После затишья более чем в полгода совершена успешная хакерская атака на банк — ПИР-банк лишился более 58 млн руб. с корсчета в Банке России.

Похищенные средства выводились на счета в 22 крупнейших банках и были обналичены в различных регионах страны. Ранее в ЦБ заверяли, что подобных атак больше не будет. Новое хищение грозит не только серьезными проблемами атакованному банку, но и представляет угрозу для всего банковского рынка.

Представители сразу нескольких кредитных организаций сообщили “Ъ”, что на этой неделе была совершена первая хакерская атака на банк в 2018 году. По словам одного из собеседников “Ъ”, атакован ПИР-банк (329-е место по активам). Другой источник “Ъ” уточнил, что с его корсчета в ЦБ в ночь на 4 июля злоумышленники вывели, по самым скромным подсчетам, более 58 млн руб.

В ПИР-банке подтвердили факт атаки. По словам председателя правления банка Ольги Колосовой, на данный момент сложно точно оценить размер хищения. «Вывод части похищенных средств удалось остановить, но уже понятно, что большая часть потеряна безвозвратно»,— уточнила она. Как пояснила госпожа Колосова, денежные средства выведены веерной рассылкой на пластиковые карты физических лиц в 22 банках из топ-50, большая часть денежных обналичена уже в ночь хищения.

Вирус, которым атакован банк, не подлежит идентификации имеющимися сейчас средствами, что было подтверждено сотрудниками ФинЦЕРТ, с наибольшей вероятностью вирус проник в банк через фишинговое письмо»,— отметила госпожа Колосова.

Банк был вынужден 4 и 5 июля прекратить работу, поскольку «скомпрометированы ключи» (злоумышленники фактически получили полный доступ к автоматизированному рабочему месту клиента Банка России, АРМ КБР, и могли выводить деньги с корсчета банка в ЦБ). «С 6 июля работа возобновится»,— заверила Ольга Колосова.

В ЦБ также подтвердили хакерскую атаку, но подробностей не раскрывают, ограничиваясь сдержанными комментариями.

ФинЦЕРТ проводил все необходимые мероприятия, и мы продолжаем детальный анализ ситуации, до его завершения делать выводы преждевременно»,— заявили в Банке России.

Атаки на банки, когда денежные средства выводились через платежную систему Банка России, были бичом кредитных организаций в 2016 году. Тогда хакеры похитили 1,5 млрд руб. Осенью 2017 года, презентуя отчет ФинЦЕРТ, ЦБ заверял, что более атак на АРМ КБР не будет. Тем не менее до конца года прошло две атаки с выводом средств с корсчета в ЦБ, общий ущерб от которых составил 54 млн руб.

По словам аналитиков, хищение средств существенно не нарушит финансовую устойчивость банка. «Запас капитала ПИР-банка по состоянию на 1 июня потенциально может выдержать убыток до 740 млн руб. до снижения норматива Н1.0 к критическому минимуму 8%»,— отмечает младший директор по банковским рейтингам «Эксперт РА» Иван Уклеин. В то же время сама атака с учетом отдельных показателей банка может привлечь к нему внимание регулятора. Запас над минимальным требованием по капиталу в 1 млрд руб. совсем небольшой — всего 67,6 млн руб. Кроме того, банк резко сократил масштабы деятельности. Если в 2015 году кредитный розничный портфель составлял 3,8 млрд руб., то к лету 2018 года сократился до 570 млн руб. По оценке Ивана Уклеина, за последние 12 месяцев расходы банка почти вдвое превышают доходы от операционной деятельности. При этом банк поддерживает значительную долю активов в виде наличных денежных средств, а оборот по кассе очень высокий. Обращают на себя внимание и почти непрерывные перераспределения небольших долей собственников (до 10%) в последние полтора года, отметил Иван Уклеин. Ранее и. о. главы департамента по информационной безопасности Артем Сычев отмечал, что уже трижды ЦБ отзывал лицензии у банков за низкий уровень информбезопасности. Он также отмечал, что были два случая вывода активов из банка под видом хакерской атаки.

Данная атака будет иметь последствия и для всего рынка. «Необходимо понимать, что подобной атаке может подвергнуться любой банк, даже тот, кто закупает дорогой софт, делает пентесты и проводит анализ уязвимостей»,— рассуждает начальник управления информационной безопасности Златкомбанка Александр Виноградов. Ведь, по большому счету, для успешной атаки достаточно, чтобы «всего один сотрудник банка единожды открыл фишинговое письмо, которое может выглядеть как письмо клиента банка», резюмировал он.