Спецпроекты

Безопасность Техническая защита

Россия: первый взлом платежного терминала

В Петербурге будут судить хакера, работавшего стажером установщика терминалов по приему платежей. Используя инсайдерские данные, он сумел получить через интернет доступ к системе платежного терминала и украсть 238 тыс. руб. Теперь кибервору грозит небольшой срок – до 2-х лет.
Петербуржец Антон Деренков воспользовался инсайдерской информацией для совершения преступления. Он устроился в ООО «Дельта» стажером установщика терминалов по приему платежей. Получив доступ к служебной программе, г-н Деренков решил пополнить свой кошелек. Согласно информации Следственного комитета при МВД России, злоумышленник установил программу на домашний компьютер и через интернет получил доступ к серверу компании ООО «Объединенная система моментальных платежей». Г-н Деренков подключился к личному кабинету дилера ОСМП и проник в базу данных учета платежных операций внешней расчетно-платежной системы ООО «Дельта».

По версии правоохранительных органов, г-н Деренков перевел со счета ООО «Дельта» на свои электронные счета систем MoneyMail, WebMoney и «Яндекс.Деньги» 238 тыс. рублей. Однако обналичить указанную сумму он не успел, т.к. был задержан сотрудниками милиции. Кибервору предъявлено обвинение по статьям 272 и 165 УК РФ (неправомочный доступ к компьютерной информации и причинение имущественного ущерба путем обмана), предусматривающим наказание до двух лет лишения свободы.

Подобный вид кражи в России произошел впервые. Ранее с платежными терминалами «расправлялись» гораздо проще. Например, в Петербурге был задержан мужчина, подозреваемый во взломе терминала оплаты услуг сотовой связи ООО «Вест-телеком» в подземном переходе на площади Стачек. Его помогла вычислить камера видеонаблюдения, установленная в переходе. Также, недавно в Москве трое неизвестных похитили из магазина терминал по приему сотовых платежей. Подъехав на «Газели» к магазину на улице Молостовых, трое мужчин забрали аппарат в ремонт, заявив, что тот сломался. После чего они погрузили аппарат в машину и уехали в неизвестном направлении.

«Наше уголовное законодательство по-разному отражает общественную опасность различных правонарушений. Пока что противоправные действия в реальном мире караются более суровыми санкциями, чем в мире виртуальном, несмотря на то, что зачастую они носят вполне реальные последствия. Исключения составляют лишь часть 3 статьи 146 УК РФ (нарушения закона об авторских и смежных правах) и часть 2 статьи 273 (создание, использование и распространение вредоносных программ для ЭВМ, повлекшие по неосторожности тяжкие последствия). Они относятся в России к тяжким преступлениям, по ним может быть назначено лишение свободы на срок 6 и 7 лет соответственно. В этом отношении мы пока отстаем от, например, США, где за аналогичное преступление можно сесть в тюрьму на срок свыше 10 лет», — отмечает партнер юридической фирмы Beiten Burkhardt по вопросам защиты прав в сфере ИС и ИТ Виктор Наумов.

«Сейчас возможно почти полностью обезопасить терминал с помощью „антивандальных“ технологий, уберечь его и от топора, и от бульдозера. Используя криптотехнологии, можно защитить трафик между терминалом и банком», — уверен Денис Зенкин, директор по маркетингу компании InfoWatch, отмечая, что — «традиция грабежа машин родилась не вчера. На моей памяти — несколько грабежей ATM-машин с помощью поддельных карточек. Также нередки случаи хакерского взлома банкоматов. Судя по всему, теперь настала очередь платежных терминалов». В то же время эксперт отмечает, что перед инсайдерскими методами бессильна практически любая защита: «100% гарантии от инсайдерской утечки дать не сможет никто и никогда. Мы часто советуем компаниям поступать так: если у вас есть хранилище конфиденциальных данных, сделайте обеспечение доступа к этой информации зависимым от единовременного присутствия как минимум двух людей — представителя службы безопасности и сотрудника фирмы. Чем больше ключей будет необходимо применить, чтобы получить доступ к информации, тем система надежнее, но и, одновременно, менее практична. Тут каждый выбирает, что для бизнеса важнее».

Учебный центр CNews, курс: «Организация конкурентной разведки в сети Интернет» 24.05-25.05

Олег Горбатов

Короткая ссылка