В последние три десятилетия сложилась общемировая тенденция миграции всяческого рода криминальной активности в киберпространство. И наша страна не осталась здесь в стороне.
Причины тому просты. Главная из них — прибыльность. Суммы, которые можно украсть с помощью различных ИТ-средств, те же, что и при «традиционной» преступности, а то и больше. А делать это существенно проще как с технической, так и с моральной точки зрения. Вооруженное нападение требует значительных затрат времени, финансов и тщательной подготовки, а малейший сбой почти неминуемо ведет к провалу всей операции. А вот кибермошенничество может быть успешным и тогда, когда всё пошло не совсем так, как первоначально задумывалось. В конце концов можно просто выбрать другую цель. Тем более, что для преступных посягательств используются простые и довольно дешевые инструменты. Для работы с центром управления бот-сетью не нужно ничего, кроме обычного персонального компьютера с доступом в Интернет. При этом применение данного рода инструментов с Web-интерфейсом не сложнее настройки маршрутизатора, ориентированного на потребительский рынок.
Зато уровень риска, связанный прежде всего с экстерриториальностью сети, существенно ниже. Легко можно ограбить того, кто находится совсем в другой стране, и тем самым просто оказаться вне юрисдикции ее правоохранительных органов. И это усугубляется тем, что законодательство очень многих государств (тут называют Белоруссию, Болгарию, Индонезию, Македонию, Молдавию, Украину, Таиланд) заметно опаздывает, так что некоторые деяния вполне могут оказаться за рамками уголовного кодекса. В итоге преступники или остаются безнаказанными, или, что называется, отделываются легким испугом. К тому же эти преступления не связаны с насилием, что нередко вводит в заблуждение судей и прокуроров. Даже если речь идет о хищении очень больших сумм. По-настоящему безжалостны к киберпреступникам лишь в Китае и США.
Кроме того, о киберпреступлениях очень часто не информируют правоохранительные органы. Например, в Германии латентность такого рода преступлений составляет 80%. В России, как отметил сотрудник Управления К МВД РФ Валерий Стеклов на III международной конференции «Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. AntiFraud Russia — 2012», эта доля уже близка к 85%. Объясняется это тем, что различные издержки, связанные с обнародованием такой информации, могут быть выше, чем ущерб от самой кражи или мошенничества. Тут показателен пример банка Societe Generale, куда несколько раз поступали предупреждения о сомнительных сделках, которые вел печально известный трейдер Жером Кервьель. Но только когда убытки достигли десяти миллиардов евро, были предприняты меры.
И наконец, постоянно появляются новые сервисы, которые выгодно атаковать. Это касается целого ряда услуг банков, в частности дистанционного банковского обслуживания (ДБО). О том, как именно происходят кражи через ДБО, мы уже писали (см.: Без маски и пистолета / / IE. 2011. №6). Да и переводы денежных средств между компаниями, не обязательно финансовыми, были мишенью для киберпреступников последние полвека. В поле зрения киберпреступников всегда были и всевозможные платежные системы, где долго использовались крайне слабые методы защиты. Одно время, до кризиса 2007—2009 годов, были очень популярны атаки на онлайновые игры, где также не использовались серьезные меры защиты, зато очень многие виртуальные предметы или просто «прокачанные» учетные записи стоили весьма крупных сумм.
Как бороться с кибрепреступниками. Российский опыт
Российские правоохранительные органы накопили определенный опыт в борьбе с мошенничеством в области высоких технологий. Информация о том, что задержана та или иная преступная группа, из разных регионов страны поступает регулярно. Причем именно в регионах часто нарабатывается необходимая практика. Например, в октябре 2012 года в Уфе получили реальные сроки участники группы скиммеров (мошенников, совершающих кражи с карточных счетов путем перехвата реквизитов платежных карт, для чего используются специальные устройства). Этот прецедент, насколько нам известно, стал первым в России в отношении высокотехнологичного хищения средств с карточных счетов, которое в последнее время получило очень большое распространение. Кроме того, данный вид мошенничества весьма труднодоказуем.
Заметных успехов в 2012 году достигло и Управление К МВД РФ. В феврале была обезврежена банда мошенников, которые для кражи со счетов частных лиц использовали методы фишинга, заманивая жертву на поддельный сайт банка, где и перехватывались реквизиты. В марте задержали крупную банду, совершавшую многомиллионные хищения со счетов клиентов десятков российских банков, в том числе Сбербанка и ВТБ. А в июне после десяти месяцев кропотливой оперативной работы была ликвидирована одна из крупнейших в мире бот-сетей «Оригами». Ее организаторы, известные в определенных кругах как Гермес и Араши, арестованы. Данная бот-сеть использовалась в том числе и для хищения денежных средств со счетов как предприятий, так и частных лиц. Очень большое количество преступлений было раскрыто совместными усилиями с компаниями, которые занимаются сбором юридически значимых доказательств различных кибермошенничеств. Самой известной среди них является Group-IB. Активным было и взаимодействие со службами экономической и информационной безопасности крупнейших банков, в частности Сбербанка и ВТБ. Кстати, без этого взаимодействия не может быть и речи о раскрытии такого вида криминальной активности, как уже упомянутый скимминг, который распространяется в последнее время очень высокими темпами.
Целый ряд преступлений был раскрыт благодаря бдительности рядовых сотрудников банков и торговых точек. Так, в Краснодаре банду мошенников удалось задержать потому, что кассир решила на всякий случай сохранить чеки от покупок подозрительных клиентов. Оказалось, что они расплатились поддельной картой, куда поступали средства со скомпрометированных карт. Этот прецедент показывает, насколько важно доводить до сотрудников меры, связанные с поддержанием норм безопасности.
В банковской сфере, по крайней мере если речь идет о крупных банках, это осознали уже довольно давно, но в сфере розничной торговли во многом пока не торопятся закрывать данный риск. И это несмотря на то, что количество инцидентов, связанных с мошенничеством, в том числе и с использованием поддельных карт, показывает очень высокий рост.
Был также предпринят целый комплекс мер по информированию потенциальных групп риска. В частности, сотрудники Управления К МВД РФ подготовили брошюру, где перечислены наиболее распространенные способы разных видов мошенничества, включая телефонное, с пластиковыми картами и связанные с использованием различного вредоносного ПО для компьютеров и смартфонов. Эта брошюра написана простым языком, не перегруженным сложными терминами, и при этом вполне раскрывает заданную тему. Схожие документы выпустили многие крупные банки и операторы связи.
Нерешенные проблемы
Противостояние между авторами вредоносного и антивирусного ПО сравнивают с битвой снаряда и брони. Сейчас, как отмечают очень многие специалисты, последние все же отстают. Именно по этой причине злоумышленникам удается внедрять на ПК своих жертв вредоносы, которые и похищают аутентификационную информацию, позволяя совершать кражи. Никуда не делись и уязвимости, эксплуатируемые преступниками.
Кроме того, злоумышленники используют всякого рода манипулятивные средства, которым трудно противостоять. Да и традиционные хорошо известные методы социальной инженерии срабатывают чаще, чем хотелось бы. А довести до всех субъектов того же ДБО организационные меры противодействия в полном объеме крайне трудно. Да и внедрение всех методологий противодействия все равно не дает полной защиты. Как показывает практика компаний, осуществляющих аудит информационной безопасности, в организациях, где внедрен стандарт ISO 27001, в 50% случаев персонал идет на поводу у злоумышленников. Другое дело, что там, где аудита нет, данная величина составляет уже 95%.
Как уже отмечалось, законодательство не всегда успевает за развитием технологий. В итоге отсутствие или нечеткость формулировок тех или иных противоправных действий позволяет разваливать дела в суде несмотря на то, что доказательств больше чем достаточно. В России это относится к статьям 272 (неправомерный доступ к компьютерной информации) и 273 (создание, использование и распространение вредоносного ПО) УК. Так, например, под эти статьи не подпадает использование средств администрирования бот-сетей, что в некоторых других странах является отягчающим обстоятельством. Кроме того, наказание по ним, несмотря на недавнее ужесточение, все же остается довольно мягким. Вне УК РФ до сих пор остается рассылка спама. В итоге удалось привлечь к ответственности лишь одного спамера, и то потому, что тот по совместительству оказался еще и педофилом.
Много проблем было связано и с тем, чтобы определить, под юрисдикцию какого региона подпадает преступление. А мошенники похищали денежные средства в одном, а снимали их уже совсем в другом. Это приводило к целому ряду сложностей бюрократического порядка, на устранение которых уходило время, что позволяло злоумышленникам замести следы. Далеко не всегда меры, которые предпринимают компании, передавая информацию в правоохранительные органы, находят адекватную оценку среди коллег-журналистов и блоггеров. В итоге, например, чуть не была сорвана операция по выявлению злоумышленников, которые похищали деньги со счетов в одном из крупнейших российских банков, так как сведения о том, что этот банк передает данные Управлению К, разместил в своем онлайн-дневнике один из блоггеров-тысячников.
Положение усугубляет и благодушие судей. Как подчеркнул в своем выступлении на конференции «AntiFraud Russia — 2012» генеральный директор компании Group-IB Илья Сачков, слишком часто российские кибермошенники получают условные сроки, хотя речь идет о многомиллионных кражах. Естественно, такое наказание мало кого будет сдерживать от совершения подобных преступлений. Даже в случае со спамером-педофилом, о котором было сказано выше, судья назначил минимально возможный срок.
И все же дело сдвигается с мертвой точки. Это показывает хотя бы первый приговор в отношении скиммеров, о котором было сказано выше. Появилась также практика привлечения преступников по общеуголовным статьям, таким как кража и мошенничество. Это позволило назначить весомые сроки наказания.
Наша защита в наших руках
Владимир Мамыкин,
директор по информационной безопасности Microsoft в РоссииКиберпреступность сегодня, к сожалению, вошла в нашу жизнь. И в этой связи хочется еще раз напомнить, что обеспечение защиты — это двусторонний процесс, в котором должны участвовать как поставщики услуг, так и сами пользователи. Приведу пример: многие из нас ездят в маршрутных такси, которые в большинстве своём исправны, проверяются перед выходом в рейс и т.п. Но тем не менее пока еще встречаются на дорогах неисправные маршрутки, битком набитые пассажирами, и фактически пассажиры эти рискуют своей жизнью. Все знают, чем может быть опасен такой транспорт, но продолжают им пользоваться. Почему я привел этот пример? Зачастую кибермошенники пользуются нашей невнимательностью и нежеланием прислушиваться к рекомендациям, которые выпускают поставщики услуг, эксперты рынка и т.д. Если посмотреть, как, например, создаются ботнет-сети, то можно заметить, что в зоне риска находятся ПК, на которых стоят устаревшие версии ПО с не установленными обновлениями, не стоят или не включены антивирусные программы со свежими базами, не настроен браузер и не включен межсетевой экран. Более того, пользователь своими руками может включить свой ПК в ботнет, кликнув на вредоносной ссылке, присланной в спаме или занимаясь поиском и установкой «бесплатных», т.е. пиратских копий ПО. По данным исследований, проведенных Group-IB (www.group-ib.ru / list / 176-news / ? view=article&id=817), около 92% ссылок, представленных в ТОП-10 страниц в поисковиках Yandex и Google, могут нанести пользователям вред, в том числе привести к утрате конфиденциальной информации. Если эти данные перевести в абсолютные цифры применительно к пользователям услуги интернет-банкинга, то риску утраты конфиденциальной информации, в том числе данных, необходимых для авторизации в системах интернет-банкинга, потенциально могут быть подвержены до 397,4 тыс. пользователей ежемесячно.
Примеров пользовательских проблем можно привести много, и большинство из них не будут уникальными. Именно поэтому Microsoft уделяет особое внимание не только постоянному совершенствованию своих программных решений, но и повышению компьютерной грамотности пользователей и обеспечению информационной защиты. Наша защита, как бы это странно для многих ни звучало, действительно в наших руках.