С начала года российские власти пресекли деятельность уже трех киберпреступных групп, промышлявших хищением денег из систем дистанционного банковского обслуживания (ДБО). Еще как минимум три такие группировки продолжают действовать. Илья Сачков, генеральный директор компании Group-IB, рассказал в интервью корреспонденту РИА Новости Ивану Шадрину о том, как похищают, обналичивают и где хранят награбленные через интернет деньги, а также почему хакеры из одиночек превращаются в членов традиционных организованных преступных группировок. Group-IB проводит расследования компьютерных преступлений в сотрудничестве с ФСБ и МВД РФ.
- За последние несколько лет, по данным МВД, хакерам удалось увести у клиентов российских банков миллионы долларов. В чем проблема? Что не так в российской банковской системе?
- Нужно понимать, что абсолютно неуязвимой защиты просто не существует. Компьютерные злоумышленники в состоянии взломать практически любую систему. Кроме того, бывают случаи, когда банки сами используют не самые надежные системы.
Например, иногда банки предоставляют клиентам для работы в системе ДБО только логин-пароль и электронно-цифровую подпись (ЭЦП). В таком случае злоумышленник может провести операцию из любого региона, предварительно скопировав незащищенную ЭЦП.
В ответ некоторые банки начали внедрять так называемые токены, с которых ЭЦП извлечь практически невозможно. Однако практика показывает, что USB-токены часто оставляют подключенными к компьютеру, даже когда бухгалтер не работает с системой интернет-банкинга. В таком случае злоумышленники могут удаленно подключиться к компьютеру и провести операцию непосредственно с него. Так они обходят защитную систему, с помощью которой банк отслеживает IP-адреса клиентов для пресечения подозрительных операций, например, проведенных территориально из другого региона. В описанном же случае все выглядит вполне легально: IP-адрес соответствующий, токен правильный, сомнений ничего не вызывает.
Еще более сложная система для защиты использует одноразовые пароли, которые распечатываются банком или присылаются клиенту по SMS. Юридические лица обычно используют пароли на бумаге. Физические - часто пользуются системой SMS-паролей.
- А как обходят систему одноразовых паролей?
- Грубо говоря, злоумышленники подменяют платежное поручение. То есть бухгалтер создает платежное поручение и указывает необходимые реквизиты. Однако за считанные мгновения перед вводом одноразового пароля мошенники изменяют некоторые данные. В тот момент, когда пользователь нажимает кнопку "подписать", реквизиты меняются - и платеж уходит на счет хакеров.
Кибепреступники также могут использовать и другой способ. Мошенники "рисуют" в браузере фальшивое окно для ввода одноразового пароля. Ничего не подозревающий бухгалтер вводит его. Пароль долго обрабатывается, после браузер сообщает, что время ожидания истекло и необходимо ввести следующий одноразовый пароль, так как предыдущая операция не прошла. Бухгалтер вводит следующий пароль, и у злоумышленников в распоряжении уже два актуальных одноразовых пароля, которые должны быть использованы по порядку - первый - для того чтобы войти в систему, второй - чтобы непосредственно отправить платежное поручение.
В этой схеме неважно, приходит ли пароль через SMS, или вы его на бумаге печатаете - вы все равно эти данные вводите сами.
Выбираемая хакерами схема часто зависит от того, какие вредоносные программы находятся в их распоряжении. Не всякое программное обеспечение позволяет осуществлять подмену реквизитов или создавать в браузере ложные окна. Тогда киберпреступники пытаются выуживать пароли методами социальной инженерии.
Нам приходилось сталкиваться со случаями, когда особо дерзкие мошенники звонили пользователям, представлялись сотрудниками службы поддержки банка, просили сообщить пароль и таким образом получали интересующую их информацию.
- Хакер получил все нужные пароли. Что происходит дальше?
- Это зависит от того, какую схему выбрали хакеры. Вариантов несколько.
Если сумма украденного составляет не более 1-1,5 миллиона рублей, то деньги выводят сразу на пластиковые карты так называемых дропов (специально нанятых владельцев банковских карт, которые занимаются обналичиванием похищенных денег). Обычно в течение 15 минут после того, как деньги поступили на карточные счета, дропы обналичивают их через банкоматы и затем отдают своим нанимателям.
Если суммы крупнее, используются более сложные схемы обналичивания. Они применяются обычно при хищении средств в объеме от миллиона до пяти. В этом случае деньги предварительно переводят на счет юридического лица. Дальше сумму могут раздробить и распределить по другим счетам, чтобы сильнее запутать следы.
Минимум 50% суммы оставляют себе "обнальщики" - те, кто занимается процессом обналичивания.
- Это довольно большой процент. С чем связаны такие высокие ставки?
- Прежде всего, с тем, что хищению предшествует длительный период подготовки. Обнальщики и похитители договариваются заранее. К моменту, когда производится хищение, у обнальщиков уже все готово: создано подставное юридическое лицо, открыт счет в банке и выпущены карты, которые раздали дропам.
Нынешняя система позволяет любому юридическому лицу удаленно создать "зарплатный проект". Условно говоря, представитель компании сообщает в банк: у нас работает 15 человек, нам нужны зарплатные карты. Далее банку предоставляются паспортные данные "сотрудников", и тот выпустит карты. Паспортные данные берутся у тех же дропов или покупаются на хакерских форумах.
- Как нанимают дропов?
-Дропы бывают "разводные" и "неразводные". "Разводные" знают о том, что они дропы, и могут обмануть своих нанимателей, скрывшись с деньгами. Поэтому обнальщики если и держат "разводных", то только "своих", так сказать, проверенных.
"Неразводные" о своем нелегальном статусе в явном виде не знают. Для их найма могут создаваться целые сайты по подбору персонала, где пользователям просто предлагают за процент в определенное время снимать деньги. Причем это целые порталы, где ведется статистика заработанных дропами денег, и каждый из них может посмотреть свои текущие задания.
Именно дропы обычно первыми попадаются полиции, но какой с них спрос? Что "разводные", что "неразводные" обычно говорят: "Ничего не знаю, мне вот Вася дал карточку, попросил денег снять - и все".
- Киберпреступность и обычная преступность как-то связаны?
- Весь бизнес по обналичиванию денег исторически находится "под крылом" традиционных преступных группировок. Изначально обнальщики находились в тесных связях с обычными ОПГ и обслуживали их при отмывании денег, поступающих из разных нелегальных источников. Кибермошенникам проще выходить на таких людей, чем самостоятельно разворачивать дроп-проект.
Само собой, когда главари ОПГ видят, что хакеры готовы без проблем отдать до 50% украденных денег, им становится интересно. Причем интересно настолько, что они готовы принимать хакеров в свои ряды и самостоятельно устраивать хищения, оставляя себе почти все похищенные деньги. Мы сталкивались с подобными фактами.
- Кого киберпреступники атакуют чаще - юридические лица или обычных граждан?
- До второй половины 2011 года атаки велись в основном в отношении юридических лиц. После участились атаки на счета физических лиц. Это связано с тем, что компании уделяют больше внимания информационной безопасности своих активов.
А вообще, если смотреть на статистику, то явного разделения просто нет. Воруют у всех подряд и любые суммы. Мы пока видели только одну небольшую группу, которая специализировалась на атаках против физических лиц. И то лишь потому, что в их распоряжении была сравнительно примитивная программа, функционал которой не позволяет атаковать системы юридических лиц.
- МВД недавно сообщила о закрытии бот-сети размером в шесть миллионов зараженных компьютеров. Все «финансовые» бот-сети столь велики?
- Хищения из систем ДБО - это тот случай, когда размер бот-сети вообще не имеет значения. Хакер может контролировать сеть из 50 тысяч зараженных компьютеров - ботов, но только на паре из них будет установлен клиент-банк. Киберпреступники, атакующие системы ДБО, обычно покупают таргетированный трафик с высокой конверсией. В такой бот-сети может быть всего тысяча ботов, из которых большая часть - с системой интернет-банкинга.
Та же банда Carberp (крупнейшая банда, похитившая около 150 миллионов долларов, ее деятельность была пресечена в марте этого года - ред.) старалась взламывать бухгалтерские сайты и через них распространять вредоносные программы. Причина понятна: обыватели на столь специализированные сайты не заходят. Примерно так же работают атаки на простых пользователей - взламываются часто посещаемые сайты банковской тематики. Так что миллионы ботов еще ни о чем не говорят. Важно качество трафика и конверсия. Все как в обычном бизнесе.
- Всегда ли русские хакеры паразитируют на российских банках?
- В 99% случаях, о которых нам известно, - да. Просто отправить платеж в зарубежные банки - очень сложно. Вплоть до того, что нужно лично явиться в банк для осуществления такой операции. Естественно, для киберпреступников такое развитие событий нежелательно.
Когда речь идет о хищении из электронных платежных систем, то переводы в зарубежные системы, наоборот, случаются чаще. Просто потому, что если хакер, стремясь запутать следователей, выводит деньги, предположим, в Пакистан, чтобы потом вывести на свой счет, его след теряется. Зарубежные банки и платежные системы не слишком заинтересованы в предоставлении данных о транзакциях иностранным спецслужбам.
- Платежные системы подвергаются атакам?
- Конечно. Владельцы аккаунтов в различных электронных платежных системах могут также лишиться денег. Там схемы примерно те же, только деньги выводятся либо на другие кошельки, либо опять же на банковские карты.
Деньги легко могут затеряться: похитили у пользователя одной системы, перевели в другую, затем в третью, потом обналичили и вернули опять в первую. Попробуй проследить! Схем может быть очень много. Тем более что многие платежные системы зарегистрированы в оффшорных странах, которые не выдают вообще никакую информацию о транзакциях.
- Насколько велик этот сегмент?
- Размер хищений из электронных кошельков можно сравнивать с хищениями с банковских счетов. Бывает, что обычные люди держат там приличные суммы. Да и фирмы часто имеют счета в таких системах, которые предназначаются для оплаты услуг фрилансеров.
Организовывать хищения денег из электронных платежных систем в какой-то мере даже проще для мошенников, потому что не нужны ни дропы, ни подставные компании, ни прочее. К тому же банки позволяют делать charge back (возврат денег): если факт кражи быстро раскрывается, деньги могут заморозить и вернуть на счет жертвы. В большинстве электронных платежных систем такой процедуры нет.
При атаках на платежные системы деньги иногда выводятся на телефонный счет - сейчас некоторые операторы позволяют обналичивать мобильные счета. Бывает даже, что обналичивают через железнодорожные билеты. Сначала покупают через интернет какой-нибудь дорогой билет на поезд «Москва-Владивосток», а потом возвращают его. При этом преступникам удается вернуть большую часть цены билета.
- Есть ли у киберпреступников "любимые" электронные деньги? Если не в наличности, то где хакеры хранят свои деньги?
- У хакеров есть несколько платежных систем, которыми они активно пользуются. Основная - Liberty Reserve.
Вообще, первой "хакерской" системой была eGold, но потом на нее начали сильно давить спецслужбы, и система постаралась прервать все возможные хакерские транзакции. Тогда в игру вступил Liberty Reserve.
Организация существует с начала 2000-х, но сама система начала активно работать с 2006 года, вскоре после того, как eGold закрылась. Система зарегистрирована в Коста-Рике, в ней есть возможность привязать к счету пластиковую карточку за небольшую сумму около 40 долларов. Пластиковая карта обслуживается одним ливанским банком, который тоже в оффшорной зоне - налог на прибыль составляет 0%.
В LR серьезная система безопасности: за все время существования платежной системы не было ничего серьезней фишинга. При этом у них очень простое пользовательское соглашение, без всяких мелких шрифтов и всего с несколькими условиями: ты сам отвечаешь за свой пароль, никаких возвратов платежей, система отвечает только за сохранность денег и их транзакции. LR берет 1% от суммы, но не более 2,99 доллара. Комиссия в 3 доллара даже с миллиона долларов - выгодно, правда?
Зарубежные и российские хакеры эту систему очень любят, русские называют ее "люба". LR они используют в основном для оплаты услуг друг другу, в том числе потому, что система не блокирует транзакции. LR все равно, за что ты платишь, и что ты там указываешь в комментариях.
Еще одна причина популярности - анонимность. Не было еще такого случая, чтобы владельцы LR выдавали информацию о платежных поручениях властям. Никто не знает, сколько там денег. Почти никто не знает, кто ею управляет.
Что же до ситуации с полным отсутствием возвратов, то позиция у системы такая - LR не банк, этой системе не важна репутация у пользователей. Их главная репутация - это анонимность и надежность транзакций.
- То есть у пользователей этой системы нет никаких гарантий?
- Помимо указанных в пользовательском соглашении - нет. Риск с LR простой - никто не может сказать, что завтра они вообще не перестанут существовать. Все исключительно на доверии.
- Как ловить таких преступников, если им удается достичь такой степени анонимности?
- Есть два подхода. Первый - подход полиции - искать дропов и через них уже выходить на того, кто обналичил, и того, кто собственно и совершил кражу. Однако дроп-сервисов в России много, и они по большому счету заменяемы. К тому же, когда речь заходит о крупных хищениях, ни один киберпреступник не работает с одним дроп-сервисом. Их всегда несколько, потому что ежедневно мошенникам приходится "обрабатывать" десятки платежных поручений - крупные суммы нужно дробить на мелкие, а это большой объем работы.
Ведь владельцы бот-сетей нанимают заливщиков, которые контролируют состояние счета жертвы, переводы и прочую финансовую информацию, не по доброте душеной, а потому что один человек уже не в состоянии проводить хищения такого объема. Это целая схема, и если раскручивать этот клубок, начиная с дропов, то найдешь не организатора, а лишь промежуточные звенья преступной цепочки.
Мы же всегда отталкиваемся от того, что нужно искать организатора, который все это устроил - владельца бот-сети, киберпреступника, который проводит сами хищения. Найдешь его - найдешь всех остальных. Это уже второй способ. По нашим наблюдениям, костяк любой киберпреступной группы состоит из одного, максимум двух человек. Вот их и надо ловить в первую очередь.
- А кто вообще эти люди в жизни?
- Обычные молодые люди, программисты. Часто трудоустроены. Еще чаще - безработные. Они покупают хорошие машины за 3-5 миллиона рублей, квартиры и прочие дорогие вещи, много путешествуют. Вот, например, создатель сети Carberp не все время находился в Москве. С его задержанием были проблемы, поскольку он на похищенные деньги катался по всему миру и ни в чем себе не отказывал. Теперь ему не до путешествий.
- Решение по делу банды Carberp еще не вынесено. С вашей точки зрения, доказательств вины ее главаря достаточно?
- Мы вместе с полицией и ФСБ собирали по крупицам сведения о его деятельности с 2009 года. За это время были исследованы используемые им вредоносные программы, установлены серверы управления бот-сетью, выявлены его связи с другими злоумышленниками. Удалось провести фиксацию телефонных разговоров и отследить перемещения по стране. Параллельно велась работа с привлечением наших зарубежных коллег, что позволило получить данные с серверов управления бот-сетью.
Следствие по этому делу еще не окончено, устанавливается полный список потерпевших, выявляются дополнительные эпизоды. Мы уверены, что таким образом доказательственная база по уголовным делам, связанным с группой Carberp, будет значительно дополнена. И надеемся, что по итогам судебного разбирательства будет принято решение, соразмерное совершенным деяниям, и хотя бы часть похищенных денежных средств будет возвращена потерпевшим. Но в любом случае последнее слово прозвучит уже в суде.