Электронная коммерция в России бурно развивается. Это естественно, ведь «население» Рунета уже достигло шестидесяти миллионов человек, что больше, чем во многих крупных европейских странах. Но данное обстоятельство привлекает и тех, кто на темной стороне.
Интернет-экономика всегда представляла интерес для разного рода андеграунда. Сначала это был специфический криминал, который использовал типично хакерские инструменты. Однако со временем онлайн-пространство начала осваивать и традиционная преступность, адаптируя привычные схемы махинаций. Да и инструментарий из арсенала хакеров стал существенно проще, так что с ним вполне способен справиться практически любой, имеющий навыки работы с компьютером.
В итоге объемы киберпреступности растут. В 2013 году количество зарегистрированных преступлений в сфере телекоммуникаций и компьютерных технологий увеличилось на 8,6%. Таковы официальные данные, которые сообщил начальник Бюро специальных технических мероприятий МВД России Алексей Мошков на 16-м национальном форуме информационной безопасности «Инфофорум-2014».
Бич Рунета
Именно так давно уже называют DDoS-атаки. И в этом нет ничего удивительного. Они просты, не требуют значительных ресурсов и, следовательно, дешевы. По оценке Александра Лямина, основателя и генерального директора компании Qrator Labs, для организации атаки в 150 Гбит/с достаточно десяти серверов средней мощности.
Обычно для организации DDoS-атак используются ботсети из зараженных компьютеров. Средний размер такой сети составляет более 200 тысяч ПК. Но есть и такие, где их число достигает миллиона и выше. Помимо организации атак эти сети занимаются и рассылкой спама. Создатели подобных сетей, авторы соответствующего вредоносного ПО, как правило, сдают их в аренду, сами же атак не проводят. Объем российского рынка такого рода «услуг» эксперты из компании Group IB оценили приблизительно в 110 млн. долл.
При этом технологии проведения атак постоянно меняются, что позволяет при меньших ресурсах повышать мощность. «Это атаки, когда злоумышленник посылает запрос (обычно короткий, в несколько байт) к уязвимым DNS-серверам, которые отвечают на него уже в разы большими по размеру пакетами. Если при отправке запросов в качестве исходного IP-адреса использовать адрес компьютера жертвы (ip spoofing), то уязвимые DNS-серверы будут посылать этому компьютеру ненужные пакеты, пока полностью не парализуют его работу. Часто объектом такой атаки оказывается инфраструктура провайдера, которым пользуется жертва. В прошлом году подобные нападения совершались как на клиентов крупных операторов, так и на небольших провайдеров хостинговых услуг», — таковы, по мнению Qrator Labs, основные технологические новшества в сфере DDoS-атак. Отмечается также рост «интеллектуальности» в работе ботнетов, которые все более успешно маскируются под действия обычных пользователей.
DDoS-атаки уже давно используются для шантажа по отношению к тем, кто занимается электронной коммерцией. Такого рода факты стали массовым явлением еще в 2004 году. Тогда основным объектом атак были интернет-магазины и туристические агентства, где сама неработоспособность сайта или невозможность выхода в Сеть означает прекращение деятельности.
Несколько позже DDoS-атаки стали использоваться в качестве инструмента в конкурентной борьбе. Самым громким примером тому является «дело Врублевского», которое завершилось в 2013 году вынесением приговора с реальными сроками для главных его фигурантов. Летом 2010-го владелец платежной системы Chronopay Павел Врублевский дал поручение нейтрализовать своего конкурента — платежную систему «Ассист». Основным клиентом «Ассиста» был онлайновый сервис продажи билетов «Аэрофлота», который в результате этой атаки потерял работоспособность на неделю.
Помимо этого DDoS-атаки служили для маскировки других преступлений, в частности кражи денег с использованием средств дистанционного банковского обслуживания. Атаки на банки, в том числе и российские, часто совершаются как акты кибертерроризма. В прошлом году была проведена целая серия такого рода действий. При этом была задействована ботсеть из семисот тысяч зараженных компьютеров. В текущем году также были проведены такие атаки.
Первый заместитель начальника Центра защиты информации и специальной связи ФСБ России Алексей Кузьмин в своем выступлении на Инфофоруме2014 сравнил действия вредоносного ПО, включая DDoS-атаки, с использованием оружия. При этом отмечается рост числа атак, прямая выгода от которых ничтожна, но которые являются средством неприкрытого давления на компании или государственные институты. Так что данная проблема носит глобальный характер и не ограничивается одной только электронной коммерцией.
Кражи и шантаж — традиционные и не очень
Использованием DDoS-атак возможности киберпреступников не исчерпываются. Это средство дешевое и надежное, но довольно грубое. Его можно сравнить со взрывом дома или офиса. Но есть и более точечные методы «сравнительно честного отъема денег».
Так, Алексей Кузьмин в своем выступлении рассказал о новой форме шантажа: киберпреступники зашифровывают базы данных информационных систем компании-жертвы и требуют денег за их расшифровку. Троянцы-шифровальщики не являются новым словом в мире вредоносного ПО, но раньше их деятельность ограничивалась обычной офисной документацией. Однако шантажируя компанию утерей критичной информации, естественно, можно получить существенно больше, чем от безадресных угроз, которые к тому же могут оказаться не слишком значимыми. При этом Алексей Кузьмин подчеркнул, что такого рода злоумышленников довольно сложно привлечь к ответственности, так как информацию они не крадут и не уничтожают.
Хотя не редкость и традиционная кража данных из компаний. Но тут цели злоумышленников могут быть разными. Обычно это доступ к высоколиквидным данным для их дальнейшей перепродажи или шантаж и вымогательство самим фактом взлома.
Наибольшим спросом пользуются данные о банковских счетах и кредитных картах. Их очень легко продать через специальные биржи. Такого рода кражи получили очень большое распространение, причем в ряде случаев речь идет о миллионах скомпрометированных карт. За последние месяцы имели место как минимум два таких инцидента. В одном случае в США хакерская группировка совершила кражу в розничной сети. В другом — в Южной Корее действовал внутренний злоумышленник, имевший легитимный доступ к такой информации. И там и там речь шла о миллионах скомпрометированных карт. В Южной Корее инцидент прямо затронул почти половину взрослого населения страны.
Не менее востребованы персональные данные. Особенно те, которые позволяют совершить кражу личности и заключать сделки от имени жертвы. Как отмечается в последнем отчете компании InfoWatch, которая ведет мониторинг утечек информации с 2005 года, нынешняя ситуация коренным образом изменилась. Отмечались случаи неправомерного использования украденной информации и в России. Было обезврежено несколько групп злоумышленников, которые использовали поступившие в их распоряжение персональные данные российских и иностранных граждан для кражи денежных средств у банков путем оформления фиктивных кредитов. Чаще всего этой схемой пользуются сотрудники этих же банков. К слову, здесь мы видим пример того, как данные, украденные в онлайне, используются во вполне офлайновых преступных схемах.
Сотрудники Group IB выявили также случаи продажи доступа к взломанным Web-ресурсам. Как правило, речь шла о банках и деловых СМИ. В итоге у шести банков было украдено как минимум пять миллионов долларов. По словам Алексея Мошкова, злоумышленникам удалось похитить данные десятков тысяч клиентов российских банков.
Не изжиты кражи с использованием средств дистанционного банковского обслуживания (ДБО). Как правило, для перехвата аутентификационной информации пользователей таких сервисов применяются троянские программы или манипулятивные технологии, в том числе фишинг (см.: Без маски и пистолета // Intelligent Enterprise. 2011. № 6).
Проявляют злоумышленники интерес и к новым сервисам, в частности к брокерским и площадкам интернет-трейдинга. На работу с ними переключился целый ряд ботсетей, ранее ориентированных на кражи через ДБО.
Онлайновое пространство активно осваивает и традиционный криминал. Представители правоохранительных органов всячески подчеркивают, что это далеко не только злоупотребляющие алкоголем или наркотиками маргиналы, чей промысел сводится к отъему чужих кошельков и мобильных телефонов. Экономическими преступлениями часто занимаются весьма изобретательные личности с неплохим образованием. И действительно, иначе трудно разработать действующую мошенническую схему, работающую длительное время и приносящую доход.
Вместе с тем обычно всё сводится к довольно простым сценариям. Так, например, открывается фиктивный интернет-магазин, который собирает заказы с условием полной или частичной предоплаты. А потом он просто исчезает вместе с собранными деньгами. Участились случаи нападений на курьеров интернет-магазинов, доставляющих дорогостоящий и высоколиквидный, но при этом компактный товар, например, топовые модели смартфонов, планшетов, ноутбуков.
Противодействие любой преступности — сложный и многогранный процесс. Да, в нем велика роль правоохранительных органов. И они работают. В ушедшем году, например, сотрудники Управления К МВД России предотвратили кражу через каналы ДБО более миллиарда рублей.
Однако остается немало проблем. Очень часто преступники действуют на территории других стран, и на организацию взаимодействия уходит время, что осложняет расследование. Это усугубляется еще и тем, что законодательство не успевает за развитием ситуации. Причем данное обстоятельство касается как развитых, так и развивающихся стран. И киберпреступники этим активно пользуются.
Не изжито и благодушие в отношении киберпреступников со стороны судей. В России эта проблема проявляется наиболее остро. В итоге реальные сроки хакеры или организаторы атак получают довольно редко. Впрочем, это относится не только к нашей стране. Особенно часто, что называется, легким испугом отделываются организаторы DDoS-атак.
Но борьба с киберпреступностью — дорога с двусторонним движением. И не менее важно не только уповать на правоохранительную систему, но и самим закрывать всяческого рода уязвимости в своей инфраструктуре. Деятельность хакеров не была бы успешной без соблюдения хотя бы элементарных норм информационной безопасности. Особенно плохо дело тут обстоит в малом и среднем бизнесе, который широко использует нелицензионное ПО и крайне редко — защитные средства.
Но и крупные компании не всегда в должной мере закрывают «дыры» в своих системах. Так, по статистике аудитов информационной безопасности, проведенных компанией Group IB, лишь в 28% обследованных ресурсов не найдено критических уязвимостей. В среднем же на каждом из проверенных ресурсов было обнаружено шесть уязвимостей, которыми потенциально могли воспользоваться злоумышленники.