выявил на компьютерах сотрудников подозрительной вирусной активности.

Олег перечитал договор с банком и понял, что составлен он филигранно. С одной стороны, банк не имел права ограничивать клиента в распоряжении принадлежащими средствами на его расчетном счете. С другой стороны, банк снимал с себя всякую ответственность за последствия компрометации ключа электронно-цифровой подписи. Получалось, что это не хакер обманным путем завладел логином и паролем клиента, а клиент сам, добровольно, шел по улице и расклеивал на каждом доме объявления со своими конфиденциальными данными. По мнению банка, платежное поручение в адрес дорогостоящего частного маркетолога (даже не индивидуального предпринимателя, а простого физического лица) производил не неведомый хакер, а сам клиент, естественно, на свой страх и риск.

В среду произошли еще три события. Начальница клиентского управления банка сообщила Олегу, что платежка в адрес Чувылихина была отправлена примерно в час дня и списана из банка двухчасовым рейсом. Банкирша посетовала, что коллеги из «Феникса» не стали с ней общаться. Эсбешники были удачливее. Чувылихин по их информации действительно существовал, был прописан в Комсомольске-на-Амуре и недавно заявил об утере паспорта. Деньги были сняты по карточке со счета Чувылихина в Иркутском филиале банка «Фениксъ» в пять утра во вторник. ДЭБовцы приняли заявление, но обещали подъехать не раньше середины следующей недели. В личной беседе они сообщили, что завалены аналогичными делами, причем на более крупные суммы.

В своей почте Олег нашел письмо от Ильи со ссылкой, которая вела на сайт компании, предлагающей решения в области безопасных интернет-платежей. Олега заинтересовал анонс исследования, проведенного компанией в 2009 году. Из релиза следовало, что ежегодно в мире каждый двухсотый клиент банка становится жертвой фишинговых атак и потери составляют от двух до десяти миллионов долларов на каждый миллион клиентов онлайн-банкинга.

А в корпоративной почте в папке «Спам» внимание Олега привлекло письмо, озаглавленное «Маркетинговые коммуникации недорого для Агентства маркетинговых…» Непроизвольно Олег кликнул на сообщение. В нижнем правом углу компьютера встрепенулся антивирус: «Попытка загрузки фишинговой ссылки. Сеанс прекращен».

Как агентству вернуть свои деньги и обезопасить себя от мошенничества? Ситуацию комментируют эксперты.

Сергей Иванов, генеральный директор компании «7000» — Новые Технологии Защиты информации

В этой истории привлекают внимание несколько фактов: сумма перевода частному лицу не превышает 600 тыс. рублей — следовательно, не подлежит банковскому контролю; преступник использовал распространенное основание для платежа; создателю счета обеспечена анонимность; наличные средства сняты со счета через банкомат. Все это говорит о том, что деньги у агентства пропали не случайно и кража не была спонтанной.

Следует обратить внимание и на то, что обязательства банка, перечисленные в договоре, не подразумевают его ответственности в случае утечки данных авторизации. То есть юридические службы банка подготовились к такой ситуации. Да и сам герой допускал возможность атаки и добросовестно использовал средства защиты доступа, предложенные службой информационной безопасности банка.

Что касается причины кражи, наиболее вероятной мне кажется утечка данных для авторизации — сертификата (или ключевой пары для системы шифрования), с помощью которого проставляется ЭЦП на заявках. И не важно, был злоумышленник хакером, знакомым с клиентским интерфейсом банка, инсайдером, обладающим полным правом доступа, или автором вируса, копирующего ключевую информацию и пароли. Главное, что такое копирование вообще оказалось возможным. И виновата в этом, как мне представляется, служба информационной безопасности банка: рекомендованные им меры безопасности были неадекватны реальной угрозе. Разработчики системы доступа к управлению счетами (веб- или банк-клиента) применяют устаревшие методики обеспечения безопасности — хранение ключевых данных на дискете. А ведь уже более десяти лет на рынке представлены средства защиты, позволяющие использовать сертификаты и ключевые пары, но не позволяющие их копировать. И стоят они меньше 1000 рублей.

На месте героя я бы обратился к руководству банка с заявлением о том, что их меры по обеспечению безопасного доступа к счету несовременны и недостаточны, и попросил в полюбовном порядке возместить хотя бы часть утраченных средств. Если банк на это не пойдет, я бы посчитал своим долгом публично заявить о нанесенном мне финансовом ущербе.

Хотя доказать вину банка невозможно, в уязвимости системы безопасности банка, обусловленной использованием дискет для хранения ключевой информации, сомневаться не приходится.

Для предотвращения подобного рода инцидентов, кроме стандартных мер безопасности (антивирусная защита, межсетевое экранирование, прописанные в договорах обязательства и ответственность аутсорсеров при обеспечении безопасности и т.п.), я бы рекомендовал использовать смарт-карты и электронные ключи (токены) — средства, не позволяющие копировать и тиражировать данные авторизации.

Кирилл Труханов, руководитель арбитражной группы юридической фирмы VEGAS LEX

Проблема, с которой столкнулся герой этой истории, не нова. А благодаря повсеместному распространению системы Банк-Клиент, позволяющей дистанционно управлять банковским счетом, эта проблема приобретает все большую актуальность.

Еще недавно мошенники завладевали денежными средствами, подделывая платежные поручения. Пропажа денег с расчетного счета порождала судебные споры между банками и их клиентами. По таким спорам судебная практика сформировалась еще в конце 1990-х на уровне ВАС РФ. Взыскать убытки с банка во многих случаях довольно сложно, но зачастую вполне реально.

Развитие компьютерных технологий заставило совершенствоваться и мошенников. На сегодняшний день арбитражные суды рассмотрели солидное количество споров, связанных с «неожиданным» для пользователя системы Банк-Клиент уменьшением остатка на банковском счете.

Вопрос о том, как не стать жертвой мошенников, скорее, технический, и все мы знаем на него примерный ответ: больше внимания уделять компьютерной безопасности. Гораздо более интересным и неоднозначным представляется вопрос о том, как вернуть свои деньги. Можно возместить убытки за счет банка, мошенников или лица, на банковский счет которого были переведены деньги. С практической точки зрения актуальны первые два варианта.

Интереснее всего, конечно, взыскать убытки с банка. Арбитражная практика, однако, складывается в пользу банков, и, чтобы добиться своего, герою понадобятся действительно талантливые и креативные юристы, которым нужно будет доказать в суде нарушение банком его обязательств и вину банка в списании денежных средств.

Для взыскания ущерба непосредственно с мошенников есть все основания, однако правоохранительные органы должны этих мошенников найти. И в такой ситуации позиция потерпевшего ни в коем случае не должна быть пассивной. Необходимо оперативно обратиться в правоохранительные органы и в службу безопасности банка и предоставить им максимум информации, которая поможет установить правонарушителей. Порой эти несложные действия могут привести к ощутимому практическому результату.