Илья Сачков: «Все начинается со звонка» - «Интервью»

 О том, куда ведут следы компьютерных преступлений в банковской сфере, порталу Банки.ру рассказал генеральный директор компанииGroup-IB, специализирующейся на киберкриминалистике, Илья САЧКОВ.

— С чего начинается расследование банковского киберпреступления?

— Все начинается со звонка. Пострадавший набирает номер банка и говорит: «У меня произошла такая-то история». Дальнейшее зависит от банка. С некоторыми финансово-кредитными организациями (их имена мы не имеем права озвучивать) у нас есть договор на обслуживание всех клиентов, пострадавших от мошеннических операций в системе ДБО. В этом случае с нами связывается представитель банка, и мы осуществляем свою работу по предварительно согласованному алгоритму. Другие банки направляют клиентов к нам, но уже не в рамках устоявшихся договорных отношений, а для того, чтобы разобраться в ситуации. Но, к сожалению, есть банки, у которых для всех пострадавших готов ответ: «От вас пришло заверенное платежное поручение, мы его обязаны исполнить, к нам претензий нет. Не согласны — идите в суд».

— После звонка пострадавшего вы, наверное, первым делом выясняете, хватит ли у него денег для оплаты расследования?

— В отличие от классических компаний, которые занимаются информационной безопасностью, мы сначала выезжаем к клиенту и заключаем быстрое соглашение о конфиденциальности и порядке выполнения работ, а уже потом решаем финансовый вопрос. Потому что в расследовании компьютерного преступления промедление на начальной стадии подобно смерти. И надо понимать, что за него может заплатить как банк (да, и такое бывает), так и сам клиент.

— Значит, к клиенту сразу выезжает «группа быстрого реагирования»?

— На место киберпреступления обычно приезжают трое: криминалист, сотрудник отдела расследований и юрист. Если это хищение у юридического лица, то одна из первоначальных задач — понять, замешан ли в инциденте кто-то из штата компании. Составляются «портреты» людей, отмечаются странности в их поведении и в выполнении или невыполнении должностных обязанностей и инструкций. Фиксируются не только действия лица, работавшего с системой интернет-банкинга, но и поведение административного персонала, сисадминов и т. д. Компьютер, на котором установлена система ДБО, имеющий непосредственное отношение к хищению, опечатывается и либо передается в нашу лабораторию, либо с него снимается «криминалистический образ», для проведения дальнейшего исследования. Это делается при помощи особого чемодана со специальным оборудованием и программным обеспечением.

— Что происходит в лаборатории?

— Задача эксперта лаборатории — основываясь на виртуальных следах, оставленных преступником, ответить на ряд конкретных вопросов: внутренний это был инцидент (с участием кого-то из штата пострадавшей компании) или внешний. Связан инцидент с использованием вредоносного программного обеспечения или не связан. Если была задействована вредоносная программа, то какого она типа и каким функционалом обладает. Как она была загружена в компьютер, в какой промежуток времени. Могла ли быть данная загрузка случайной. Поясню: бывает, что бухгалтер специально заходит на зараженный ресурс, чтобы обеспечить загрузку вируса на компьютер, либо устанавливает его по специальной ссылке.

— Куда вы идете по «компьютерным следам»?

— Мы изучаем, куда обращалось вредоносное приложение, с какой административной панели им управляли. Так можно постепенно выйти на преступную группу, включающую автора вируса и людей, которые управляют операциями по хищению денег.

— И возбуждается уголовное дело?

— От факта первого хищения денег преступниками до момента реализации уголовного дела проходит от года до двух лет. Отмечу: это не срок расследования, проводимого нашей компанией. Нашим экспертам требуется в среднем месяц на проведение исследования компьютера потерпевшего. Кибердетективы нашей компании за месяц, максимум за два устанавливают личность злоумышленника. По итогам исследования и расследования составляются заключения и формируются отчетные материалы, которые передаются пострадавшему клиенту и по договоренности с ним — в правоохранительные органы. Затем от трех до четырех месяцев правоохранительные органы проводят оперативные мероприятия, собирают дополнительные сведения, которые вместе с нашими заключениями будут являться основанием для возбуждения уголовного дела. Этап расследования уголовного дела отнимает еще несколько месяцев. В рамках предварительного следствия разрабатывается преступная группа. Обращения потерпевших объединяют в одно уголовное дело. Далее проводятся следственно-оперативные мероприятия, направленные на установление личностей виновных в совершении преступлений, их задержание, сбор доказательственной базы. Осуществляются компьютерные экспертизы, результаты которых будут служить доказательством в суде. После окончания предварительного следствия материалы передаются в суд. Естественно, что этот процесс занимает длительное время.

— Получается, у преступника есть два года, чтобы украсть и незаметно залечь на дно?

— Ничего подобного. На установление личностей злоумышленников требуется не так много времени. И когда их личности становятся известны, то преступники сразу попадают в поле зрения сотрудников правоохранительных органов, что влечет их задержание. Здесь многое зависит от скоординированной работы оперативных и следственных органов. А вот на сроки прежде всего влияет количество совершенных злоумышленниками преступлений, объем проводимых следственных действий и экспертиз.

— Зарубежная правоохранительная система столь же медлительна?

— По срокам расследования компьютерных финансовых преступлений и в Европе, и в США примерно одинаковая ситуация. Россия здесь никак не выделяется. Сократить сроки расследований, конечно, по возможности необходимо, но это может повлечь следующий негативный момент — отсутствие сбора полной информации обо всех событиях преступлений, совершенных киберпреступниками.

— В вашей лаборатории мне показали, как работают вредоносные программы — сортируют зараженные компьютеры по банкам и по тем системам интернет-банкинга, которыми пользуются их владельцы. Можно посмотреть на экран пользователя, на совершаемые им трансакции. Что еще делает программа?

— Вам продемонстрирован не функционал вредоносной программы. Вам показали на примере исследуемого компьютера преступника, как может выглядеть административная панель управляющего сервера. Основная функция — это автоматизация всех рутинных операций. В административной панели управляющего сервера можно увидеть все зараженные компьютеры и отсортировать их по используемым системам ДБО.

— Работа киберпреступников в Европе и в России отличается? Есть специфика у нашей страны?

— В Европе хакеры сосредоточены на хищениях у физических лиц. В России — у юридических лиц. Европейскими «отмывочными пунктами» стали Латвия и Литва, но все равно в Евросоюзе намного сложнее, опаснее и дороже красть с помощью подставных фирм. Украв, деньги нужно обналичить, а обнальщики берут до 50%. Все решает прибыльность, поэтому в той же Голландии сейчас в моде мобильные вирусы и кражи средств у владельцев смартфонов с операционной системой Android. Остается и традиционный «карточный» бизнес — перепродажа данных карт и воровство с них.

В России же мошенники используют возможность создавать фирмы-однодневки, на которые можно безнаказанно выводить украденные средства. Ориентация на клиентов-банков из числа юридических лиц в такой ситуации обусловлена тем, что у них больше денег на счетах. И движение похищенных денежных средств со счета одного юрлица на счет другого юрлица, например в счет оказания услуг или поставки оборудования, редко вызывает какие-либо подозрения.

— Вывод средств осуществляется через банкоматы?

— К примеру. При этом работает традиционный принцип: «краду данные карточки одной страны, обналичиваю в другой». Русские «налят» Европу и Америку, американцы «налят» русских и азиатов, азиаты «налят» всех, кроме себя.

— Какие еще есть популярные способы вывода средств по карточным реквизитам?

— Допустим, такой: ты делаешь лот на аукционе, например на Ebay, сам его придумываешь, говоришь: «Я продаю кольцо за 60 тысяч долларов». И это несуществующее кольцо «покупаешь», используя для этого реквизиты чужой карты. Естественно, если ты первый раз сделаешь новый аккаунт на аукционе, создашь новый лот стоимостью 60 тысяч долларов и сразу же переведешь за него деньги, у тебя заблокируют данный платеж. Проводится определенная подготовка, чтобы перехитрить Ebay. Кто-то идет другим путем — создает «фальшивые» интернет-магазины, где на самом деле ничего не продается, а осуществляются только трансакции с краденых карт.

— Вы — кибердетективы — определяете, куда уходят деньги?

— Мы как частные эксперты не отслеживаем цепочку движения денежных средств. Наша задача определить вирусописателя, а также человека, который загружал вирус, и тех, кто создавал и управлял бот-сетью (сетью зараженных компьютеров).

— Сколько обычно человек в компьютерной банде и как вы их идентифицируете?

— Состав средней преступной группы — это шесть, максимум девять человек. Наша задача понять, что это за люди — по «телекоммуникационным признакам». Это не значит, что мы всегда устанавливаем фамилию, имя и отчество. Хотя и это не исключено. Но чаще мы говорим, что пользователь с таким-то псевдонимом, IP-адресом, обслуживающийся у определенного провайдера, предположительно мужчина, является человеком, который, по нашим данным, относится к конкретной преступной группе. Задача правоохранительных органов наши выводы проверить «на месте», контактируя с живым человеком.

— Компьютерные преступники — гении?

— Одаренные, безусловно, есть. Но не все. Как правило, в преступной группе есть один талантливый парень, а остальные — так называемые «пассажиры». С учетом того, что банковское мошенничество — это рынок, живущий по коммерческим законам, здесь требуются разные люди. Самые талантливые — вирусописатели. Чтобы написать вредоносный код, способный обмануть систему безопасности банка и преодолеть последние версии антивирусов, нужны и талант, и знания. Аналогичные разработки, к слову, используются для шпионажа и кибервойн. Но есть вредоносные программы и попроще. Они также могут использоваться для хищений денежных средств. Их пишут ребята с более скромными задатками. Те же, кто совершает компьютерные преступления с помощью купленных у них вирусов, порой не имеют не то что компьютерного, а вообще более-менее хорошего образования.

— За вирусы платят много?

— Зарплата «элитного» вирусописателя, по нашим данным, составляет сейчас от 30 тысяч до 50 тысяч долларов в месяц. Такая ставка привлекает некоторых талантливых ребят, но, к счастью, многие из них начинают понимать, что то, что они делают, — серьезное преступление. Правда, сейчас это приводит к тому, что вирусописатели, работающие против российских банков, попросту уезжают в другие страны.

— Почем продают программы, предназначенные для воровства средств у банковских клиентов?

— Такие программы стоят, грубо говоря, от нуля до семи тысяч долларов. При этом за нормальные деньги можно не только купить сам вирус, но и заказать его доработку под конкретный банк и даже загрузку на определенные компьютеры.

— И техподдержку заказать?

— Само собой. Она входит в стоимость вредоносной программы. Обновления, консультации — все это включено в стоимость, как и в мире обычных приложений. Маркетинг, реклама, дизайн, удобство интерфейса — все это неотъемлемые части рынка, на котором торгуют преступным программным обеспечением.

— Вы берете на работу талантливых вирусописателей или хакеров?

— Нет. Это неприемлемо для нашей компании, каким бы гениальным или талантливым киберпреступник ни был. Я считаю, что у человека, заработавшего нечестным способом крупную сумму, в тысячи, сотни тысяч раз превышающую его зарплату, что-то необратимо меняется внутри. Это можно сравнить с выигрышем миллиона долларов в лотерею. Как правило, человек уже не может после такого работать на обычной работе, за обычные деньги. В случае с преступниками здесь еще есть и моральная составляющая. Человек, посчитавший для себя возможным обворовывать других людей, начинает мыслить иначе. Он оценивает, чем рискует — несколькими годами несвободы, что может приобрести — беспечную жизнь. Такой «специалист» не может внушать доверия ни одному работодателю. Все эти истории про хакера, нанятого ФБР и проработавшего там всю жизнь, — для кино. Возможно, спецслужбы и привлекают их, но только на некоторое время и строго контролируя каждый шаг такого работника.

— В прошлом году было несколько громких дел с арестом преступников. Они уже сидят? Какие сроки им дали?

— По мартовскому делу Сбербанка, к примеру, еще не было суда. Кто-то находится под арестом, кто-то под подпиской о невыезде. По двум другим делам суд должен состояться в ближайшее время.. Мы надеемся на торжество закона и на то, что виновные в совершении преступлений будут осуждены и получат реальные сроки.

— А реальные — это сколько? Пять, десять лет? Вряд ли больше дадут.

— А это уже зависит от тяжести совершенных каждым из злоумышленников деяний. Я думаю, что если говорить обо всей преступной группе, то будет несколько условных сроков лишения свободы, несколько сроков лишения свободы по два-три года, и только организаторам могут дать семь лет. Еще раз повторюсь, что все зависит от степени вины каждого и от объективного решения суда.

— Что мешает судить киберпреступников?

— Прежде всего отсутствие должной судебной практики, а также опыта рассмотрения дел, связанных с преступлениями в сфере компьютерной информации у судей. Не все судьи в полной мере могут оценить общественную опасность данного деяния. Поэтому зачастую вместо реальных сроков злоумышленники ограничиваются штрафами или получением условных сроков.

— В России какие-то мягкие сроки для кибермошенников, учитывая масштабы хищений, или это мне так кажется? В других странах с этим строже?

— В США, Китае или Сингапуре за такие преступления и 60 лет можно получить, и 80 лет. А можно и до конца жизни в тюрьме остаться.

— Система «Киберкоп», которую ваше подразделение создает в Сколково, может поменять ситуацию?

— С расследованием преступлений — да.

Концепция системы такая, что на каждом компьютере оперативного сотрудника, следователя, который занимается любым преступлением, связанным с высокими технологиями, не только компьютерными, должен стоять элемент системы «Киберкоп». Чтобы разные преступления сравнивались между собой, анализировались и указывали на причастность к ним определенных преступных группировок, на взаимосвязь. Система, к слову, новая не только для России. Потому она и создается в Сколково, что это продукт, который можно представить мировому рынку. «Киберкоп» — система, способная связывать между собой различные события, анализировать собранные данные. Можно сказать, что она способна в определенном смысле предугадывать совершение преступления, выстраивая модель из разных событий. Это целая научная концепция.

— Когда вы «Киберкоп» покажете?

— Первый прототип мы показали в феврале — экспертам самого Сколково. Готовый аналитический модуль представим в июне этого года. Но отдельные элементы системы уже действуют и используются правоохранительными органами и финансово-кредитными учреждениями.

Беседовал Леонид ЧУРИКОВ,