BIS Journal №2(13)/2014

27 мая, 2014

По IT-криминалу – «ликбезом»

Чем шире используются информационные технологии в нашем обществе, тем активнее хакеры: киберпреступления становятся всё более сложными, как организационно, так и технически. Растут суммы  и объёмы средств, украденных в сфере электронных финансовых сервисов. Какие меры предпринимают правоохранительные органы, противодействуя киберпреступности, какие встают проблемы и чего удаётся достигнуть? Можно ли очистить интернет от злоумышленников? В какой степени возможны профилактика, предупреждение компьютерных мошенничеств?

 

ОСОБЕННОСТИ КРИМИНАЛЬНОЙ СТАТИСТИКИ

В общемировом масштабе уровень киберпреступности в России сопоставим с данными о Европе, США и Китае. Тенденции и темпы роста преступлений в виртуальном пространстве в странах, где проникновение интернета в жизнь общества достаточно велико, примерно одинаковы. А если учесть, что Россия входит в десятку стран с наибольшим количеством пользователей интернета, то наша ведомственная статистика не вызывает удивления.

Управлением «К» МВД России за 2013 год всего зарегистрировало 11 108 киберпреступлений в стране. С точки зрения распределения по регионам, наибольшее количество IT-преступлений, в частности, в финансовой сфере, зафиксировано на территории Приволжского федерального округа. На втором месте в этой статистике находится Центральный федеральный округ, за ним следует Северо-Западный федеральный округ. Меньше всего киберпреступлений зарегистрировано на территории Северо-Кавказского федерального округа.

Хотя ведомственная статистика преступлений пока не позволяет детализировать преступления в финансовой сфере, в целом отмечается рост киберпреступлений из корыстных побуждений. Подавляющее большинство правонарушений, совершаемых с использованием IT-технологий, направлено тем или иным образом на получение незаконной финансовой выгоды.

Можно предполагать, что реальное количество киберпреступлений намного выше, так как IT-преступности присуща высокая латентность. В случае потери от мошенничеств в интернете небольших сумм, от 100 до 500 рублей, потерпевшие чаще всего не обращаются в правоохранительные органы, поскольку ущерб незначителен. Поэтому реальная картина преступлений в сфере информационных технологий несколько иная, чем показывает статистика.

Какова структура видов компьютерных преступлений на текущий момент? По данным исследований, проводимых антивирусными компаниями и по заказу платёжных систем и банков, в мире в целом и в России быстро растёт число краж денежных средств через системы дистанционного обслуживания (ДБО), включая банкоматы. В денежном выражении кражи средств со счетов граждан и организаций в  результате атак на системы дистанционного банковского обслуживания многократно превышают средние суммы потерь от фальшивых коммерческих интернет-ресурсов.

Самыми массовыми являются действия обычных мошенников, которые «осваивают» интернет. Специалисты Управления «К» отмечают: сведения именно о таких преступлениях содержат порядка 80% заявлений граждан, а также обращений через сайт МВД России. Как правило, злоумышленники открывают фальшивые интернет-магазины или от имени частных лиц обещают на досках объявлений или в социальных сетях выгодно продать товары или оказать услуги.

В моду у кибермошенников входят «мобильные мошенничества», а именно информационные атаки на приложения мобильных устройств – телефонов, смартфонов и планшетов. Сейчас у большинства граждан есть либо смартфоны, либо планшеты, работающие на операционной системе Android, на которых часто установлены программы мобильного банкинга. Злоумышленники внимательно следят за тенденциями и новинками в этой сфере, создают и обновляют вредоносные приложения для мобильных устройств.

МИГРАЦИЯ СОПРОВОЖДАЕТСЯ МУТАЦИЯМИ

Управление «К» уделяет повышенное внимание расследованию сложных технологических преступлений. Однако наряду с ними отмечается тенденция значительного увеличения количества преступлений, совершаемых с использованием интернета просто как среды, доступной большинству обычных граждан. Схема наиболее распространённых в интернете мошенничеств простая, но действенная.

Злоумышленники завлекают потенциальных жертв очевидно заниженными ценами, получают полную или частичную предоплату, а после получения денег перестают выходить на связь. Отработанный ресурс ликвидируется, чтобы в тот же день вновь появиться по другому адресу с изменённым названием. По данным Управления «К», число мошенничеств, совершённых с помощью «липовых» интернет-магазинов или досок бесплатных объявлений, намного превышает число банковских краж.

Кроме того, у злоумышленников есть много способов собрать о жертве необходимую для мошенничества информацию, включая контрольные данные для идентификации клиента и пароли, которые могут быть использованы в электронных средствах платежей. Порой не обязательно взламывать программы, достаточно методов социальной инженерии на основе анализа публичной информации, которую многие граждане сами добровольно сообщают о себе в социальных сетях. Этим пользуются даже такие злоумышленники, которые не обладают хорошими навыками в области высоких технологий. Таким образом, можно говорить о миграции традиционных форм преступной деятельности в киберпространство.

С преступностью в IT-среде происходят быстрые и разнообразные мутации: злоумышленники живо улавливают популярные новшества, адаптируют к ним уже освоенный инструментарий, используют комбинированные приёмы атак. Например, разрабатывают и распространяют вредоносные приложения, которыми заражаются всё более массовые и популярные мобильные устройства, в первую очередь – для мобильного банкинга. Специализированный мобильный вирус-троян ищет банковские приложения, затем похищает информацию для идентификации и аутентификации клиента, перехватывает одноразовые пароли, присылаемые банком SMS-сообщения. Или же, при возможности, непосредственно осуществляет несанкционированные транзакции.

Причины уязвимости для мошенников владельцев мобильных устройств те же, что и у граждан в повседневной жизни, и у тех, кто пользуется интернетом со стационарных персональных компьютеров. То есть невысокая степень информированности граждан о существующих угрозах, а также отсутствие привычки соблюдать правила безопасности. Несмотря на многочисленные предупреждения, в том числе наши, об актуальных схемах мошенничеств в сети интернет и способах защиты от злоумышленников, люди по-прежнему попадаются на удочку мошенников.

Так, опросы показали, что более половины владельцев мобильных телефонов вообще не знают о существовании антивирусных программ для мобильных устройств. И не все те, кто знают о таком средстве защиты, устанавливают его на свои устройства, даже пользуясь мобильным банкингом. Тем не менее, многие удивляются, когда со счетов без их санкции списываются деньги, и приходят в местное управление внутренних дел написать заявление, что стали жертвами мошенников.

РАССЛЕДОВАНИЕ УСЛОЖНЯЕТСЯ

Преступления, которые не удалось предотвратить, приходится расследовать правоохранительным органам. Первые крупные успехи в расследовании и пресечении киберпреступлений в сфере электронных платежей стало возможным обнародовать 2 года назад, весной 2012 года. Сотрудникам Управления «К» МВД России удалось ликвидировать несколько крупных известных бот-сетей, построенных на основе банковских троянов группы Carberp. Сотрудники Управления «К» МВД России «шли по следу» 10 месяцев, после чего в разных регионах России почти одновременно задержали нескольких членов группы злоумышленников. В том числе «многофункционального» молодого человека, который и выступал организатором, и распространял вредоносные программы, и создавал бот-сети, и лично участвовал в хищениях денежных средств с чужих счетов.

Ликвидированная преступная группа действовала с размахом. Количество заражённых компьютеров составляло около 6 млн, контролируемые злоумышленниками бот-сети охватывали более 4,5 млн машин. Со счетов граждан и организаций было похищено свыше 150 млн рублей, но ещё большие суммы находились под угрозой хищения. Затем в прошлом, 2013 году сотрудниками Управления «К» была пресечена деятельность преступников, которые создавали вредоносное программное обеспечение для взлома систем ДБО, а именно – для интернет-банкинга. По нашей оценке, предотвращённый ущерб составил более 1 млрд рублей.

После каждой успешно проведённой киберполицейскими операции наблюдается спад активности хакеров, но ниша никогда не остается надолго пустой. На смену обезвреженным киберпреступникам вскоре приходят новые злоумышленники, которых привлекает иллюзия лёгкой, быстрой и безнаказанной наживы. На эту удочку порой клюют молодые таланты, неплохие IT-специалисты. Но жизнь показывает, что рано или поздно ответственность настигает каждого, вставшего на криминальный путь.

В последние годы наблюдается не только рост количества киберпреступлений, но и увеличение их сложности. Ещё несколько лет назад значительная доля преступлений в виртуальном пространстве совершалась хакерами-одиночками. Сегодня представления о хакере как о шаловливом подростке, который из хулиганских побуждений решил «взломать» компьютер соседа, уже устарели. Большинство информационных атак теперь совершается хорошо организованными преступными группами, в которых существует четкая иерархия, распределение обязанностей и специализация.

Нужно не только вначале выйти на след организованной преступной группы, но затем установить и доказать роль каждого её участника. Чтобы довести сложную и кропотливую работу по сбору доказательств до логического конца, от сотрудников правоохранительных органов, в частности подразделений «К» МВД России, требуется высокая квалификация.

В большинстве случаев серьёзные преступления в банковской сфере являются в той или иной степени транснациональными. Для выведения денежных средств используются цепочки счетов в разных странах, отследить весь маршрут порой бывает непросто. По «классической схеме» злоумышленники обычно получают данные банковских карт в одной стране, а похищенные средства выводят в другую. Незаконно добытая информация, позволяющая распоряжаться средствами на карточных банковских счетах, пересылается за рубеж – своим подельникам, или же вообще продаётся другой преступной группе. Там, за рубежом, чужие средства снимаются наличными в банкоматах.

КИБЕРПОЛИЦЕЙСКИЕ ВСЕХ СТРАН…

В последнее время чётко проявилась тенденция своеобразного «разделения труда», в том числе международного, между группами мошенников разной специализации. В частности, в связи с удешевлением оборудования для скимминга, которое стало более доступно, участились случаи, когда преступная группа устанавливает оборудование для незаконного копирования данных платёжных карт на банкоматы в соседних странах. Нередко скиммеры «гастролируют» сразу по нескольким странам.

Пресечение деятельности представителей этого криминального сообщества затруднено из-за нестыковок законодательства и недостатка скорости взаимодействия между правоохранительными органами разных стран. Проблемой является соблюдение процессуальных сроков, в каждой стране своих.

Противопоставить международной киберпреступности можно только прямые связи российских и зарубежных киберполицейских. А также умелое применение и развитие правовых механизмов и юридических процедур привлечения к ответственности нарушителей законов. Некоторые достаточно действенные механизмы международного сотрудничества уже выработаны, есть положительные примеры их использования. Практика противодействия киберпреступности подсказывает новые направления развития и схемы сотрудничества правоохранительных органов разных стран.

Есть немало примеров успешного решения проблем такого взаимодействия. Так, законодательство многих стран запрещает выдачу своих граждан для осуществления правосудия в другую страну, из-за чего киберпреступникам часто удавалось уйти от ответственности. Управление «К» предлагает зарубежным коллегам следующую схему сотрудничества: собирается максимально полная информация об эпизодах преступления, имевших место на территории России, и направляется в страну, где находится злоумышленник. После чего местные правоохранительные органы предпринимают необходимые действия, чтобы преступник понёс наказание по законам своей страны.

Схема может работать и в обратном направлении, если российский гражданин обвиняется в совершении преступления на территории другой страны. У МВД России есть все возможности возбудить уголовное дело, провести расследование и передать результаты в суд, если нами получена соответствующая информация от правоохранительных органов страны, где было совершено правонарушение.

Один из последних подобных случаев – ликвидация группы злоумышленников из Перми, которые занимались банковскими мошенничествами. Бизнес был «семейным»: идеологом и основным исполнителем выступал сын возрастом 19 лет, а отец помогал снимать наличные. Они похитили $58 000 со счетов иностранных граждан в одном из крупнейших банков США, перевели и сняли наличными в банкоматах России.

Другой пример взаимодействия правоохранительных органов разных стран в пресечении преступной деятельности, совершаемой в сети интернет – операция «Сорняк», проведённая в тесном взаимодействии с Интерполом и правоохранительными органами почти 70 государств. Выявлялись факты и источники распространения детской порнографии в интернете, проводился сбор и обмен информацией о распространителях и пользователях. Получив такие сведения, в каждой стране проводили проверку и по её результатам возбуждали уголовные дела, привлекая злоумышленников к ответственности.

В результате проведения международной операции «Сорняк» в 2013 году в Молдавии был осуждён на 20 лет лишения свободы изготовитель и распространитель детской порнографии, информация о котором была собрана и передана российскими киберполицейскими. Такой механизм международного сотрудничества правоохранительных органов используется и в борьбе с киберпреступлениями в финансовой сфере.

ПОВЫШАТЬ КВАЛИФИКАЦИЮ

Успех противодействия киберпреступности зависит от целого комплекса правовых и юридических аспектов: насколько оперативно развиваются законодательство и судебная система, в какой степени судьи разбираются в этой специфике. Эти факторы развиваются неравномерно, порой с отставанием от распространения массовых высокотехнологичных сервисов и новинок криминальных технологий. Приведение законодательства, Уголовного и Уголовно-процессуального кодексов РФ в соответствие с быстро меняющимися реалиями – процесс инерционный. Требуются многосторонние согласования изменений со многими ведомствами, между комитетами Государственной Думы РФ разных профилей, с банковским сообществом.

Конечно, дело не только в недостаточной конкретизации и детализации видов киберпреступлений, в том числе в области высокотехнологичных финансовых сервисов. Выносить приговоры по делам о скимминге и по многим другим видам киберпреступлений в банковско-платёжной сфере можно по ст. 272 и 273 гл. 28 Уголовного кодекса РФ «Преступления в сфере компьютерной информации».

Однако в таком случае рассмотрение в суде дел о сложных видах киберпреступлений и вынесение по ним адекватных вердиктов зависит от того, насколько судьи и присяжные заседатели осведомлены о тонкостях информационных технологий. Порою не хватает осознания высокой общественной опасности ряда киберпреступлений, в результате чего выносятся неоправданно мягкие приговоры. Поэтому в настоящее время востребовано повышение квалификации работников судебной системы, понимание ими значения и нюансов киберпреступлений.

Сотрудники Управления «К» всячески стараются участвовать в повышении квалификации специалистов, работающих в различных организациях, включая государственные органы. Для этого осуществляется тесное сотрудничество с учебными заведениями высшего и послевузовского образования – МГУ им. М.В. Ломоносова, МГТУ им. Н.Э. Баумана, со специализированными компаниями «Лаборатория Касперского», «Диалог Наука», Майкрософт и другими.

Знание новейших высокотехнологичных сервисов, приёмов киберпреступников, обновлений законодательства и самой свежей судебной практики необходимо и самим сотрудникам правоохранительных органов. Одно из направлений информирования о последних тенденциях в сфере кибербезопасности – внутриведомственное. Управление «К» осуществляет регулярный информационный обмен с другими подразделениями МВД России.

Во многом от квалификации сотрудников правоохранительных органов на местах зависит принятие решения о возбуждении уголовного дела по факту киберпреступления, начало проведения следственных действий и их качественный уровень, сбор юридически значимых доказательств. Чтобы находиться в авангарде борьбы с криминалитетом, киберполицейские должны хорошо знать современные высокие технологии и сервисы, тенденции киберпреступности, владеть средствами борьбы со злоумышленниками.

Для этого во Всероссийском институте повышения квалификации МВД России организованы курсы, слушателями которых являются сотрудники региональных подразделений правоохранительных органов. Среди преподавателей – сотрудники управления «К», также, по мере необходимости, привлекаются лучшие преподаватели и специалисты из других вузов и IT-компаний, поставщиков решений в области информационной безопасности. Курсантам и слушателям читаются лекции, для них проводятся семинары, «круглые столы», тренинги. В ходе практических занятий имитируются инциденты в сфере информационных технологий, в формате деловой игры проводится их расследование.

ИНФОРМИРОВАНИЕ ОБЛЕГЧАЕТ ПРОФИЛАКТИКУ

Чтобы регулярно информировать целевые аудитории о компьютерных угрозах и мерах их нейтрализации, Управление «К» использует разные коммуникативные каналы. В конце 2013 года было направлено информационное письмо в Банк России о новом виде специализированных банковских вирусов-троянов с рекомендациями, как их выявлять и обезвреживать. В свою очередь, Банк России распространил эту важную информацию дальше, по банкам.

Также сотрудники Управления «К» разрабатывают и выпускают методические указания, информирующие об актуальных информационных угрозах и правилах безопасности. Совместно с банковским сообществом, Ассоциацией российских банков разработаны и обновляются рекомендации о мерах реагирования на криминогенные инциденты в банковско-платёжной сфере. Представители Управления «К» доносят эту и сопутствующую информацию до специалистов банковского сообщества и платёжных систем, выступая с докладами и отвечая на вопросы на специализированных деловых мероприятиях.

Большое внимание уделяется оповещению об информационных угрозах и правилах безопасности массовой  аудитории, начиная со школьной скамьи. Низкая степень осведомлённости об этих вопросах в обществе – одна из главных предпосылок успехов киберпреступников и мошенников, использующих интернет. Установка руководства БСТМ МВД России – не только расследование совершённых киберпреступлений, но и их предупреждение, ликвидация условий для криминальной деятельности. «Ликбез», восполнение недостатка знаний об информационной безопасности у российских граждан – важная составляющая профилактики компьютерных преступлений.

Граждане зачастую не представляют себе существующих криминальных угроз, с которыми они могут столкнуться, не знают, как избежать ловушек и что делать, оказавшись жертвой. Информирование граждан об угрозах и правилах информационной безопасности осуществляется с учётом анализа того, какие виды киберпреступлений в настоящее время наиболее распространены. Исходными данными служат и статистические материалы, и сводки жалоб и обращений граждан, поданных через специальную форму на официальном интернет-сайте МВД России.

Аналитики Управления «К» определяют актуальные массовые угрозы владельцам мобильных устройств, платёжных пластиковых карт, пользователям интернета, покупателям в онлайн-магазинах. Определяются приоритетные направления работы, разрабатываются информационные материалы, определяются каналы информирования аудиторий. Для информирования разных категорий граждан используются различные формы работы.

Детям, очень уязвимой аудитории, сотрудники Управления «К» рассказывают о необходимости соблюдать осторожность в социальных сетях в интернете. В Москве начали проводить открытые уроки для школьников с трансляцией онлайн. Этот опыт, вызвавший много положительных откликов, будет распространён на регионы России.

Рекомендации взрослым, как не стать жертвой киберпреступников, размещены на интернет-сайте МВД России. Издаются информационные буклеты, готовится к выпуску серия методических рекомендаций, как не стать жертвой мошенников, пользуясь банковской картой, банкоматами, дистанционными банковскими сервисами, электронными кошельками, получая подозрительные SMS-сообщения.

В дальнейших планах информирования граждан – размещение баннеров и информационных материалов в социальных сетях и на сайтах с высокой посещаемостью. Число ресурсов в интернете, готовых сотрудничать, быстро растёт. По мере возникновения новых угроз со стороны киберпреступности все информационные материалы обновляются. Это важное направление профилактики киберпреступности обязательно будет развиваться – расширяться и углубляться.

 

Смотрите также