Кражи виртуальные, возмездие реальное

В первой половине текущего года произошёл долгожданный прорыв в борьбе с «высокотехнологичной» преступностью в кредитно-финансовой сфере. Долгая и сложная оперативно – розыскная работа правоохранительных органов увенчалась успехом: была пресечена деятельность нескольких организованных группировок, похищавших средства с электронных счетов в банках. Развеяна иллюзия безнаказанности охотников до чужих денег, нашлась управа на обидчиков банков, платёжных систем и их клиентов. Было наглядно показано: проблемы, которые прежде затрудняли борьбу с новым видом криминала, могут решаться успешно.

ЛИКВИДАЦИЯ «ВЫСОКОТЕХНОЛОГИЧНЫХ» ОПГ

Оперативные разработки, которые вели последние 2 года сотрудники Управления «К» Бюро специальных технических мероприятий МВД России, увенчались задержаниями киберпреступников, похитивших десятки миллионов рублей у компаний и граждан – клиентов крупнейших российских банков. Эти успехи показали, что противодействие правоохранительных органов киберпреступности в кредитно-финансовой сфере удалось поднять на качественно новый уровень.

Первым важным «звонком» стало задержание ещё в 2010 году 23-летнего программиста из Свердловской области, который вёл преступную деятельность с 2008 года и похитил в платёжных системах «CyberPlat» и «Qiwi» свыше 10 млн. рублей.

В июне 2011 года при попытке вылететь за границу был задержан один из первых крупных «ботнетчиков».

В конце зимы 2012 года была изобличена группа, занимавшаяся хищениями денежных средств со счетов физических лиц с использованием так называемого «фишинга».

В марте были задержаны члены одной из самых крупных кибербанд, похищавшие крупные суммы, доходившие до несколько миллионов рублей. IT-воры получали несанкционированный доступ к электронным счетам клиентов десятков отечественных банков, в том числе таких ведущих как «Сбербанк России» и ВТБ.

Наконец, в июне сотрудникам Управления «К» удалось нанести чувствительный удар по «производственной базе» сразу нескольких преступных группировок. Была ликвидирована самая большая из когда-либо известных бот-сетей, а её организатор, известный в интернете под псевдонимами «Гермес» и «Араши», задержан.

Этой бот-сетью пользовались преступники из разных регионов страны, включая Москву, Санкт-Петербург, Ивановскую, Самарскую области и Краснодарский край. Хозяину платили определённый процент сумм, похищавшихся с электронных счетов клиентов банков и платёжных систем. Количество заражённых при помощи этой бот-сети персональных компьютеров составляло более 5 млн, а сумма совершённых с её помощью хищений предварительно оценивается более чем в 150 млн рублей.

МЕЖВЕДОМСТВЕННОЕ ВЗАИМОДЕЙСТВИЕ

Киберпреступники долго чувствовали себя безнаказанными, не боясь атаковать клиентов ни небольших, ни ведущих банков. До поры до времени им казалось, что им ничто не угрожает, несмотря на многочисленные обращения банков и потерпевших в правоохранительные органы. Беспечность оказалось напрасной.

По установленным фактам хищений были возбуждены уголовные дела по ст. 272 («Неправомерный доступ к компьютерной информации»), ст. 273 («Создание, использование и распространение вредоносных программ для ЭВМ») и ст. 158 («Кража») Уголовного кодекса РФ. Затем были начаты расследование и сбор доказательств для суда, вердикт грозит обвиняемым 10 годами лишения свободы.

Получая доступ к заражённым вирусом персональным компьютерам, на которых использовались системы «банк – клиент», преступники могли распоряжаться средствами на банковских счетах своих жертв. Киберворы либо использовали похищенные данные, позволяющие осуществлять платёжи, либо, удалённо перехватив управление компьютерами, переводили деньги, якобы от имени настоящих владельцев, на заранее подготовленные счета. Украденные деньги выводились на карточные счета, оформленные на подставных лиц, и снимались наличными в банкоматах.

Члены IT-банды, сложившейся и начавшей свою преступную деятельность в августе 2011 года, уже в октябре оказались в поле зрения сотрудников Управления «К», тогда расследовавших другие преступления. Несколько месяцев оперативники скрыто устанавливали всех участников кибербанды, изучали их характеры и образ жизни, связи, распределение ролей, участие в различных эпизодах преступной деятельности.

Эта сложная работа потребовала выстроить и отладить чёткое взаимодействие со многими организациями – подразделениями МВД России, а также другими ведомствами, компаниями и специализированными организациями. Огромный вклад сделали коллеги – сотрудники Четвёртого Управления МВД России, на чьи плечи лёг весь объём следственной работы.

Они в ходе расследования выстраивали общую картину. Устанавливали последовательность событий, действий и исполнителей, цепочки доказательств, оформляя их должным образом, проводили экспертизы, очные ставки. При выявлении дополнительных эпизодов преступной деятельности членов кибербанды им приходилось возбуждать новые дела, объединять смежные. На плечах следователей лежит подготовка обвинительного заключения, направление его в суд, сопровождение возможных обжалований и апелляций вплоть до момента, когда преступники понесут заслуженное наказание.

РАЗГРОМ ХАКЕРСКОЙ «МАЛИНЫ»

Было установлено, что украденные электронные деньги преступники переводили в наличные через пластиковые карты и банкоматы «Сбербанка России». Оперативно-следственная группы легко установила контакт с управлением информационной безопасности банка, который развился в продолжающееся и поныне полноформатное «образцово-показательное» сотрудничество. Благодаря помощи банковских специалистов, в частности, пользуясь записями встроенных в банкоматы видеокамер, удалось подробно детализировать обстоятельства и непосредственных исполнителей многих эпизодов.

Также было выстроено взаимодействие с Центром информационной безопасности ФСБ России. На определённом этапе были привлечены «частные IT-детективы» из компании Group-IB, опыт продуктивного сотрудничества с которыми уже имелся. В дальнейшем именно эта компания проводила осмотры и экспертизы изъятых по делу компьютеров, чем оказала существенную поддержку следствию.

Задержание участников преступной группы было делом нелёгким. Трудности заключались в том, что они действовали в разных регионах страны, могли быть настороже, обладали средствами мобильной связи и имели возможность быстро оповестить друг друга об опасности. Значит, готовиться к задержаниям приходилось максимально скрытно, а «брать» – всех единовременно.

Операция получилась масштабной. В ней приняли участие более полусотни сотрудников различных ведомств, включая ЦИБ ФСБ России, подразделения специального назначения – отряд «Рысь» МВД России, а также эксперты и «частные IT-детективы». План выполнили полностью: за 10 минут в разных городах России почти одновременно произошёл захват всей кибербанды в полном составе, всех 8 членов, от «главарей» – организатора и администратора бот-сети, до «пешек», снимавших украденные деньги наличными в банкоматах.

По всей видимости, задержания стали для киберпреступников крайне неприятным сюрпризом. С их точки зрения, дела шли превосходно: «бизнес» был на подъёме, набирал обороты. От небольших хищений кибербанда перешла к системной «работе», похищая с электронных счетов по несколько миллионов рублей в день.

Не щадили никого: ни государственные, ни коммерческие, ни общественные организации, обирали всех – и крупные компании, и индивидуальных предпринимателей. Ни в одном регионе страны пользователи дистанционных банковских услуг не могли чувствовать себя в безопасности.

ЭКОНОМИКА IT-КРИМИНАЛА

Конечно, было бы лучше, если бы кибербанду удалось остановить раньше. Но делать этого было нельзя, пока следствие не собрало необходимых доказательств. Иначе преступников бы просто спугнули, и они бы продолжили свою противозаконную деятельность, ещё больше замаскировавшись. Нужно помнить, что формирование юридически значимых доказательств преступлений, совершаемых при помощи высокотехнологичного инструментария, – дело достаточно новое. Поэтому следователям для того, чтобы собрать и оформить доказательства вины в полном соответствии с Уголовно-процессуальным кодексом РФ, приходилось не жалеть времени.

Согласно сведениям, которые изучает следствие, за полгода киберпреступниками в ходе не менее 60 хищений был нанесён ущерб свыше 60 млн. рублей. Как часто бывает, члены преступной группы, по-крупному навредив многим своим согражданам, сами смогли воспользоваться сравнительно небольшой частью украденных денег. Вывести и снять наличными им удалось менее половины всей суммы. Но воспользоваться, как бы хотелось, преступникам удалось не столь большой частью похищенного.

Преступная деятельность, как и честный бизнес, требует капитальных и текущих затрат. Преступникам приходилось раскошеливаться на аренду офиса, где они расположились под видом легальной IT-фирмы, на покупку компьютерной техники, большого количества банковских карт, оформленных на подставных лиц, средств связи, поддельных печатей банков, нотариусов и государственных органов.

Немало средств ушло на содержание бот-сети (бот-трафика), оплату многочисленных исполнителей и цепочек посредников. Ещё 7,5 млн рублей наличными сотрудники правоохранительных органов изъяли при обыске. Всё оставшееся, за перечисленными вычетами, члены банды поделили между собой в соответствии с положением в иерархии преступной группы и потратили, в основном, на «красивую жизнь» – дорогие иномарки, питание в ресторанах и предметы роскоши.

Положительные итоги «дела» налицо. Выстроенные правоохранительными органами механизмы межведомственного взаимодействия, рабочие контакты с банками и экспертными организациями теперь могут использоваться на регулярной основе. Отработанные подходы и ноу-хау лягут в копилку новейшего отечественного опыта расследования IT-преступлений в национальной платёжной системе. Создан юридический и практический прецедент для дальнейших судебных разбирательств подобных преступлений.

 

BIS-КОММЕНТАРИЙ

НЕВИНОВНЫХ НЕ БЫЛО

Расследование преступной деятельности наглядно показало, что организованная IT-преступность, в особенности в финансовой сфере, разрастается и становится всё более опасной для граждан и общества в целом. Чтобы повысить эффективность раскрытия и профилактики подобных правонарушений, нужно сделать правильные выводы: оценить масштабы и динамику угрозы, разработать и принять соответствующие меры опережающего реагирования.

Подобно тому, как в прошлом формировалась «обычная» организованная преступность, так на наших глазах складывается криминальнаяIT-индустрия. Она подразделяется по отраслям, «разделение труда» существует и в кибербандах, всего насчитывается 20-30 «специальностей».

В этой «индустрии» есть и «отрасли», и «сервисы», и «производители товаров и услуг». Часто криминальный бизнес совмещается с легальным, ведётся под его «крышей». Среди персонажей IT-криминалитета примерно поровну и «высоколобых» специалистов, ступивших на скользкую дорожку, и лиц с криминальным прошлым, решивших «расширить дело» посредством освоения новых современных технологий.

Разгромленную в июне 2012 года кибербанду возглавляли 2 брата-москвича, 1983 и 1986 годов рождения; верховодил младший, который уже имел богатый криминальный опыт и находился в федеральном розыске за мошенничества с недвижимостью. «В штате» находились IT-специалисты: организатор трафика – самоучка, администратор бот-сети, квалифицированно управлявший сервером с большим потоком данных, и «заливщики», совершавшие платёжные переводы с заражённых машин.

К технической элите, профессионалам высокого уровня можно отнести программистов – авторов троянских программ. В самом низу иерархии находились дропы – заурядные мелкие уголовники, снимавшие наличные в банкоматах. Как показывает данный пример, невиновных участников криминальной кибериндустрии или действовавших по неведению не было. Каждый своими поступками вносил вклад в многомиллионные хищения.

ТОНКОСТИ IT-ЮРИСПРУДЕНЦИИ

Программистам (кодерам), которые пишут троянцев и свободно продают их на закрытых форумах для «своих», в чистом виде грозит ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ». Поставщику трафика (траферу), расширявшему бот-сеть, который для этого взламывал и заражал вредоносным кодом популярные интернет-ресурсы, «светит» ст. 272 «Неправомерный доступ к компьютерной информации». Участники снятия наличных в банкоматах проходят по «обычным» статьям. Ответственность грозит и поставщикам банковских карт (кард-селлерам), организаторам фиктивных юридических лиц.

В ходе борьбы правоохранительных органов с «высокотехнологичным» криминальным миром был выявлен ряд проблем. Конечно, было бы хорошо пресекать деятельность преступников до того, как они успеют нанести ущерб, украсть чужие деньги. Но опередить их нелегко. Традиционная практика правоохранительных органов – определять преступников по наличию орудия преступления. Применительно к IT-криминалитету речь может идти о вредоносных программах, установленных потенциальным преступником на своём компьютере, например, для взлома и перехвата управления заражённым компьютером.

Но практика показывает, что собственно криминального IT-инструментария мало. Программное обеспечение крайне сложно классифицировать как разрешённое к свободному обращению или запрещённое. В отличие, скажем, от оружия или наркотических средств, наличие на компьютере того или иного программного обеспечения, которое может быть использовано в преступных целях, не может служить причиной судебного преследования.

Нелегко классифицировать как орудие преступления даже бот-сеть. Потому что на бот-сервере стоит только её контрольная панель управления, сама по себе не являющаяся вредоносным кодом. Это оболочка, база данных, в которую поступает информация с ботов – заражённых компьютеров, которыми можно с её помощью управлять – устанавливать, выполнять, обновлять и удалять программы. С такого бот-сервера можно подключаться к чужому заражённому компьютеру и проводить платежи.

Казалось бы, орудие для совершения преступления налицо. Но у администратора бот-сети на его персональном компьютере нет программ управления заражёнными компьютерами. Он сам только подключается к серверу или же допускает других лиц-пользователей. Даже обладая информацией о существовании бот-сети, местонахождении бот-сервера и его администраторе, правоохранительные органы не могут проводить задержание, пока не будут зафиксированы конкретные противоправные действия. Пока что приходится терпеливо ждать возможности буквально поймать киберворов за руку, взять с поличным на месте преступления.

МОДЕРНИЗИРОВАТЬ УГОЛОВНОЕ ПРОИЗВОДСТВО

Быстрое развитие и повсеместное использование информационно-коммуникативных технологий, в том числе преступным миром, требует соответствующего развития и совершенствования Уголовного и Уголовно-процессуального кодексов РФ. Востребованы новые методики определения юридической значимости доказательной базы преступлений, совершаемых с применением высоких технологий. Старая модель уголовного производства затрудняет эффективное расследование и доведение до суда дел о киберпреступлениях.

Пока же собирать доказательства преступной деятельности, ведущейся посредством IT-инструментария, очень непросто и стоит большого труда. Каждый эпизод ещё на этапе оперативно-розыскной работы отнимает немало времени, требует привлечения десятков высококвалифицированных специалистов, дорогостоящих исследований, а также очень много «бумажной» работы – документирования в обычной форме. Распечатками приходится дублировать записи телефонных разговоров, прослушивание со скрытых микрофонов, общение в чатах, программах Skype и Jabber, переписку по электронной почте.

Несмотря на перечисленные трудности, правоохранительные органы всё же решали стоявшие перед ними задачи, успешно расследовали дела, собирая доказательства, на основании которых суд выносил реальные приговоры. Но пока судебное уголовное производство работает в основном по старой, «бумажной» схеме, а «высокотехнологичные» преступники могут идти на шаг впереди. Правоохранительным органам, расследуя киберпреступления, приходится работать на пределе возможностей – не только собственных, но и действующих уголовно-процессуальных норм.

Примером может служить уже упомянутое дело хакера с сетевыми кличками «Гермес» и «Араши». После его задержания в руках правоохранительных органов оказался командно-контрольный сервер с базой данных более 5 млн. заражённых компьютеров, 95% которых составляли расположенные в России.

Встал вопрос о процедуре оформления доказательства: распечатать на бумаге подтверждения такого количества фактов взлома практически невозможно, даже если тратить на каждый заражённый компьютер всего по одному машинописному листу. Высота такой стопки бумаги составит 540 м – высотой с Останкинскую телебашню. Но на практике документальное оформление каждого бота занимает несколько десятков листов.

Решение проблемы уже существует, в ряде стран принимаются электронные доказательства преступлений, например, по стандартуSWGDE/IOCE, что сводит к минимуму традиционное документирование – их распечатку на бумажных носителях. В России электронные доказательства пока почти не применяются, по крайней мере, в судебной практике. Ст. 84 Уголовно-процессуального кодекса РФ формулировкой «иные носители информации» даёт возможность применять электронные доказательства, но не оговаривает вид представления – цифровой или аналоговый. В этом аспекте назрела необходимость кардинальной реформы существующей модели уголовного производства, переводе её преимущественно в электронную форму, адекватную инструментарию IT-преступлений.

МЕСТО И ВРЕМЯ ИЗМЕНИТЬ НЕЛЬЗЯ

Проблем, и достаточно серьёзных, немало. Важно юридическое определение предмета и места совершения преступления, осуществлённого с использованием информационно-коммуникативных технологий, – где считать его законченным? От этого вопроса зависит, какому территориальному подразделению правоохранительных и судебных органов подведомственно данное расследование. В случае хищений средств с электронных банковских счетов сразу и однозначно ответить на этот вопрос нелегко. Существуют разные точки зрения, что считать завершением преступления, в зависимости от подхода – традиционного или «высокотехнологичного».

Одни считают определяющим момент, когда украденные у клиента деньги снимаются наличными, например, в банкомате. Другие – когда деньги со счёта жертвы переведены на счёт, контролируемый преступниками. Третьи – сам факт получения несанкционированного доступа к счёту. От того или иного варианта ответа по-разному определяются место завершения преступления, кто должен его расследовать, какой суд рассматривать дело. С точки зрения классического уголовного права, с учётом информационно-коммуникативных реалий, наиболее предпочтительным представляется последний вариант.

Выбор каждого из вариантов требует решения связанных вопросов. Например, если преступление считать совершенным при зачислении похищенных средств на счёт, контролируемый преступником, то нужно иметь в виду, что под действующее правоустанавливающее Постановление Пленума Верховного суда РФ № 51 от 27 декабря 2007 года подпадают только банковские счета. Однако в таком случае небанковские коммерческие организации, которые проводят оборот электронных средств без открытия банковского счёта, не подпадают под действие указанного постановления.

Не урегулирована территориальная подведомственность и подсудность преступлений, когда с банковского счёта жертвы средства переводятся на несколько счетов организаций и граждан, расположенных в разных регионах. Или если за считанные минуты похищенные деньги в результате серии платежей кочуют по цепочке из нескольких банков, физически находящихся за сотни и тысячи километров друг от друга. От успешного урегулирования этих юридических вопросов в немалой степени зависит, насколько эффективно в ближайшие годы правоохранительные органы смогут бороться с киберпреступностью в кредитно-финансовой сфере.

Соответствующие изменения в действующее законодательство в настоящее время готовятся. Сотрудникам Управления «К» БСТМ МВД России удалось наладить тесное сотрудничество с Ассоциацией российских банков, ведётся работа в профильных комитетах Государственной думы РФ. Определённые успехи в отдельных вопросах уже достигнуты. В частности, Управление «К» дало положительный отзыв на проект изменения одной из статей Уголовного кодекса РФ (в проекте фигурирующей как ст. 159.6), согласно которому мошенничество в сфере компьютерной информации выделяется в самостоятельный состав преступления.

После принятия законопроекта будет подведён итог долгому спору российских правоведов: считать хищение с банковских счетов кражей по ст. 158 или мошенничеством по ст. 159 Уголовного кодекса РФ. Первую точку зрения отстаивают представители банковского сообщества, второй придерживался Верховный суд РФ. В последнее время чаша весов качнулась в пользу последней. С точки зрения правоохранительных органов, оба подхода приемлемы, поскольку в любом случае для преступников предусмотрены одинаковые сроки лишения свободы.

ЗАДАЧИ НА ПЕРСПЕКТИВУ

Для повышения эффективности борьбы с киберпреступностью в кредитно-финансовой сфере требуется модернизация системы технического и кадрового обеспечении профильных подразделений правоохранительных органов. Есть положительные примеры зарубежного опыта: борьбой с «высокотехнологичным» криминалом в США занимаются Федеральное бюро расследований и Секретная служба, в Великобритании – профильное управление Национального агентства по противодействию организованной преступности (SOCA e-Crime Unit).

Это достаточно мобильные структуры, которые реорганизуются в соответствии с появляющимися новыми видами преступлений, расширяют штатное расписание, берут на работу нужных специалистов. В учебных организациях осуществляется целенаправленная подготовка специалистов по расследованию преступлений, совершаемых посредством высокотехнологичного инструментария.

В странах – лидерах развития массовых высокотехнологичных сервисов действуют федеральные экспертные органы и территориальные лаборатории, которые делают криминалистические экспертизы, позволяющие расследовать киберпреступления и собирать доказательства. В России у правоохранительных органов пока нет собственных IT-лабораторий, и экспертизу приходится поручать компаниям вроде IB-Group.

В нашей стране в настоящий момент наблюдается кадровый голод на таких специалистов. Действующие сотрудники, не будучи по базовому образованию IT-специалистами, вынуждены заниматься самообразованием чуть ли не с нуля. Найти на стороне IT-специалистов нужного профиля, которые хорошо бы разбирались в юридических вопросах и специфике работы правоохранительных органов, тоже трудно. Предстоит наладить учебную подготовку нужного количества специалистов требуемого профиля – ввести соответствующую специальность, определить базовые вузы, разработать учебные программы.

Следует развивать взаимодействие в сфере информационной безопасности банков – кредитно-финансовых организаций и других участников платёжной системы – друг с другом и, конечно же, с правоохранительными органами. Организациям, оказывающим финансовые услуги посредством IT-сервисов, следует разработать, обновлять и держать наготове алгоритмы действий в случае возможных инцидентов, успешных и неудачных попыток хищений. Установить и поддерживать контакты с соответствующим подразделением правоохранительных органов, расследующим «высокотехнологичные» хищения клиентских средств.

БАНКАМ ПО СИЛАМ МНОГОЕ

В некоторых банках предпочитают скрывать инциденты, чтобы «не выносить сор из избы» или из опасений, что сотрудники правоохранительных органов могут узнать что-то не то. Высоким уровнем разбора инцидентов в сфере электронных платежей характеризуются крупные банки, работающие исключительно «по-белому».

Положительными примерами могут служить хорошие рабочие связи Управления «К» со службами информационной безопасности крупнейших банков России – «Сбербанка России», Альфа-Банка, ВТБ и «Россельхозбанка», а также электронных платёжных систем «CyberPlat», «Qiwi»,«Яндекс.Деньги» и других. Сообщения о случаях хищения от них поступают незамедлительно, предоставляется необходимая дополнительная информация.

Пожелания правоохранительных органов банкам и другим участникам национальной платёжной системы в сфере информационной безопасности известны. Они звучат и на заседаниях профильных рабочих групп Ассоциации российских банков, и на отраслевых деловых мероприятиях. Главное – совершенствование собственных систем антифрода, автоматизирующих распознавание и предотвращение типичных приёмов хищений. Что позволяет правоохранительным органам, не погрязая в текучке, концентрироваться на расследовании сложных IT-преступлений в сфере финансовых услуг.

Назрело создание банками общей единой базы данных по IT-преступлениям, включая «чёрный список» персоналий и юридических лиц, в частности – дропов. Востребована помощь банков в финансировании криминалистических IT-экспертиз, возможно, в создании соответствующей лаборатории, пока нет государственной.

Требуется и система массового обучения правилам информационной безопасности финансовых услуг, выработки автоматического навыка их соблюдать. Пока же в ходе расследования уголовных дел даже на банковских компьютерах, содержащих важнейшую информацию, обнаруживаются нарушения самых элементарных требований защиты информации, вроде нелицензионного программного обеспечения или не обновляемых антивирусных программ.

В Управлении «К» разработали немало учебных материалов для граждан, предостерегая их от типичных случаев мошенничеств. Они вывешены на официальном сайте управления, распространяются в печатном виде, в том числе и на открытых уроках по информационной безопасности в средних школах, на которые приглашают сотрудников Управления «К».

Успешное пресечение преступной деятельности ряда крупных кибербанд, похищавших средства у клиентов банков, не может не вызвать прилива оптимизма. Достигнутый успех воодушевил всё банковское сообщество и клиентов, а «высокотехнологичный» криминальный мир оказался на какое-то время деморализован. Статистика зафиксировала значительный спад атак на системы дистанционного банковского обслуживания. Но это не повод расслабляться, а наоборот, довод в пользу мобилизации для повышения эффективности расследований и профилактики подобных преступлений.

Публикация подготовлена при содействии пресс-службы Управления «К» БСТМ МВД России.

Лариса Жукова -- Руководитель пресс-службы (Управление «К» МВД России)

BIS Journal №4(7)/2012

26 октября, 2012

Смотрите также