Кибер-преступления: заход с "хвоста"
Сотрудники отдела, расследующего преступления в области высоких технологий, рассказывают о том, как идет борьба с кибер-преступлениями
Москва. 11 апреля. INTERFAX.RU – Отдел, занимающийся расследованием преступлений в сфере высоких технологий, несколько лет назад был создан в структуре Следственного департамента МВД. Как рассказали "Интерфаксу" в ведомстве, расследуемые дела касаются, в первую очередь, хищений средств с банковских или виртуальных счетов, которые совершаются при помощи "фишинга" (это способ получения доступа к личным данным пользователей, их логину и паролю при помощи различных обманных схем).
В ходе расследования подобных дел следователи МВД столкнулись с тем, что существующие методики не применимы к подобного рода преступлениям. Наше законодательство имеет рычаги противодействия нарушению прав интеллектуальной собственности с использованием материальных носителей – например, магнитных или оптических. Таких дел в производстве следователей было много и по ним выносились обвинительные приговоры. Раскрытие преступлений, связанных с использованием так называемых торрент-трекеров, для МВД в свое время стало новинкой.
В пресс-службе Следственного департамента "Интерфаксу" рассказали, что также окончен ряд дел, связанных с хищением денег с виртуальных кошельков. Дело в том, что эти средства безналичного расчета можно обналичить через специальные кассы. В России сегодня на компьютерных преступлениях подобного плана специализируются примерно шесть крупных преступных групп. Они имеют покровительство со стороны "традиционных" преступных сообществ. Ущерб от таких краж в десятки, а иногда и в сотни раз превышают таковой от обычных краж.
"Дело в том, что такие преступления имеют высокую латентность – многие банки просто не обращают внимания на пропажи мелких сумм со счетов, более того, они стараются скрыть подобные факты, так как это несет ущерб репутации", - говорит начальник отдела по расследованию особо важных дел о преступлениях в кредитно-финансовой сфере и сфере высоких технологий Дмитрий Матенко.
Если с банковской карты пропадает какая-то относительно небольшая сумма, кредитному учреждению проще вернуть клиенту украденные злоумышленниками деньги, чем обнародовать подобные факты. Кредитным учреждениям невыгодно обнародовать факты краж, которые косвенно указывают на провалы в их системе защиты, поясняет собеседник агентства.
По мнению полиции, многие недооценивают ту опасность, которую несут подобные преступления, что неправильно, потому что с каждым днем наша жизнь все глубже погружается в интернет.
"Кибер-преступники представляют вполне реальную угрозу. Они мобильны, изобретательны, способны нанести значительный вред, они хорошо пользуются анонимностью, которую предоставляет сегодня российский сегмент интернета", - продолжает Д.Матенко.
Простой пример: в случае, если кого-то из хакеров привлекают к ответственности, его товарищи быстро собирают среди "своих" деньги на хорошего адвоката. Опять же, они пользуются Интернетом и в качестве инструмента пропаганды.
Сегодняшний Уголовный кодекс имеет всего три статьи, в которых квалифицируются преступления в сфере высоких технологий. Это статья 272 (Неправомерный доступ к охраняемой законом компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ), 274 (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей) УК РФ. При этом сами полицейские насчитывают более десяти типов компьютерных преступлений.
"Такие технологии – это будущее, это надо признать. Банки, социальные учреждения, коммунальные организации, службы "одного окна" все больше работают в мировой "паутине". Именно поэтому очень важно внимательно относиться к своей "электронной" безопасности, соблюдать компьютерную "гигиену": пользоваться проверенными ресурсами, защищать свои учетные записи, не допускать к этим данным посторонних, пользоваться мощными антивирусными программами", - констатирует Д.Матенко.
Многие пострадавшие стали таковыми из-за своей безалаберности. Предприниматели доверяют свои логины и пароли от электронных счетов своим подчиненным. Понятно, что хозяин бизнеса, особенно более-менее крупного, не будет лично работать с платежными системами: он передает доступ секретариату, бухгалтерии. Все это очень облегчает работу преступникам.
Практика следователей говорит, что никто из потерпевших не становился жертвой целенаправленной атаки хакеров. Доступ к данным был получен при помощи автоматических программ, заражавших компьютеры тех, кто заходил на сайты разнообразных социальных сетей и подобных ресурсов. Сначала у людей "уводили" логин и пароль, потом создавалась фальшивая учетная запись в платежной системе, затем уже осуществляется вход. После этого злоумышленники изучают состояние счетов, перепродают логин и пароль за часть суммы на счете, и уже другая преступная группа начинает небольшими суммами раскидывать деньги на другие счета "электронных кошельков". Оттуда эти деньги обналичиваются через специальные обменные пункты, при этом часто конвертируются в валюту.
Причем, последнее делается специально, так как перевод из рублей в другую валюту ведет к тому, что следователи для получения информации от владельца платежной системы вынуждены писать запросы в контакт-центры, расположенные за рубежом, а это месяцы ожидания ответа.
"Для регистрации электронного кошелька максимум что требуется – это копия страниц паспорта. Настоящий паспорт нужен только в банке. Объем полномочий клиента зависит от предельной суммы, которой может оперировать клиент, с ростом лимита растет и уровень контроля", - поясняет сотрудник Следственного департамента.
Злоумышленники пользуются большим количеством счетов, на которые кладут небольшие суммы. Следы путают так, что концов, куда ушли деньги, зачастую не найти.
В этой ситуации, считают в МВД, необходимо ужесточение контроля за электронными "кошельками". Сегодня по рублевым счетам полиция может получать информацию в России, а по валютным – например, в Вильнюсе, где у компании-владельца конкретной платежной системы находится международный контакт-центр. Преступники прекрасно это знают и пользуются тем, что коммерсантам невыгодно выдавать информацию о клиентах, показывать пути вывода денег, чтобы не терять их. Это бизнес.
В ходе расследования одного дела следователи выяснили, что регистратор доменного имени не сохраняет даже копию паспорта человека, регистрирующего сайт. Это же касается и создания пиратских сайтов, которые регистрируются через европейские и азиатские ресурсы, да и у нас в России тоже. При регистрации указываются данные о личности вроде ХХХ, УУУ или вообще какие-то хамские фразы пишутся. Между МВД и российским координационным центром доменной зоны "ru" год шли переговоры, и только с сентября 2010 года регистраторы были обязаны требовать копии паспортов.
Но это делается не при личной явке, а через сеть при помощи сканера. При раскрытии одного преступления было изъято несколько жестких дисков, на которых были сканы нескольких тысяч паспортов. Причем одна фотография может использоваться с разными персональными данными. В производстве Следственного департамента МВД России находится дело, где сайт был зарегистрирован по паспорту умершего человека. Данные настоящие, копия реальная, а его владелец уже в земле лежал к тому времени.
Полиция не спешит делиться секретами своей работы по раскрытию преступлений в сфере высоких технологий. Самое мощное подразделение в России в этом вопросе – Бюро специальных технических мероприятий (БСТМ) МВД России. Это и электронное, и физическое слежение, другие мероприятия. Это сложный комплекс технических и оперативных мероприятий. Злоумышленников ловят на ошибках, мелочах, наглости.
"Любой человек рано или поздно ошибается, устает. Нужно терпение. Злоумышленники пользуются другими ip-адресами, расположенными за рубежом, но рано или поздно засвечивают свой, настоящий адрес. По одному делу у нас было сто листов ip-адресов, с которых выходил разыскиваемый. Проверяли все подряд, где-то на восьмидесятом листе нашли то, что нужно – домашний, правильный адрес", - рассказал также Д.Матенко.
После того, как было установлено и проверено место жительства подозреваемого, в ход пошли уже менее тонкие методы работы – "болгарка", вскрытие двери, задержание и обыск.
Обычно преступление раскрывается, скажем так, с "хвоста". Следователи начинают изучать преступный эпизод, выстраивают цепочку, которая приводит к преступнику.
Опять же помогает и наглость преступников, которые со временем начинают себя считать неуловимыми и пытаются атаковать серьезные государственные ресурсы. Тогда включаются уже совсем другие силы.
На слуху история, когда на электронном экране на Садовом кольце вместо рекламы вдруг появился порно-ролик. "Автора", взломавшего систему компании-владельца экрана и заменившего рекламу на это видео, нашли за сутки, причем далеко от Москвы.
"Недавно мы завершили расследование уголовного дела о многомиллионном мошенничестве с платежными терминалами. В деле фигурирует группа лиц, обвиняемых в совершении преступлений, предусмотренных статьей 159 (мошенничество с причинением ущерба в особо крупном размер), статьей 272 (неправомерный доступ к охраняемой законом компьютерной информации, осуществленный группой лиц по предварительному сговору) и статьей 273 (создание, использование и распространение вредоносных программ) УК РФ", - рассказал Д.Матенко.
Автором преступной схемы стал выпускник одного из престижных вузов, получивший образование в области прикладной информатики в сфере экономики, Максим Глотов.
Молодой человек, используя полученные знания и наработанный опыт, создал уникальную в своем роде компьютерную программу - вирус типа "Троян". Данная программа позволяла получать с зараженных компьютеров сведения, сохраненные на их жестких дисках, в частности, различные учетные данные.
Попадая по электронной рассылке на различные компьютеры, вирус, в случае его активации, собирал различные данные с зараженного компьютера и передавал их по электронной почте злоумышленникам.
Так, программа позволяла получать логины и пароли для работы с электронной почтой, информацию, содержащую коды доступа и управления электронными кошельками в Интернете, а также данные, позволявшие управлять средствами платежных терминалов. Уникальность вируса состояла в том, что после активации и сбора сведений на зараженном компьютере, программа зачищала все следы своего пребывания на нем, а после этого самоуничтожалась.
По данным следствия, М.Глотов не только сам использовал свое детище, но и распространял его на хакерских ресурсах с подробными инструкциями по применению. За короткое время программист собрал группу единомышленников, согласившихся участвовать в реализации преступной схемы.
Таким образом, с 2006 по 2009 годы, похищая учетные данные по управлению платежными терминалами, злоумышленники похитили у их владельцев более 10 млн рублей. Мошенники анализировали полученные сведения, вычленяли коды доступа к терминалам, создавали их ложные копии и переводили деньги с легально функционирующих аппаратов на свои специально открытые электронные счета.
Преступная схема охватывала практически всю территорию страны. Таким образом, преступному посягательству могла подвергнуться любая компания, владеющая терминалами по оплате различных услуг, работники которой имели неосторожность активировать на своих компьютерах вирусную программу.
Похищенные деньги обналичивались через зарегистрированные на подставных лиц банковские карты, телефонные SIM-карты, а также виртуальные электронные кошельки различных платежных систем.
"Несмотря на запутанную и сложную преступную схему, нам удалось задокументировать незаконную деятельность мошенников и собрать доказательную базу. Материалы уголовного дела направлены в суд для рассмотрения по существу. Обвиняемым грозит до 10 лет лишения свободы", - отмечает собеседник агентства.
Несмотря на кажущуюся "интеллигентность" этого вида преступности, сотрудникам полиции, расследующим такие аферы, регулярно поступают и угрозы, и звонки с предупреждениями.