Архив   Авторы  

Фиш вам!
Hi-techБизнес

Почему в России киберограбление не считается серьезным преступлением

 

Более пяти тысяч попыток хищения средств со счетов физлиц через каналы дистанционного обслуживания на сумму свыше полумиллиарда рублей удалось пресечь за девять месяцев этого года службе безопасности Сбербанка. Об этом недавно отрапортовало крупнейшее кредитное учреждение страны. Если к этой цифре приплюсовать четыре сотни подобных инцидентов со счетами юрлиц, то получается, что клиенты подвергались кибератакам в среднем по 20 раз на дню. И это, напомню, статистика только по предотвращенным преступлениям. Что же касается свершившихся фактов киберворовства, то с ними многие сталкивались если не самолично, то через друзей и близких наверняка. Вот только о «посадках» не слышно. Это неудивительно, потому что в новейшей истории России есть лишь один случай, когда банда фишеров — киберпреступников, взламывавших электронными отмычками деньги с банковских счетов физлиц, — была доведена до суда и приговора. Случилось это совсем недавно — в сентябре. Однако участники этой преступной группы, умыкнувшие у клиентов одного из крупных российских банков 13 миллионов рублей, отделались несколькими годами условного срока и штрафами, в десятки раз меньшими, чем сумма награбленного. В каких деталях таится тут дьявол?

Общественности о фишерах (от английского fisher — «рыболов») в России известно крайне мало: банки предпочитают об этом молчать, как о неприличной болезни. Но специалисты в сфере компьютерной безопасности знают достоверно: кривая фишинговых преступлений в течение этого года резко взмыла вверх. Этому есть объяснение — граждане распробовали услугу удаленного банковского обслуживания через Интернет, начав пользоваться ею в массовом порядке. А это именно то, что нужно фишерам, — большой садок с наивными «карасями». Иными словами, раньше наши грабили на Западе, теперь неплохой рынок появился и в России.

Типичную схему воровства описывает Игорь Чекунов, заместитель гендиректора «Лаборатории Касперского» по юридическим вопросам и безопасности: «Злоумышленник выбирает банк-жертву с большим количеством частных клиентов, создает поддельный сайт, повторяющий реальную веб-страницу удаленного обслуживания, затем приобретает на криминальном рынке банковского троянца — программу, которая, попав на компьютер жертвы, скрытно готовит его ПО к неправильной обработке банковской транзакции». Банковские троянцы, такие как Carberp, SpyEye и Zeus, — один из самых ходовых товаров на черном рынке, отмечает Сергей Гордейчик, технический директор Positive Technologies. Затем на том же черном рынке приобретается две услуги. Одна — она называется арендой связки — подразумевает, что исполнитель обязуется заразить вредоносом заказчика то количество компьютеров, которое этот заказчик предоставит. Стоит эта услуга совсем недорого — от 20 долларов. Но компьютеры для заражения необходимо предоставить. За это отвечает другая услуга — перенаправление пользователей на фишинговые сайты, где происходит заражение.

Перенаправление каждой тысячи уникальных IP-адресов на связку стоит от четырех долларов, а процент заражения составляет 15—45 процентов, в зависимости от «свежести» связки, рассказали аналитики «Лаборатории Касперского». Стало быть, чтобы заразить тех 170 клиентов банка, которые, как было доказано в суде, пострадали от «рук» фишеров, нужно было закупить несколько миллионов перенаправлений — это вполне по карману вчерашним студентам.

Любой популярный сайт, сам не подозревая о том, может стать рассадником фишинговой заразы, если его взломают хакеры и разместят на нем вредоносное ПО. Помните нашумевшую историю со взломом сайта пользователей Sony PlayStation? Тогда в Интернете поднялся крик — персональные данные пользователей попали в чужие руки! Однако опасность была в другом: посетители ресурса подцепляли вредоносное ПО. Так что, если вы любите в обеденный перерыв расслабиться на каком-нибудь сайте с анекдотами и приколами, помните, что именно такие места предпочитают и компьютерные преступники. Собственно, в зависимости от качества аудитории посетителей конкретных ресурсов услуги перенаправления имеют разную стоимость. Скажем, самая дорогая VIP-услуга, утверждают эксперты «Лаборатории Касперского», — перенаправление пользователей крупного бухгалтерского портала, там ведь сосредоточена именно целевая аудитория — те, кто гарантированно работает с банковскими счетами клиентов. Такой случай, кстати, имел место нынешним летом.

А дальше начинается «рыбная ловля»: мошенники спокойно ждут, когда среди жертв попадется клиент нужного банка. Точнее, когда этот пользователь, уже будучи зараженным, решит удаленно обратиться к своему банковскому счету. В этот момент оживает спавший на его компьютере троянец и в момент обращения пользователя к сайту банка подставляет ему страничку поддельного ресурса. Клиент честно указывает все реквизиты, их тут же перехватывают преступники и, не теряя времени, сами обращаются к подлинному банковскому ресурсу, проверяют состояние счета и делают банковский перевод. Тут же подключаются сообщники, ответственные за обналичивание денежных средств. Как правило, они снимают деньги в банкоматах этого же банка в других городах. На всю операцию уходит несколько часов.

Этот механизм сработал и в анализируемом нами случае — банк использовал для аутентификации доступа к счету устаревший метод скретч-карты, на которой в столбик записаны одноразовые пароли. Но даже более сложный метод получения одноразового пароля по SMS не является панацеей. Знаете, что делают преступники в этом случае? Они предусмотрительно размещают на страничке регистрации на поддельном сайте банка поле с номером мобильного телефона. Человек его заполняет, сообщая, естественно, свой номер злоумышленникам. А поскольку они контролируют процесс, то знают, когда человеку придет SMS, и звонят ему от имени службы безопасности банка: мы, дескать, проверяем работу автоматизированной системы, хотим убедиться, правильный ли код вы только что получили. И человек сам сообщает одноразовый пароль преступникам…

Могли ли пользователи заметить обман? Могли. Соединение с настоящим банком происходит в защищенном режиме, о чем свидетельствует буква s в адресной строке, набираемой пользователем: https://... А у фишеров такой возможности не было. К слову, нынешние преступники научились обходить это препятствие, и общение с мошенническим сайтом теперь чаще всего происходит также в защищенном режиме. Запрос номера мобильного телефона тоже должен насторожить бдительных клиентов — для регистрации в системе удаленного обслуживания он не требуется. Были у наших героев и другие огрехи: орфографические ошибки в текстах на веб-странице, необновленный раздел «Новости», неправильный телефон техподдержки, а также несовпадение используемых шрифтов. Правда, весной фишеры начали применять более изощренный метод с использованием прокси-серверов, замечает Илья Сачков, генеральный директор Group-IB, эту подмену рядовому пользователю практически невозможно обнаружить.

Попавшие на скамью подсудимых двое жителей Питера и их калининградский подельник — далеко не единственные любители уголовной «рыбалки». По самым скромным оценкам, каждый день происходит 100—150 подобных инцидентов, полагают в «Лаборатории Касперского». Причем по поводу профессионализма пойманных фишеров мнения специалистов разошлись. «Они не обладали особыми знаниями, которые помогают запутать следы: атаковали российских пользователей, находясь на территории РФ, пренебрегая при этом методами анонимизации в сети Интернет», — указывает Илья Сачков. Хотя в конечном итоге сгубила фраеров, как водится, жадность, все-таки, полагает Игорь Чекунов, они продержались в своем бизнесе не менее трех-четырех лет. Владимира Кондратьева, менеджера по развитию бизнеса и партнерской сети в России и СНГ Norton Symanteс, это не удивляет: «Только 59 процентов российских клиентов банков проверяют банковские выписки на предмет наличия там мошеннических операций».

Что же получается? Из всей фишерской братии удалось изловить лишь троих не сильно опытных юнцов? Причем примерно половина украденной суммы осталась у тех, кто помогал злоумышленникам обналичивать похищенное, а этих лиц так и не удалось установить. Что удивительно, ведь многие из так называемых дропперов — людей, снимающих деньги частями в разных банкоматах, — известны банкирам. У них вообще хорошо налажена информационная взаимопомощь в части борьбы с преступным миром. Известны им и примерные ареалы обитания преступников — Москва, Питер, Новосибирск, Екатеринбург и т. п.

Свой фишер-мониторинг ведет интернет-сообщество. «По нашей оценке, 8982 домена в зоне .RU использовалось в последние полгода для кражи атрибутов доступа в различные системы, включая банковские, путем маскировки под оригинальный сайт», — отмечает Андрей Колесников, директор Координационного центра национального домена сети Интернет. В составе крупных интернет-регистраторов есть специальные подразделения, которые по обращениям пользователей производят проверку легитимности работы сайтов. «В случае выявления каких-либо неправомерных действий работа сайта приостанавливается», — поясняет Светлана Лиенко, исполнительный директор регистратора доменов REG.RU. Свои сведения о противоправных деяниях собирают производители браузеров: Microsoft, Mozilla, Google и т. п. Вся штука в том, что по отдельности ни одна из этих организаций не сможет дать отпор фишинговым преступлениям, включая доблестную полицию. Ведь почему в конечном итоге удалось довести до приговора троицу жадных юнцов? Только потому, что все заинтересованные стороны действовали с единой мотивацией — найти и наказать: банк не поскупился на оплату услуг лучших российских компьютерных криминалистов, в связке полицией трудились сотрудники ФСБ.

По-другому нельзя, уверен Андрей Колесников: «Наиболее эффективны методы раннего обнаружения и оповещения, когда работает сигнальная цепочка, доставляющая сигнал о правонарушении при первом обнаружении, и не важно, кто именно обнаружил». Вот только совместная борьба с преступниками, поднявшими руку на один из крупнейших банков, еще не означает, что в таком же стиле будут расследоваться все остальные фишинговые истории.

«Секрет борьбы с фишерами (и другими кибермошенниками) до банальности прост, — замечает Николай Федотов, главный аналитик Infowatch. — Я бы сказал, он оскорбительно прост: полиция должна возбуждать уголовные дела по всем фактам мошенничества. То есть исполнять требования закона. Но те органы, которые в РФ по традиции именуются правоохранительными, такого подхода даже в мыслях не держат». Впрочем, их позиция может измениться. «До тех пор пока российские киберпреступники были ориентированы на зарубежные банки, не существовало активного социального заказа на их поимку со стороны финансовых структур и общества, — считает Сергей Гордейчик. — Сегодня банки мотивированы на предотвращение мошенничества и преследование мошенников». Изменение настроений банкиров связано с вступлением 1 января в силу ряда положений закона «О национальной платежной системе», в частности, обязывающих банки возвращать деньги обворованным клиентам.

Раньше это происходило исключительно по доброй воле банка, а судебную тяжбу клиент мог выиграть лишь со второго раза — такая у нас сложившаяся судебная практика, говорят эксперты, первый суд обычно заканчивается в пользу ответчика. К тому же у банка немало возможностей доказать, что сам клиент стал виновником происшествия: у него и защитное ПО давно не обновлялось, и на компьютере много пиратского софта, который можно купить по дешевке на рынке уже зараженным. С 1 января ситуация изменится: банки будут заинтересованы и в том, чтобы найти преступников и взыскать с них ворованные деньги, и в том, чтобы действовать превентивно, обмениваясь информацией с коллегами по цеху, полицией, интернет-компаниями. Это хорошо. Вот только случись подобная история где-нибудь в США, она завершилась бы несколькими годами реального тюремного срока ввиду большой общественной опасности. А наши бравые фишеры отделались штрафами — их размер выглядит так, будто они просто поделились «выручкой» с государством.

Очевидный вариант взятки судейским здесь не проходит — процесс преследования преступников был показательным. «Обычно суды назначают слишком мягкое наказание, когда не вполне уверены в том, что подсудимый виновен, когда вина плохо доказана, — размышляет Николай Федотов. — Если судья вообще уверен в невиновности, он назначает наказание ниже низшего предела, установленного статьей. Думаю, в деле некачественные доказательства». Однако некачественными могут быть признаны и вполне убедительные факты. «Проблема заключается в существующих пробелах в УПК РФ, в котором не прописаны критерии цифровых доказательств и методы их криминалистической обработки», — говорит Илья Сачков. Например, у нас до сих пор ни в Уголовном, ни в Гражданском кодексе электронный документ не атрибутирован в качестве самостоятельного доказательства. Отсюда, подчеркивает София Грунюшкина, гендиректор компании «Инфоэкспертиза», возникают проблемы с приобщением к делу и исследованием цифровых доказательств. Это приводит к определенным сложностям при оформлении доказательной базы, и, если при этом будут допущены ошибки, судья не примет доводы следствия. К тому же при том, что у нас официально не работает прецедентное право, судьи все равно выносят решения с оглядкой на сложившуюся практику. А в этой самой практике мы не найдем ни одного серьезного наказания за компьютерные преступления.

Похоже, что лед тронется, лишь когда фишеры обчистят банковский счет какого-нибудь судьи или депутата. Какая-то иная сила вряд ли заставит суд назвать вора вором и назначить адекватное наказание.

Какое наказание для фишеров было бы справедливым?

В судебной практике преступления, связанные с кражей, совершенной группой лиц по предварительному сговору в крупном размере, наказываются реальным лишением свободы на срок не менее трех лет. Решение суда в очередной раз демонстрирует слабость правоприменения при разборе преступлений в сфере компьютерной информации. Надеюсь, что обвинение будет настаивать на пересмотре приговора и его замене на отбытие наказания в исправительных учреждениях.


Илья Сачков

ге­не­раль­ный ди­рек­тор Group-IB

Думаю, важно, чтобы факт использования продвинутых IТ-средств рассматривался судом как отягчающее обстоятельство. Весь этот ореол вокруг умных хакеров мне глубоко отвратителен. Это просто воры, вооруженные компьютерами и Интернетом. Тем более отвратительны случаи судебного снисхождения к уголовникам, которые совершают онлайн-хищения из зарубежных банков. Это разрушает мораль и наносит серьезный ущерб имиджу России.


Андрей Колесников

ди­рек­тор Ко­ор­ди­на­ци­он­но­го цен­тра на­ци­ональ­но­го до­ме­на се­ти Интер­нет

Думаю, и пострадавшие клиенты, и банк будут более удовлетворены, если злоумышленники получат не реальные сроки, а крупный штраф, во много раз превышающий сумму украденного. У правосудия появится источник возмещения убытков, связанных с исками по этому делу. Если денег на штраф нет, только тогда — заключение. Думаю, при подобной постановке вопроса у большинства злоумышленников память в отношении бесследно исчезнувших сумм восстановится.


Тимур Аитов

ви­це-пре­зи­дент Наци­ональ­но­го пла­теж­но­го со­ве­та

Из зала суда

Кража со взломом

Большая загадка: почему лицо, снявшее с прохожего на улице шапку ценой в 500 рублей, получает два-три года тюрьмы, а люди, укравшие 13 миллионов рублей, — условные сроки наказания? Несмотря на кажущуюся виртуальность преступлений, совершенных в Интернете, здесь ведь все, как в реальной жизни: человека обманом заставили ввести свои банковские реквизиты, и он лишился имущества. Впрочем, логика нынешнего уголовного права такова, что украсть можно только нечто материальное, вещь, а деньги на банковских счетах признаками вещи не обладают. Правда, с 1 января в нашем законодательстве появится новая равноправная сущность — электронные деньги. И вот этот факт, думаю, должен дать толчок развитию смежного законодательства. В данном случае уголовного.

Сейчас кража с банковских счетов квалифицируется по трем статьям Уголовного кодекса — ст. 272, 273 и 159: неправомерный доступ к охраняемой законом компьютерной информации, использование и распространение вредоносных программ, а также мошенничество, к тому же совершенное группой лиц по предварительному сговору с причинением ущерба в крупном размере. Все знают, что преступник украл деньги, но судят его за какой-то странный несанкционированный доступ к компьютерной информации. Истоки такого подхода понятны. Когда писалась новая редакция главы 28 УК РФ, которая действует с 1 января нынешнего года, юристы спорили, как рассматривать компьютерные преступления: как вариант обычного преступного деяния, только совершенного с помощью специфических инструментов, или как особый вид преступлений. Тогда они были более похожи на хулиганские выходки скучающих студентов, совершаемые без особого умысла. Потому и возобладала вторая точка зрения. Но теперь получается, что о каких бы преступлениях ни шла речь, хоть о кибертерроризме, все равно это будет считаться неправомерным доступом к информации.

Теперь, когда электронные деньги назвали деньгами, стоит и соответствующие преступления назвать своими именами. Иными словами, данные деяния должны быть криминализованы в текущей статье УК. Должны появиться новые статьи закона, помогающие квалифицировать преступное деяние в зависимости от объекта преступного посягательства, от способа совершения преступления. Эта работа идет, но не так быстро, как хотелось бы. Думаю, лет через пять-шесть это произойдет.


Игорь Чекунов

зам­ген­ди­рек­то­ра «Лабо­ра­то­рии Кас­пер­ско­го» по юри­ди­чес­ким воп­ро­сам и бе­зо­пас­нос­ти

Сводки с фронтов

Финансовое кибероружие

Банковские трояны стали сегодня одним из видов оружия, используемого в кибервойнах. Так, в начале октября крупные американские банки, в частности, JP Morgan Chase, Bank of America, Citigroup, Wells Fargo, получили циркуляр о переходе на высший уровень готовности к внешним угрозам. Это случилось после того, как они стали объектом очень крупной и скоординированной хакерской операции, включающей DDoS-атаки, сканирование на уязвимости, фишинг-кампании и т. д. Незадолго до начала нападений американский центр анализа финансовых услуг FS-ISAC (Financial Services Information Sharing and Analysis Center) предупреждал банки о высокой вероятности троянской активности, исходящей из Азии и Ближнего Востока.

Примечательно, что ранее на Ближнем Востоке «Лаборатория Касперского» нашла новую вредоносную программу Gauss, относящуюся к классу кибероружия. Помимо шпионского функционала (получение данных BIOS зараженного ПК, сведений о сетевых интерфейсах, дисковых накопителях и т. п.) она имеет развитые средства кражи финансовой информации пользователей этих компьютеров. По сведениям аналитиков «Лаборатории Касперского», основной целью Gauss являлся ряд ливанских банков, включая Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais. После обнаружения троянца вредоносное ПО перешло в «спящий» режим ожидания команд от управляющих серверов.

Политика и экономика

Что почем
Те, которые...

Общество и наука

Телеграф
Культурно выражаясь
Междометия
Спецпроект

Дело

Бизнес-климат
Загранштучки

Автомобили

Новости
Честно говоря

Искусство и культура

Спорт

Парадокс

Анекдоты читателей

Анекдоты читателей
Популярное в рубрике
Яндекс цитирования

Copyright © Журнал "Итоги"
Эл. почта: itogi@7days.ru

Редакция не имеет возможности вступать в переписку, а также рецензировать и возвращать не заказанные ею рукописи и иллюстрации. Редакция не несет ответственности за содержание рекламных материалов. При перепечатке материалов и использовании их в любой форме, в том числе и в электронных СМИ, а также в Интернете, ссылка на "Итоги" обязательна.

Согласно ФЗ от 29.12.2010 №436-ФЗ сайт ITOGI.RU относится к категории информационной продукции для детей, достигших возраста шестнадцати лет.

Партнер Рамблера