Group-IB оказала содействие Управлению «К» МВД России в расследовании, результатом которого стало пресечение деятельности злоумышленника, занимавшегося хищениями денежных средств физических лиц через системы дистанционного банковского обслуживания.
За время противоправной деятельности ему удалось получить персональные данные свыше 5 000 клиентов российских банков. Особенность преступной схемы заключалась в использовании вредоносной программы, позволяющей обходить системы подтверждения платежей по СМС.
Экспертиза, проведенная специалистами Group-IB по заказу Сбербанка России, показала, что злоумышленник использовал вредоносную программу Carberp. Установленная несанкционированно на компьютере клиента банка, она использовала веб-инжекты для получения пользовательских данных. В случае перехода пользователя на одну из целевых страниц вредоносной программы Carberp, исполняющейся в контексте программы браузера, происходило внедрение HTML-кода в отображаемые пользователю страницы. Пример такой модифицированной страницы приведен на рисунке 1. (В данном случае поле «номер телефона» является лишним).
Рисунок 1. Страница, модифицированная вредоносным ПО
Таким образом, ничего не подозревая, помимо логина и пароля потенциальная жертва указывала номер мобильного телефона. При помощи полученных данных и методов социальной инженерии злоумышленник клонировал сим-карты в салонах сотовой связи, что позволяло обходить смс-подтверждения платежей.
В результате расследования, проведенного сотрудниками Управления «К» при поддержке Group-IB и Сбербанка России, установлен автор веб-инжектов и администратор сервера, куда отправлялись похищенные идентификационные данные. Им оказался сорокалетний житель Тольятти, программист по образованию, который занимался преступным бизнесом с августа 2011 года.
«Расследование данного дела с момента первого обращения пострадавшего лица в Group-IB до задержания мошенника было проведено в рекордно короткие сроки — менее шести месяцев. Таким образом, нам удалось предотвратить хищение денежных средств клиентов российских банков на сумму около 1 млрд. рублей, — отмечает Илья Сачков, генеральный директор Group-IB. — Это первое дело, которое было реализовано в рамках объединения European Cyber Security Federation (ECyFed), куда входят Group-IB, CyberDefcon и CSIS».
По данному факту возбуждено и направлено в суд уголовное дело по ст. 273 УК РФ (создание, распространение или использование компьютерных программ либо иной компьютерной информации).
