Как вскрыли онлайн-банкинг Народного банка и увели у клиентов десятки миллионов тенге

Банк сразу возместил клиентам потери и выступал в суде потерпевшим от действий хакеров

В конце 2023 года пресс-служба полиции распространила официальную информацию, сопровождённую видео оперативной съёмки, о том, как в Темиртау был задержан хакер, который увёл со счетов банка десятки миллионов тенге. СМИ и блогеры радостно разнесли новость по своим аккаунтам и лентам. Однако ни названия банка, ни результатов расследования почему-то никто не сообщал. Нет в сети и информации о том, вынесен ли приговор по уголовному делу. Казалось бы, это было логично сделать при таком громком случае.

Hronika.kz узнала, чем же продолжилась эта история, в которой оказалось гораздо больше интересностей. Сразу оговорюсь: никаких имён и фамилий в этой публикации называть я не стану. Только факты и цифры из официальных документов, но без каких-либо имён.

Итак, согласно версии следствия, примерно в 2020-2021 годах на тот момент 23-летний индивидуальный предприниматель из Темиртау познакомился на фрилансе с аккаунтом Kassimo Nagasaki, с которым стал вести переписку в мессенджере Telegram. Через некоторое время Kassimo Nagasaki попросил предпринимателя предоставить доступ к его компьютеру и ноутбуку, на что он согласился, так как последний помог ему с деньгами, когда он в них нуждался. Взамен Kassimo Nagasaki предоставлял жителю Темиртау доступ в закрытые телеграм-чаты, где состояли программисты и велась переписка на компьютерные темы. После Kassimo Nagasaki попросил предоставить доступ к его онлайн-банкингу АО «Народный банк Казахстана», которым тот пользовался как индивидуальный предприниматель. Объяснил это тем, что хотел протестировать свои программы, на что житель Темиртау согласился. Получив доступ, Kassimo Nagasaki в течение года проводил различные мелкие платежи от его имени через онлайн-банкинг АО «Народный банк Казахстана». Ежедневно было около 50-80 переводов. Кроме того, Kassimo Nagasaki интересовался у бизнесмена, как производятся банковские переводы, на каком языке, что такое КПН, спрашивал, что делать, когда возникали ошибки при онлайн-платежах. При этом о своих планах он не рассказывал. Также, когда Kassimo Nagasaki заходил на компьютер жителя Темиртау, он переписывался с разными аккаунтами через его аккаунт в мессенджере Telegram. Иногда к его компьютеру было одновременно подключено до восьми аккаунтов. В переписке предприниматель ничего подозрительного не замечал. Вся переписка, так как аккаунт один, автоматически дублировалась на его сотовый телефон в мессенджере Telegram.

Всего в обвинительном акте указано 20 эпизодов, когда с помощью жителя Темиртау со счетов юридических лиц АО «Народный банк Казахстана» были несанкционированно выведены денежные средства. Однако не все транзакции удалось завершить, так как служба безопасности банка после поступления первых жалоб оперативно заблокировала все подозрительные транзакции и отменила платежи. Более того, по соглашению возместила деньги клиентам, с чьих счетов суммы уже были списаны окончательно, – чуть больше 66 млн тенге. По этой причине АО «Народный банк Казахстана» был признан также потерпевшим по уголовному делу.

По завершении следственных действий дело было передано в суд.

Представитель потерпевшего банка суду показал, что в августе 2023 года к ним обратились несколько представителей юридических лиц по факту несанкционированных платежей с их банковских счетов, в связи с чем банком была проведена техническая экспертиза. После, ввиду обнаружения в компьютере жителя Темиртау списка компаний – клиентов АО «Народный банк Казахстана», система онлайн-банкинга этих компаний была заблокирована ввиду возможной хакерской атаки: «После установления обстоятельств хищения денежных средств с расчётных счетов юридических лиц руководством банка было принято решение о возмещении ущерба всем пострадавшим юридическим лицам, а именно: на основании заключённого соглашения с банком КГКП “Костанайский политехнический высший колледж” было выплачено 5 млн тенге, поскольку из похищенных 60 млн тенге было заблокировано и возвращено 55 млн тенге; ТОО “MD Vision” выплачено 39,35 млн тенге; ТОО “КостанайТехСервис+” – 22 млн тенге. Просил назначить строгое наказание и удовлетворить исковое заявление АО Народный банк Казахстана».

Представитель ТОО «MD Vision» в суде показал, что 14 августа 2023 года в послеобеденное время товариществу был выставлен счёт на 270 тысяч тенге. Сформировав платёжное поручение в системе онлайн-банкинга АО «Народный банк Казахстана» и подписав ЭЦП-ключом, подписание не прошло: система как будто зависла, всплыло окно «в ожидании». Через некоторое время, обновив выписки, обнаружили, что со счёта товарищества были произведены перечисления на разные счета физических лиц на общую сумму 63 млн тенге, тогда как платёжное поручение на 270 тысяч осталось в обработке. После чего обратились в АО «Народный банк Казахстана», написали заявление на блокировку счёта. Материальный ущерб возмещён в полном объёме: 39,35 млн тенге вернул банк на основании заключённого соглашения, а 23,65 млн тенге было возвращено с других счетов, где были заблокированы похищенные денежные средства.

Директор ТОО «КостанайТехСервис+» суду сообщил, что 9 августа 2023 года в системе онлайн-банкинга АО «Народный банк Казахстана» были сформированы платёжные поручения на небольшие суммы, после подписания которых вышла заставка о технических работах. Примерно через два часа, проверив онлайн-банкинг, было обнаружено, что платёжные поручения не прошли. 10 августа 2023 года позвонил поставщик и сообщил, что оплата не прошла. Зайдя в систему, директор обнаружил, что со счёта товарищества было перечислено неизвестным лицам 22 млн тенге. После чего обратились в АО «Народный банк Казахстана» и полицию. Материальный ущерб возмещён в полном объёме: 22 000 000 тенге вернул банк на основании заключённого соглашения.

И.о. главного бухгалтера КГКП «Костанайский политехнический высший колледж» сообщила суду, что 2 августа 2023 года обнаружила, что система онлайн-банкинга АО «Народный банк Казахстана» не работала, так как шли технические работы. До этого она провела один платёж в размере 50 тысяч тенге. На следующий день, так как программа так и не заработала, позвонила в банк, где ей сообщили, что платёж на сумму 60 млн тенге прошёл и поступил неизвестному получателю.

В качестве специалиста был допрошен в суде главный менеджер Управления SOC Департамента киберзащиты АО «Народный банк Казахстана». Он показал суду, что в августе 2023 года в банк обратились несколько клиентов по факту хищения с их банковских счетов денежных средств. Была создана рабочая группа. В ходе расследования было установлено, что первым этапом злоумышленников была рассылка фишинговых писем – более 500, при открытии которых клиентом на компьютер загружалась вредоносная программа, позволявшая получать удалённый доступ к компьютеру, а именно — получать возможность отслеживать действия бухгалтера: время захода в систему онлайн-банкинга, остаток денежных средств на счёту, о чём приходило уведомление в телеграм-канал, обнаруженный на компьютере подсудимого. Далее, когда работник компании входил в систему онлайн-банкинга по одноразовому паролю и создавал платёжное поручение, в этот момент работник блокировался, то есть отключались мышка и клавиатура, а на экране появлялась заставка «Технические работы». После этого преступниками менялись реквизиты получателя в платёжном поручении, и денежные средства похищались путём их отправки на подставных лиц. После проведения расследования результаты были направлены в полицию. У всех клиентов, за исключением тех, кто уже был атакован, была блокирована система онлайн-банкинга. Сотрудники банка выезжали и «чистили» компьютеры, некоторые клиенты переустанавливали систему самостоятельно.

Выслушав мнения сторон и исследовав материалы уголовного дела, суд пришёл к выводу, что вина подсудимого полностью доказана: «К доводам о том, что подсудимый, предоставив доступ к своим компьютерам и аккаунту Telegram, не предполагал о преступных действиях лица под ником Kassimo Nagasaki, так как из смысла переписки с его аккаунта ничего подозрительного он не видел, суд относится критически и считает их попыткой уйти от уголовной ответственности и наказания. При анализе переписки с аккаунта в мессенджере Telegram установлено, что в ней указывается о планировании, способах совершения и непосредственно совершении преступлений между пользователями Gargantua и Kassimo Nagasaki в период с 01.12.2022 года по 16.08.2023 года, о приобретении вредоносного программного обеспечения, с описанием преступных действий с ним, отчётах о проведённых атаках в виде отчётов о наименовании юридического лица и остатках денежных средств на его счёте, о результатах тестирования вредоносного программного обеспечения “myScriptLoader.js” через расчётный счёт ИП в приложении онлайн-банкинга, о необходимости привлечения дропов и дроповодов. Таким образом, суд приходит к выводу, что подсудимый, имея соответствующее образование в сфере компьютерных технологий, не мог не понимать смысла переписки в Telegram-канале, более того, принимал в этом непосредственное участие».

Также суд критически отнёсся к доводам стороны защиты о принадлежности обнаруженных на сотовом телефоне подсудимого денежных средств в криптовалюте в размере 10 млн тенге, которые принадлежали его матери: «Факт снятия наличных денег последней в общей сумме 10 млн тенге со своего счёта в период с 24 января по 14 августа 2023 года не является доказательством того, что криптовалюта, обнаруженная на телефоне подсудимого, была приобретена на средства матери подсудимого. Кроме того, денежные средства на электронный кошелёк подсудимого поступили 9 и 14 августа 2023 года, то есть в дни совершения хищений со счетов ТОО “КостанайТехСервис+” и ТОО MD Vision».

Так как у подсудимого не было имущества, подлежащего конфискации, суд распорядился денежные средства, признанные вещественным доказательством по делу, изъятые у него в мобильном приложении TrustWallet с суммами 22 280,7 USDT, 20,78 USDT, 2,89 USDT и переданные под сохранную расписку представителю потерпевшей стороны на расчётный счёт в АО «Народный банк Казахстана» в сумме 10 020 649,5 тенге, хранить до разрешения гражданского иска.

Суд первой инстанции признал подсудимого виновным и вынес приговор: «На основании ч. 3 ст. 58 УК путём поглощения менее строгого наказания более строгим окончательно назначить наказание в виде лишения свободы на срок шесть лет шесть месяцев с отбыванием наказания в учреждении уголовно-исполнительной системы средней безопасности».

Приговор был обжалован в апелляционной инстанции. И вот тут началось самое интересное, из-за чего правоохранительные органы, как нам кажется, и не спешат сообщить общественности приговор по столь актуальному и резонансному делу.

Hronika.kz попыталась разобраться в этих любопытных деталях и непременно расскажет обо всём в следующем материале.

Фото: halykbank.kz.

ДЕЛИТЕСЬ СВОИМ МНЕНИЕМ И ОБСУЖДАЙТЕ СТАТЬЮ НА НАШЕМ КАНАЛЕ В TELEGRAM!