О том, куда ведут следы компьютерных преступлений в банковской сфере, порталу Банки.ру рассказал генеральный директор компанииGroup-IB, специализирующейся на киберкриминалистике, Илья САЧКОВ.
— С чего начинается расследование банковского киберпреступления?
— Все начинается со звонка. Пострадавший набирает номер банка и говорит: «У меня произошла такая-то история». Дальнейшее зависит от банка. С некоторыми финансово-кредитными организациями (их имена мы не имеем права озвучивать) у нас есть договор на обслуживание всех клиентов, пострадавших от мошеннических операций в системе ДБО. В этом случае с нами связывается представитель банка, и мы осуществляем свою работу по предварительно согласованному алгоритму. Другие банки направляют клиентов к нам, но уже не в рамках устоявшихся договорных отношений, а для того, чтобы разобраться в ситуации. Но, к сожалению, есть банки, у которых для всех пострадавших готов ответ: «От вас пришло заверенное платежное поручение, мы его обязаны исполнить, к нам претензий нет. Не согласны — идите в суд».
— После звонка пострадавшего вы, наверное, первым делом выясняете, хватит ли у него денег для оплаты расследования?
— В отличие от классических компаний, которые занимаются информационной безопасностью, мы сначала выезжаем к клиенту и заключаем быстрое соглашение о конфиденциальности и порядке выполнения работ, а уже потом решаем финансовый вопрос. Потому что в расследовании компьютерного преступления промедление на начальной стадии подобно смерти. И надо понимать, что за него может заплатить как банк (да, и такое бывает), так и сам клиент.
— Значит, к клиенту сразу выезжает «группа быстрого реагирования»?
— На место киберпреступления обычно приезжают трое: криминалист, сотрудник отдела расследований и юрист. Если это хищение у юридического лица, то одна из первоначальных задач — понять, замешан ли в инциденте кто-то из штата компании. Составляются «портреты» людей, отмечаются странности в их поведении и в выполнении или невыполнении должностных обязанностей и инструкций. Фиксируются не только действия лица, работавшего с системой интернет-банкинга, но и поведение административного персонала, сисадминов и т. д. Компьютер, на котором установлена система ДБО, имеющий непосредственное отношение к хищению, опечатывается и либо передается в нашу лабораторию, либо с него снимается «криминалистический образ», для проведения дальнейшего исследования. Это делается при помощи особого чемодана со специальным оборудованием и программным обеспечением.
— Что происходит в лаборатории?
— Задача эксперта лаборатории — основываясь на виртуальных следах, оставленных преступником, ответить на ряд конкретных вопросов: внутренний это был инцидент (с участием кого-то из штата пострадавшей компании) или внешний. Связан инцидент с использованием вредоносного программного обеспечения или не связан. Если была задействована вредоносная программа, то какого она типа и каким функционалом обладает. Как она была загружена в компьютер, в какой промежуток времени. Могла ли быть данная загрузка случайной. Поясню: бывает, что бухгалтер специально заходит на зараженный ресурс, чтобы обеспечить загрузку вируса на компьютер, либо устанавливает его по специальной ссылке.
— Куда вы идете по «компьютерным следам»?
— Мы изучаем, куда обращалось вредоносное приложение, с какой административной панели им управляли. Так можно постепенно выйти на преступную группу, включающую автора вируса и людей, которые управляют операциями по хищению денег.
— И возбуждается уголовное дело?
— От факта первого хищения денег преступниками до момента реализации уголовного дела проходит от года до двух лет. Отмечу: это не срок расследования, проводимого нашей компанией. Нашим экспертам требуется в среднем месяц на проведение исследования компьютера потерпевшего. Кибердетективы нашей компании за месяц, максимум за два устанавливают личность злоумышленника. По итогам исследования и расследования составляются заключения и формируются отчетные материалы, которые передаются пострадавшему клиенту и по договоренности с ним — в правоохранительные органы. Затем от трех до четырех месяцев правоохранительные органы проводят оперативные мероприятия, собирают дополнительные сведения, которые вместе с нашими заключениями будут являться основанием для возбуждения уголовного дела. Этап расследования уголовного дела отнимает еще несколько месяцев. В рамках предварительного следствия разрабатывается преступная группа. Обращения потерпевших объединяют в одно уголовное дело. Далее проводятся следственно-оперативные мероприятия, направленные на установление личностей виновных в совершении преступлений, их задержание, сбор доказательственной базы. Осуществляются компьютерные экспертизы, результаты которых будут служить доказательством в суде. После окончания предварительного следствия материалы передаются в суд. Естественно, что этот процесс занимает длительное время.
— Получается, у преступника есть два года, чтобы украсть и незаметно залечь на дно?
— Ничего подобного. На установление личностей злоумышленников требуется не так много времени. И когда их личности становятся известны, то преступники сразу попадают в поле зрения сотрудников правоохранительных органов, что влечет их задержание. Здесь многое зависит от скоординированной работы оперативных и следственных органов. А вот на сроки прежде всего влияет количество совершенных злоумышленниками преступлений, объем проводимых следственных действий и экспертиз.
— Зарубежная правоохранительная система столь же медлительна?
— По срокам расследования компьютерных финансовых преступлений и в Европе, и в США примерно одинаковая ситуация. Россия здесь никак не выделяется. Сократить сроки расследований, конечно, по возможности необходимо, но это может повлечь следующий негативный момент — отсутствие сбора полной информации обо всех событиях преступлений, совершенных киберпреступниками.
— В вашей лаборатории мне показали, как работают вредоносные программы — сортируют зараженные компьютеры по банкам и по тем системам интернет-банкинга, которыми пользуются их владельцы. Можно посмотреть на экран пользователя, на совершаемые им трансакции. Что еще делает программа?
— Вам продемонстрирован не функционал вредоносной программы. Вам показали на примере исследуемого компьютера преступника, как может выглядеть административная панель управляющего сервера. Основная функция — это автоматизация всех рутинных операций. В административной панели управляющего сервера можно увидеть все зараженные компьютеры и отсортировать их по используемым системам ДБО.
— Работа киберпреступников в Европе и в России отличается? Есть специфика у нашей страны?
— В Европе хакеры сосредоточены на хищениях у физических лиц. В России — у юридических лиц. Европейскими «отмывочными пунктами» стали Латвия и Литва, но все равно в Евросоюзе намного сложнее, опаснее и дороже красть с помощью подставных фирм. Украв, деньги нужно обналичить, а обнальщики берут до 50%. Все решает прибыльность, поэтому в той же Голландии сейчас в моде мобильные вирусы и кражи средств у владельцев смартфонов с операционной системой Android. Остается и традиционный «карточный» бизнес — перепродажа данных карт и воровство с них.
В России же мошенники используют возможность создавать фирмы-однодневки, на которые можно безнаказанно выводить украденные средства. Ориентация на клиентов-банков из числа юридических лиц в такой ситуации обусловлена тем, что у них больше денег на счетах. И движение похищенных денежных средств со счета одного юрлица на счет другого юрлица, например в счет оказания услуг или поставки оборудования, редко вызывает какие-либо подозрения.
— Вывод средств осуществляется через банкоматы?
— К примеру. При этом работает традиционный принцип: «краду данные карточки одной страны, обналичиваю в другой». Русские «налят» Европу и Америку, американцы «налят» русских и азиатов, азиаты «налят» всех, кроме себя.
— Какие еще есть популярные способы вывода средств по карточным реквизитам?
— Допустим, такой: ты делаешь лот на аукционе, например на Ebay, сам его придумываешь, говоришь: «Я продаю кольцо за 60 тысяч долларов». И это несуществующее кольцо «покупаешь», используя для этого реквизиты чужой карты. Естественно, если ты первый раз сделаешь новый аккаунт на аукционе, создашь новый лот стоимостью 60 тысяч долларов и сразу же переведешь за него деньги, у тебя заблокируют данный платеж. Проводится определенная подготовка, чтобы перехитрить Ebay. Кто-то идет другим путем — создает «фальшивые» интернет-магазины, где на самом деле ничего не продается, а осуществляются только трансакции с краденых карт.
— Вы — кибердетективы — определяете, куда уходят деньги?
— Мы как частные эксперты не отслеживаем цепочку движения денежных средств. Наша задача определить вирусописателя, а также человека, который загружал вирус, и тех, кто создавал и управлял бот-сетью (сетью зараженных компьютеров).
— Сколько обычно человек в компьютерной банде и как вы их идентифицируете?
— Состав средней преступной группы — это шесть, максимум девять человек. Наша задача понять, что это за люди — по «телекоммуникационным признакам». Это не значит, что мы всегда устанавливаем фамилию, имя и отчество. Хотя и это не исключено. Но чаще мы говорим, что пользователь с таким-то псевдонимом, IP-адресом, обслуживающийся у определенного провайдера, предположительно мужчина, является человеком, который, по нашим данным, относится к конкретной преступной группе. Задача правоохранительных органов наши выводы проверить «на месте», контактируя с живым человеком.
— Компьютерные преступники — гении?
— Одаренные, безусловно, есть. Но не все. Как правило, в преступной группе есть один талантливый парень, а остальные — так называемые «пассажиры». С учетом того, что банковское мошенничество — это рынок, живущий по коммерческим законам, здесь требуются разные люди. Самые талантливые — вирусописатели. Чтобы написать вредоносный код, способный обмануть систему безопасности банка и преодолеть последние версии антивирусов, нужны и талант, и знания. Аналогичные разработки, к слову, используются для шпионажа и кибервойн. Но есть вредоносные программы и попроще. Они также могут использоваться для хищений денежных средств. Их пишут ребята с более скромными задатками. Те же, кто совершает компьютерные преступления с помощью купленных у них вирусов, порой не имеют не то что компьютерного, а вообще более-менее хорошего образования.
— За вирусы платят много?
— Зарплата «элитного» вирусописателя, по нашим данным, составляет сейчас от 30 тысяч до 50 тысяч долларов в месяц. Такая ставка привлекает некоторых талантливых ребят, но, к счастью, многие из них начинают понимать, что то, что они делают, — серьезное преступление. Правда, сейчас это приводит к тому, что вирусописатели, работающие против российских банков, попросту уезжают в другие страны.
— Почем продают программы, предназначенные для воровства средств у банковских клиентов?
— Такие программы стоят, грубо говоря, от нуля до семи тысяч долларов. При этом за нормальные деньги можно не только купить сам вирус, но и заказать его доработку под конкретный банк и даже загрузку на определенные компьютеры.
— И техподдержку заказать?
— Само собой. Она входит в стоимость вредоносной программы. Обновления, консультации — все это включено в стоимость, как и в мире обычных приложений. Маркетинг, реклама, дизайн, удобство интерфейса — все это неотъемлемые части рынка, на котором торгуют преступным программным обеспечением.
— Вы берете на работу талантливых вирусописателей или хакеров?
— Нет. Это неприемлемо для нашей компании, каким бы гениальным или талантливым киберпреступник ни был. Я считаю, что у человека, заработавшего нечестным способом крупную сумму, в тысячи, сотни тысяч раз превышающую его зарплату, что-то необратимо меняется внутри. Это можно сравнить с выигрышем миллиона долларов в лотерею. Как правило, человек уже не может после такого работать на обычной работе, за обычные деньги. В случае с преступниками здесь еще есть и моральная составляющая. Человек, посчитавший для себя возможным обворовывать других людей, начинает мыслить иначе. Он оценивает, чем рискует — несколькими годами несвободы, что может приобрести — беспечную жизнь. Такой «специалист» не может внушать доверия ни одному работодателю. Все эти истории про хакера, нанятого ФБР и проработавшего там всю жизнь, — для кино. Возможно, спецслужбы и привлекают их, но только на некоторое время и строго контролируя каждый шаг такого работника.
— В прошлом году было несколько громких дел с арестом преступников. Они уже сидят? Какие сроки им дали?
— По мартовскому делу Сбербанка, к примеру, еще не было суда. Кто-то находится под арестом, кто-то под подпиской о невыезде. По двум другим делам суд должен состояться в ближайшее время.. Мы надеемся на торжество закона и на то, что виновные в совершении преступлений будут осуждены и получат реальные сроки.
— А реальные — это сколько? Пять, десять лет? Вряд ли больше дадут.
— А это уже зависит от тяжести совершенных каждым из злоумышленников деяний. Я думаю, что если говорить обо всей преступной группе, то будет несколько условных сроков лишения свободы, несколько сроков лишения свободы по два-три года, и только организаторам могут дать семь лет. Еще раз повторюсь, что все зависит от степени вины каждого и от объективного решения суда.
— Что мешает судить киберпреступников?
— Прежде всего отсутствие должной судебной практики, а также опыта рассмотрения дел, связанных с преступлениями в сфере компьютерной информации у судей. Не все судьи в полной мере могут оценить общественную опасность данного деяния. Поэтому зачастую вместо реальных сроков злоумышленники ограничиваются штрафами или получением условных сроков.
— В России какие-то мягкие сроки для кибермошенников, учитывая масштабы хищений, или это мне так кажется? В других странах с этим строже?
— В США, Китае или Сингапуре за такие преступления и 60 лет можно получить, и 80 лет. А можно и до конца жизни в тюрьме остаться.
— Система «Киберкоп», которую ваше подразделение создает в Сколково, может поменять ситуацию?
— С расследованием преступлений — да.
Концепция системы такая, что на каждом компьютере оперативного сотрудника, следователя, который занимается любым преступлением, связанным с высокими технологиями, не только компьютерными, должен стоять элемент системы «Киберкоп». Чтобы разные преступления сравнивались между собой, анализировались и указывали на причастность к ним определенных преступных группировок, на взаимосвязь. Система, к слову, новая не только для России. Потому она и создается в Сколково, что это продукт, который можно представить мировому рынку. «Киберкоп» — система, способная связывать между собой различные события, анализировать собранные данные. Можно сказать, что она способна в определенном смысле предугадывать совершение преступления, выстраивая модель из разных событий. Это целая научная концепция.
— Когда вы «Киберкоп» покажете?
— Первый прототип мы показали в феврале — экспертам самого Сколково. Готовый аналитический модуль представим в июне этого года. Но отдельные элементы системы уже действуют и используются правоохранительными органами и финансово-кредитными учреждениями.
Беседовал Леонид ЧУРИКОВ,
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
ЦБ установил официальные курсы валют на 18 декабря. Рубль прекратил рост к американской валюте, однако продолжил укрепляться к евро. Курс доллара вырос на 0,0854 рубля, составив 102,9979 рубля (102,9125...
Система гарантирования вводится в сегменте страхования жизни. Механизм защиты будет аналогичен действующим системам страхования вкладов в банках и накоплений в негосударственных пенсионных фондах и начнет действовать...
Российская валюта укрепилась к доллару и евро. Официальный курс доллара, установленный Центробанком на 18 декабря 2024 года, составляет 102,9979 рубля (прежнее значение ...
Аналитики повысили прогноз по средней ключевой ставке Банка России на 2024 год с 17,3% до 17,5%, показал макроэкономический опрос ЦБ...
На торгах 11 декабря доллар, евро и юань стремительно взлетели к рублю. Китайская валюта по итогам сессии прибавила около 4,5%, превысив отметку 14,7 рубля. На внебиржевых торгах доллар укрепился более чем на 4 рубля, поднявшись почти до 107 рублей. Евро вырос на сопоставимую величину, пробив
Центробанк установил официальные курсы доллара и евро на 12 декабря. Рубль ускорил падение к американской и европейской валютам.
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
Казахстанскую продукцию планируют продвигать в торговой сети Grandiose в
ПодробнееЗа первое полугодие 2024 года Мангистау посетили около 250 тыс. туристов из
ПодробнееВице-министр сельского хозяйства Амангалий Бердалин посетил порт Саржа в
ПодробнееПрезидент России Владимир Путин во время "Итогов года" рассказал о значительном
ПодробнееМинфин России в рамках поручения президента РФ Владимира Путина, которое было
ПодробнееЦентробанк России объявил официальный курс доллара США на завтра, 20.12.2024.
ПодробнееЭкономика сегодня
ЦБ установил официальные курсы валют на 18 декабря. Рубль прекратил рост к американской валюте, однако продолжил укрепляться к евро. Курс доллара вырос на 0,0854 рубля, составив 102,9979 рубля (102,9125...
Подробнее Система гарантирования вводится в сегменте страхования жизни. Механизм защиты будет аналогичен действующим системам страхования вкладов в банках и накоплений в негосударственных пенсионных фондах и начнет действовать...
Подробнее Российская валюта укрепилась к доллару и евро. Официальный курс доллара, установленный Центробанком на 18 декабря 2024 года, составляет 102,9979 рубля (прежнее значение ...
Подробнее Аналитики повысили прогноз по средней ключевой ставке Банка России на 2024 год с 17,3% до 17,5%, показал макроэкономический опрос ЦБ...
Подробнее На торгах 11 декабря доллар, евро и юань стремительно взлетели к рублю. Китайская валюта по итогам сессии прибавила около 4,5%, превысив отметку 14,7 рубля. На внебиржевых торгах доллар укрепился более чем на 4 рубля, поднявшись почти до 107 рублей. Евро вырос на сопоставимую величину, пробив
Подробнее Центробанк установил официальные курсы доллара и евро на 12 декабря. Рубль ускорил падение к американской и европейской валютам.
Подробнее
Комментарии (0)