Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Если речь идет о компьютере, используемом для работы с какой-либо системой ДБО, то заливщик, как правило, лично внимательно его изучает. Для этого устанавливается скрытое подключение по протоколу удаленного управления. Существует несколько способов организации такого подключения при помощи штатных средств операционных систем (например, по протоколу RDP (Remote Desktop Protocol) операционных систем Microsoft) или дополнительных вредоносных программ, так называемых бэкдоров. Часто они сделаны на основе модифицированных коммерческих программ (Team Viewer, Virtual Network Computing (VNC), Ammy и др.). Необходимый для такого подключения функционал уже содержится в составе банковских троянов либо для этого на бот устанавливается дополнительный модуль или дополнительная троянская программа-бэкдор, у которой может быть свой собственный центр управления. Заливщик никогда не устанавливает соединение с ботом напрямую со своего сетевого адреса. Для сокрытия адреса используются различные технические решения (об этом будет сказано далее).

Установив такое соединение, заливщик фактически дистанционно использует зараженный компьютер: изучает имеющиеся ЭСП, документацию, касающуюся их использования (если таковая имеется), просматривает архив операций по счетам, анализирует закономерности движения денежных средств, стандартные размеры и формулировки назначения платежей. При правильном применении средств удаленного администрирования этот факт остается незаметным для пользователя компьютера даже при работе одновременно с заливщиком. Однако сбои или недостатки в работе удаленного управления иногда происходят, и тогда пользователь может заметить появление новых неизвестных учетных записей, запуск программ, явное замедление работы компьютера или, например, странные движения курсора по экрану.

При работе заливщика с некоторыми простыми платежными инструментами (например, электронными кошельками операторов по переводу электронных денежных средств, имеющими простую защиту) либо при использовании троянских программ с функционалом автозалива удаленное подключение к ботам не требуется. В первом случае для совершения хищения достаточно тех аутентификационных данных, которые копирует троянская программа на компьютере или устройстве потерпевшего и которые доступны в центре управления ботнетом. Во втором случае заливщик изучает параметры бота и состояние счета по сведениям, накопленным в центре управления. Там же производится настройка автозалива и автоподмены. Эти функции вредоносной программы позволяют произвести перевод денежных средств с использованием имеющегося у бота ЭСП в автоматическом режиме. В зависимости от возможностей вредоносной программы либо платеж совершает сама программа, либо при совершении платежа легальным пользователем незаметно для него подменяется назначение платежа. Чаще всего автозалив используется банковскими троянами для мобильных устройств.

Работая с выбранным ботом, заливщик иногда длительное время ждет появления денежных средств на счете. Так, например, хищение 8 млн руб. у одного из московских заводов в 2011 г. было совершено в день выплаты заработной платы сотрудникам, хотя заражение вредоносной программой произошло за несколько недель до этого. Заливщик, изучив статистику движения по счету, терпеливо ожидал ежемесячного поступления денежных средств.

Если сумма денежных средств, обнаруженных на счете и доступных для хищения, удовлетворяет заливщика, то перевод денежных средств осуществляется практически при первой же возможности – иногда в течение нескольких часов после заражения троянской программой. Для этого заливщик должен располагать реквизитами счета (или счетов), на которые будет осуществлен перевод. Как уже было сказано в предыдущем параграфе, поставкой таких счетов занимаются нальщики. Непосредственно перед совершением хищения заливщик и нальщик согласовывают его детали: какие счета использовать, какие суммы и на какой счет перевести, какие дальнейшие операции предпринять с деньгами. Кроме того, если стороны не работают друг с другом на постоянной основе или в составе устойчивой группы, достигается договоренность о сумме вознаграждения нальщика, гарантиях, предоставляемых заливщику, и порядке передачи ему остатка выведенных денежных средств.

Момент совершения, сумму и назначение перевода денежных средств заливщик выбирает с учетом всех известных ему данных, а также возможностей используемых вредоносных программ. Учитывается возможная реакция легального пользователя компьютера, если предполагается, что у него останется доступ к истории платежей или что ему по внеполосовому каналу связи (телефону) поступит сообщение от оператора по переводу денежных средств. Также учитывается реакция сотрудников банка (если похищаются деньги с банковского счета), проверяющих поступившие платежные поручения. Часто хищения производятся ближе к окончанию рабочего (или банковского) дня, когда внимание пользователей и сотрудников банков ослаблено.