Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Вернемся к действиям заливщика. После того как все необходимые операции произведены и действия с нальщиком согласованы, в определенный момент осуществляется несанкционированный перевод денежных средств. В случае хищения с банковского счета формируется платежное поручение, которое передается в банк и поступает в очередь на проверку и отправку. Проверка производится вручную или автоматически в зависимости от правил банка и суммы перевода. Перечисление денежных средств осуществляется по корреспондентским счетам так называемыми рейсами – группами платежей по определенному расписанию. До «постановки в рейс» похищаемые денежные средства из банка не уходят и на счета нальщика не поступают. В этот период наиболее высок риск выявления попытки хищения и блокировки перевода. Что касается электронных денежных средств, то их перевод происходит незамедлительно. В системах денежных переводов и системах по приему платежей, по условиям работы операторов и их агентов/субагентов, платежи обычно считаются совершенными с момента оформления соответствующих операций. Движение денежных средств по банковским счетам происходит в таких системах позднее (иногда весьма значительно), например путем взаимозачетов в конце отчетного периода.

Если для злоумышленников все сложилось удачно, денежные средства сразу или через некоторое время оказываются на счете, предоставленном нальщиком. Пока тот выполняет свою часть работы, заливщик решает судьбу бота. Если это компьютер, при помощи которого только что было совершено крупное хищение, то, как правило, производятся удаление троянской программы и вывод компьютера из строя. Для этого используется функционал самого трояна, если таковой предусмотрен, или дополнительно загружаемая вредоносная программа. Степень повреждения компьютера может быть различной – от кратковременного выведения из строя до тщательного многократного удаления всей информации с жестких дисков. Это необходимо, чтобы предотвратить дальнейший доступ пользователя к ЭСП и списку переводов и, соответственно, раннее обнаружение хищения. Чем дольше пользователь не узнает о хищении, тем больше вероятность успешного вывода денежных средств нальщиком.

Впрочем, выведение из строя бота не является обязательным. Иногда хищение производится несколькими частями или повторяется неоднократно, если заливщик уверен в успешности новых хищений. Так, например, счет крупного регионального оператора по приему платежей «сливался» в течение трех дней. В первый день была переведена сумма около 1 млн руб., во второй день – около 1,5 млн руб. и в третий день – еще около 5 млн руб. Многократность хищений (небольшими суммами) также характерна для мобильных банковских троянов.

Действия нальщика после успешного залива зависят от обстоятельств. Практически всегда первый счет (или первые счета), на который были переведены похищенные денежные средства, является промежуточным, на жаргоне – буферным. Задача нальщика – как можно быстрее перевести денежные средства дальше, в другой банк, другую платежную систему (иногда говорят «перестаивать деньги»). Денежные средства, поступившие на буферный счет одной суммой, могут быть разделены на несколько мелких сумм, которые отправляются на счета, открытые у разных операторов. И наоборот, сумма, похищенная серией небольших переводов, например зачислений на балансы сотовых телефонов или переводов на несколько электронных кошельков, может быть после буферных счетов консолидирована на одном счете и оттуда обналичена. После того как денежные средства прошли через цепочку транзакций, нальщики чаще всего обналичивают их в банкоматах, используя банковские карты. Для этих целей хороший нальщик всегда имеет заранее подготовленный запас «материала» – приобретенных у кардселлеров карт, оформленных на посторонних лиц. Криминальные сервисы, торгующие картами, представлены на всех крупных тематических веб-сайтах (пример: http://forum.beznal.cc/).

Наиболее опасный для нальщика случай – когда имеется необходимость получить наличные деньги в отделении банка, пункте получения и выдачи переводов или обмена электронных валют. Потребность в личном посещении такого пункта или отделения банка возникает и тогда, когда особенно дерзкий нальщик пытается получить денежные средства, заблокированные на каком-либо этапе. Часто в таких ситуациях используются дропы. Иногда успешные хищения заканчиваются не обналичиванием денежных средств, а их переводом в надежные электронные валюты (в т. ч. иностранные), обменом на реальные или виртуальные ценности для возврата долга другому нальщику и т. п.