Российские банки с 2018 года будут ежемесячно предоставлять ЦБ экономические показатели инцидентов, связанных с хищениями денежных средств со счетов. А именно суммы, на которые хакеры покушались в отчетный период, объем хищений со счетов клиентов, а также объемы средств, возвращенных гражданам (ранее банки не обязаны были это делать).
При этом технические данные, указывающие на причины возникновения инцидентов, будут из отчетов исключены, сообщили «Известиям» в пресс-службе регулятора. По мнению ЦБ, изменения формы отчетности повысят достоверность предоставляемой информации о кибератаках. Эксперты согласны, что нововведение заставит кредитные организации более ответственно относиться к вопросам информационной безопасности.
С 2013 года все банки ежемесячно сдают ЦБ отчеты по нарушениям, связанным с переводами денежных средств клиентов. Они называются «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств», с их помощью Банк России аккумулирует статистику по киберпреступлениям,
В документах, которые банки направляют в ЦБ сегодня, должны фиксироваться все случаи, связанные с нарушениями при переводе денежных средств клиентами: к примеру, кражи CVV-кода и других данных карты при оплате счета в ресторане или случаи скимминга (когда злоумышленники устанавливают на банкоматы специальные считывающие устройства, а затем похищают деньги). Банки предоставляют ЦБ таблицу, где отражены сам факт инцидента со способом нанесения ущерба, его дата, оператор платежной системы, последствия нарушения, предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули.
С 2018 года ЦБ планирует изменить форму этой отчетности, обязав банки раскрывать экономические показатели, связанные с кибератаками.
— Изменения нужны для повышения достоверности информации об операционных расходах банков, связанных с осуществлением несанкционированных переводов денежных средств, — пояснили в пресс-службе Центробанка. — В нее предполагается включить только экономические показатели. Информацию о способе нанесения ущерба планируется передавать по каналам FinCert (подразделение ЦБ по борьбе с кибермошенничеством).
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов в беседе с «Известиями» отметил, что раньше банки не информировали ЦБ об объемах потерь. Руководитель направления противодействия мошенничеству компании «Инфосистемы джет» Алексей Сизов добавил, что часто банки вообще присылали регулятору нулевые отчеты, фактически замалчивая факты кибератак.
— Отсутствие информации об объеме потерь не позволяет увидеть полную картину, — уверен Дмитрий Кузнецов. — Наличие финансовых показателей о потерях в отчетах, которые публикует ЦБ на основе данных банков, дало бы службам безопасности веские аргументы для увеличения финансирования безопасности платежных приложений. С 1 января 2018 года вступает в силу закон «О безопасности критической информационной инфраструктуры (КИИ)». Вероятно, к КИИ будут отнесены системы дистанционного банковского обслуживания и автоматизированные банковские системы. То есть технические данные о кибератаках в любом случае будут поступать в ЦБ. Регулятор дополнил объем сведений об атаках объемом ущерба. Важно то, что сейчас ни ЦБ, ни общество не представляют реальный объем потерь от киберпреступлений. Наличие у ЦБ фактической информации о потерях может заставить банковскую систему серьезнее отнестись к вопросам кибербезопасности.
По словам председателя наблюдательного совета банка «Воронеж» Мурада Салихова, полное знание экономических последствий кибератак позволит ЦБ понимать, насколько важна эта проблема в масштабах государства. Эксперт подчеркнул, что предотвратить бедствие всегда проще, когда известен его масштаб.
По оценке Центробанка, в прошлом году хакеры украли с банковских карт россиян чуть более 1 млрд рублей.
По оценке департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI), группировки Team46 и TaxOff представляют собой одну и ту же структуру, а не два отдельных объединения. Об этом свидетельствуют совпадения в используемых ими инструментах, инфраструктуре и тактике атак.
К такому выводу специалисты пришли на основании анализа атаки, произошедшей в марте 2025 года.
В ходе этой кампании злоумышленники попытались эксплуатировать уязвимость CVE-2025-2783 в браузере Chrome — характерный признак деятельности TaxOff. Однако дальнейшее исследование выявило сходство с методами Team46, в частности — почти идентичные PowerShell-скрипты, отличающиеся лишь содержанием «полезной нагрузки».
Обе группировки применяли одинаковые самописные инструменты на базе .NET для разведки: с их помощью собирались скриншоты, списки запущенных процессов и перечни файлов. Все данные передавались по именованному каналу. Кроме того, для управления инфраструктурой использовались домены, оформленные по одному шаблону и маскирующиеся под легитимные онлайн-сервисы.
Для пресечения активности подобных группировок специалисты Positive Technologies рекомендуют использовать системы анализа сетевого трафика, песочницы для изоляции и анализа внешних файлов, а также средства мониторинга и корреляции событий.
«Наши исследования показывают, что Team46 и TaxOff с высокой вероятностью являются одной и той же группировкой, — отмечает Станислав Пыжов, ведущий специалист группы исследования сложных угроз PT ESC TI. — Изученное нами вредоносное ПО запускается только на определённых компьютерах, поскольку ключ для расшифровки основного функционала зависит от параметров системы. Это указывает на целенаправленный характер атак. Применение эксплойтов нулевого дня даёт злоумышленникам возможность эффективно проникать даже в защищённые инфраструктуры».
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
