11 марта, 2014, BIS Journal №1(12)/2014

Чтобы вернуть похищенное


Федоров Алексей

начальник отдела развития информационной защиты управления информационной безопасности Департамента безопасности (ОАО «Россельхозбанк»)

Первоочередные мероприятия банка при инцидентах кражи денежных средств клиентов в системе ДБО

Электронное мошенничество в банковской сфере превратилось в теневую отрасль экономики. Это криминальный рынок, на котором определены роли  –  организация хищений, взлом компьютеров, вывод и обналичивание денег. Службы безопасности банковской сферы и правоохранительные органы порой не в силах справится с этим явлением, а государство ещё не осознало в должной мере важности этой проблемы.

 

Сегодня у злоумышленников очень популярен взлом персональных компьютеров – рабочих мест клиентов различных банков.  Эти компьютеры являются доверенными участниками систем дистанционного банковского обслуживания, электронных кошельков, денежных переводов, в том числе банков-корреспондентов платёжных систем (Contact, WesternUnion, Moneygram, Unistream, Migom и других).

Статистики киберпреступлений за 2013 год пока нет, но впечатляют и цифры за предыдущие годы. По оценкам экспертов, объём мирового рынка компьютерной преступности в 2011 году составил $12,5 млрд. Треть этой суммы пришлась на российский рынок и оценивается примерно в $4,5 млрд. По оценке компании Symantec, каждую секунду в мире совершается в среднем 18 киберпреступлений, а за 2012 год жертвами киберпреступников стали более 31 млн жителей России. Symantec оценила ущерб пользователей от киберпреступлений в $110 млрд, из них россиян – на сумму около $2 млрд.

КВАЛИФИКАЦИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Компьютерные преступления в системах ДБО квалифицируются как мошенничество, расследованием их (далее киберпреступлений) занимаются подразделения «К» Бюро специальных технических мероприятий (БСТМ) МВД России.  Одним из последних документов, который описывает практику расследования этих преступлений, стало Постановление Пленума Верховного Суда РФ от 27 декабря 2007 года № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате».

Согласно п. 1 этого постановления, «мошенничество совершается путём обмана или злоупотребления доверием, под воздействием которых владелец имущества или иное лицо либо уполномоченный орган власти передают имущество или право на него другим лицам, либо не препятствуют изъятию этого имущества или приобретению права на него другими лицами». Соответственно, обман и злоупотребление доверием – это способы совершения мошенничества. В банковской сфере речь идет о завладении обманным путем секретными реквизитами пострадавшего (логином, паролем и закрытым ключом) и о совершении от его имени электронных платежей в системе ДБО.

В постановлении определяется момент окончания мошенничества и отличие его от других преступлений. Мошенничество считается оконченным, когда у мошенника возникает юридически закрепленная возможность вступить во владение или распорядиться чужим имуществом как своим собственным. Таким образом сложилась практика: расследование киберпреступлений должно проводиться по месту окончания мошенничества, где было проведено обналичивание денежных средств. Поэтому материалы доследственной проверки, проведённой по обращению пострадавшего в правоохранительные органы, передаются в территориальные подразделения «К» по месту снятия похищенных средств в банкомате.

Такая практика приводит к децентрализации проведения расследования и передаче материалов доследственной проверки в территориальные подразделения БСТМ или ГУЭБиПК, которые не обладают необходимым потенциалом для расследования подобных дел. В результате много времени уходит на передачу документов между подразделениями МВД России, появляются лазейки для «отфутболивания» сотрудниками правоохранительных органов этих материалов в другие подразделения. Теряется драгоценное время, необходимое для оперативных действий – проведения расследования, поиска злоумышленников.

СХЕМА КИБЕРПРЕСТУПЛЕНИЯ

Местом совершения киберпреступления, в отличие от привычного подхода, следует считать место расположения взломанного компьютера, который является доверенным клиентом платёжного инструмента  – системы ДБО, платежной системы, провайдера услуг/товаров.

СХЕМА 1. Место совершения киберпреступления

В данном случае несущественно, что преступление совершается последовательно в нескольких ключевых пунктах (см. Схему 1):

  • источник заражения взломанного компьютера;
  • организатор;
  • источник удалённого управления заражённым компьютером для вывода денежных средств;
  • взломанный компьютер;
  • ПИ – платёжный инструментарий;
  • банк;
  • транзит;
  • точка обналичивания.

Рассмотрим следующий механизм киберпреступления в системе ДБО  (см. Схему 2).

СХЕМА 2. Обобщённая схема киберпреступления

В большинстве случаев предпосылкой кражи является заражение компьютера вредоносным программным обеспечением. В результате компьютер может стать звеном бот-сети, которая иногда объединяет сотни тысяч заражённых компьютеров (так называемых «зомби»). Код вредоносного программного обеспечения постоянно модифицируется и не всегда отслеживается антивирусами. Заражённый компьютер способен использоваться для спам-рассылки, DDoS-атак (массового одновременного обращения к одному источнику с целью вывода его из строя), а также при краже электронных денежных средств.

«Вредонос» выявляет подключение заражённого компьютера к системе ДБО и загружает на него специальный код для системы ДБО конкретного разработчика. Код, копируя логин/пароль и электронные ключи пользователя, пересылает их злоумышленникам. Кроме того, часто встречаются случаи, когда перевод денежных средств осуществляется непосредственно с компьютера жертвы посредством специально загружаемого кода для удалённого управления клиентским местом системы ДБО.

Рассмотрим обобщённую схему хищения. Заказчик намечает жертвы и выходит на организатора хищения. На криминальном рынке в наличии готовые «решения» – продукты от хакеров (взломщиков). Предлагаются списки взломанных компьютеров («дедиков», «дедов», «зомби» – звеньев бот-сети) под удалённым управлением хакеров, вредоносные коды троянов для работы с платёжным инструментарием (включая системы дистанционного обслуживания, банк-клиент, платёжных переводов или электронных денег).

Схемы краж отработаны и проверены. Организатор под заказчика подбирает инструменты и исполнителей. Подбирается «заливщик» – специалист по выводу денег, который организует списание денег со взломанных счетов для получения в итоге наличных или товарного эквивалента. Следующим в  схеме будет «дроповод», который предоставляет «дропов» – получателей наличных.

На этом этапе мошенничества неважно, «разведённый» это дроп, который не догадывается о своём участии в мошенничестве и искренне считает себя посредником в легальных сделках, или же «неразведенный», участвующий в криминальной схеме сознательно. Важно, что цепочка замкнулась, организатор получает деньги и передает их заказчику.

ДЕЙСТВИЯ СЛУЖБЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА

В случае хищения необходимо зарегистрировать инцидент и описать все обстоятельства кражи денег. Для начала можно просто зафиксировать время обращения в службу информационной безопасности банка о данном инциденте и, начиная с этого времени,  протоколировать все действия. Нужно подготовить материалы для дальнейших мероприятий:  копии платёжек мошеннических переводов, логи системы ДБО, контактные телефоны пострадавшего клиента.

Необходимо предложить клиенту письменно объяснить обстоятельства произошедшего, предложить ему сформулировать свои требования. Клиент может запросить полную информацию об инциденте, содействия в предотвращении обналичивания украденных средств, в поиске злоумышленников и т.п.

В первую очередь следует попытаться остановить движение похищенных сумм и узнать получателя денежных средств. Нужно связаться с банком-корреспондентом, через который осуществлён вывод денежных средств, похищенных  со счёта клиента. Надлежит отправить сообщение по системе SWIFT, написать письмо на имя председателя правления банка-корреспондента. Не стоит обольщаться,  надеясь на быстрый результат: у банка-корреспондента, на счета которого выводятся похищенные средства, нет оснований для блокирования этих средств.

Информацию о получателе платежа  можно найти в открытых источниках и передать в правоохранительные органы. Банк – получатель денег может пойти навстречу, задержав перевод этих денег на другие счета или снятие наличных. Формальной причиной приостановки операции может служить необходимость идентификации клиента и получения подтверждения перевода денег плательщика. Основания могут быть следующие.

  1. Кредитная организация обязана идентифицировать лицо, находящееся у нее на обслуживании, при совершении банковских операций и иных сделок в соответствии с федеральным законом «О банках и банковской деятельности» на основании программы идентификации клиентов, установления и идентификации выгодоприобретателей (см. п.1 ст. 7 федерального закона № 115-ФЗ от 07 августа 2001 года и п. 1.1. Положения Банка России № 262-П от 19 августа 2004 года).
  2. Приказ Росфинмониторинга от 17 февраля 2011 года № 59 «Об утверждении Положения о требованиях к идентификации клиентов и выгодоприобретателей, в том числе, с учётом степени (уровня) риска совершения клиентом операций в целях отмывания доходов, полученных преступным путем».

Что касается самостоятельных действий – участия в расследовании компьютерных преступлений, то хотелось бы отметить, что банк не имеет полномочий этого делать. Не являясь специалистом-криминалистом, можно, не желая того, уничтожить улики. Законодательство пока не определяет порядок самостоятельного сбора доказательной базы компьютерных преступлений, а у уполномоченного органа  – БСТМ нет дежурных частей для неотложного выезда на место преступления. Поэтому до контакта с правоохранительными органами лучше всего заблокировать учётную запись клиента, предотвращая смену секретных логина, пароля и закрытого ключа.

Теперь об обращении в правоохранительные органы. Клиент должен написать заявление в территориальные органы МВД России. После регистрации это заявление, как правило, направляется в территориальные подразделения УЭБ или подразделения «К» БСТМ. При проведении доследственной проверки сотруднику банка необходимо подъехать к следователю и написать объяснения.

Опыт показывает: уголовные дела на основании подобного заявления возбуждаются далеко не всегда. Разве что есть рабочий контакт в правоохранительных органах. Даже уже возбуждённые уголовные дела часто приостанавливают. Можно после подачи заявления в территориальные органы МВД России написать заявление в БСТМ: в Москве – на Житную, 16, в регионе –  в территориальный отдел «К». Форма такого обращения банка в БСТМ разработана в ОАО «Россельхозбанк».

Следует провести согласительную комиссию с клиентом, как это обычно предусматривает договор ДБО. Особенно если этого требует сам клиент в тексте заявления в банк. В договоре оказания банковских услуг может быть предусмотрено создание экспертной или согласительной комиссии для проверки подлинности подписи под электронным платёжным поручением. В таком случае письменно пригласите на разбор инцидента как пострадавшего клиента, так и представителей разработчика платёжного инструментария. Действия сотрудников банка, имеющих доступ к взломанному компьютеру клиента, должны быть хорошо продуманными. Каждый шаг должен регистрироваться и быть под контролем руководства.

ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ НА СТОРОНЕ ПОСТРАДАВШЕГО КЛИЕНТА

Сотрудникам банка на рабочем месте клиента, чьи средства были похищены,  рекомендуется проводить следующие мероприятия. Необходимо ограничить доступ к объектам, задействованным в инциденте. Постараться локализовать инцидент, предотвратить его продолжение, развитие, а также угрозу уничтожения доказательств совершенного преступления. Следует зафиксировать сам факт инцидента – пусть клиент напишет о нём письмо в банк, в котором изложит следующие требования:

  • получить информацию о похищенных средствах;
  • блокировать учётную запись клиента и его ключи системы ДБО;
  • предотвратить вывод и обналичивание похищенных средств.

Клиент обязательно должен написать заявление в правоохранительные органы. Оно подаётся в местные органы полиции, регистрируется в КУСП (книге учёта сообщений о происшествиях), взамен клиент получает талон регистрации заявления.

1. Организационные мероприятия

1.1. Выявить, кто имел доступ к компьютеру, к программному обеспечению системы ДБО и её секретным реквизитам, таким как логин/пароль и секретные ключи.

1.2. Опросить всех имевших доступ для выяснения полной картины инцидента. Для дальнейшего расследования желательно получить письменные объяснения.

1.3 Получить дополнительную информацию об инциденте: имели ли место подобные случаи хищений денежных средств в это же время, использовались ли для вывода похищенных средств такие же организации или физические лица. Для поиска дополнительной информации можно использовать сеть интернет.

1.4. Принять решение, станет ли информация об инциденте публичной, можно ли сообщать об инциденте в разные источники, включая интернет и прессу. В любом случае нужно избегать репутационных рисков и разглашения конфиденциальной информации.

2. Технические мероприятия

2.1. Надо определить, кто будет проводить расследование инцидента. Лучше всего, при возможности, если это расследование будет проводить сторонняя специализированная организация, имеющая оборудование и сотрудников соответствующей квалификации.

2.2. Если есть возможность, привлечь специализированную стороннюю организацию. Если нет, собственными силами проводить расследование и сбор материалов для предоставления в правоохранительные органы.

2.3. Надлежит, по возможности, не использовать взломанный компьютер, а обесточить и опечатать до приезда компетентных лиц. До отключения компьютера нужно проверить и зафиксировать следующее:

  • пользователей, подключенных к системе (при помощи утилиты NTLast);
  • открытые соединения (командой netstat-ano);
  • приложения с открытыми соединениями (утилитой fport);
  • текущие процессы (утилитой PSList);
  • недавние соединения NetBIOS (командой nbtstat-c).

2.4. Если таких возможностей нет, надо сделать копию жёсткого диска пострадавшего компьютера при помощи специальных утилит побитового копирования диска. Копирование диска оформляется документально, а копии обеспечивается безопасное хранение.

2.5. Провести анализ сетевых служб (межсетевого экрана, прокси-сервера, при наличии –  системы обнаружения вторжений); журналы/логи сохраняются на носитель без возможности перезаписи (на болванку CD или DVD);

2.6. Провести анализ компьютера, для чего, с сохранением результатов проверки (также на носитель без возможности перезаписи), изучаются:

  • события в журналах операционной системы Windows (системном, приложений и безопасности; или же эти журналы  сохраняются в окне проводника, выбрав в контекстном меню для значка «Мой компьютер» опцию «Управление и Просмотр событий»);
  • журналы приложений (самой системы ДБО, запуска приложений в операционной системе Windows, антивируса, брандмауэра, если он включен);
  • список загруженных процессов (запускаемых при загрузке msconfig);
  • скрытые административные ресурсы (общие ресурсы со значком $);
  • реестр операционной системы (проверяются установленные приложения, разорванные связи в системе, недавно использованные файлы);
  • список локальных пользователей и все попытки доступа к компьютеру;
  • службы удаленного управления;
  • планировщик заданий и созданные задания.

2.7. Провести анализ жесткого диска, который может включать в себя:

  • поиск подозрительных и скрытых файлов (созданные и измененные в неурочное время или во время инцидента файлы);
  • просмотр корзины.

Ещё раз настоятельно рекомендуется обратиться за проведением расследования к компетентным специалистам. Основная цель расследования – не допустить повторения инцидентов и обеспечить защиту компьютерного оборудования.

ЗАКЛЮЧЕНИЕ: О НАСУЩНЫХ ПРОБЛЕМАХ

Появление новой «отрасли» теневой экономики диктует необходимость объединения усилий бизнеса и государства – законодательных, регулирующих банковский рынок и правоохранительных органов. Назрело создание центра реагирования на инциденты в сфере электронных платежей. Такая структура должна осуществлять обмен информацией и координацию деятельности участников противодействия киберкриминалу. Особенно остро стоит вопрос времени, оперативности реагирования на инциденты.

Пока недоработки нормативно-правовой базы облегчают киберпреступникам взлом компьютеров, кражи и обналичивание денежных средств. Не хватает юридически определённых процедур расследования, сбора доказательств на всех этапах киберпреступлений. Более всего актуальны юридически значимые определения места и времени совершения киберпреступления, мошеннического или несанкционированного платежа, алгоритма блокировки движения похищенных средств и их обналичивания.

В заключение надлежит отметить, что перечисленные рекомендации были сформулированы при участии коллег из НП «Национальный платёжный совет» (НП «НПС») и Ассоциации российских банков, которым автор выражает свою благодарность. В ходе работы комитетов по информационной безопасности этих организаций были разработаны и утверждены «Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания (ДБО), использующих электронные устройства клиента» в редакции от 12 декабря 2012 года.

 

Смотрите также

Страхи и реалии

27 ноября, 2013
Подпишись на новости!
Подписаться