О том, куда ведут следы компьютерных преступлений в банковской сфере, порталу Банки.ру рассказал генеральный директор компании Group-IB, специализирующейся на киберкриминалистике, Илья САЧКОВ.
— С чего начинается расследование банковского киберпреступления?
— Все начинается со звонка. Пострадавший набирает номер банка и говорит: «У меня произошла такая-то история». Дальнейшее зависит от банка. С некоторыми финансово-кредитными организациями (их имена мы не имеем права озвучивать) у нас есть договор на обслуживание всех клиентов, пострадавших от мошеннических операций в системе ДБО. В этом случае с нами связывается представитель банка, и мы осуществляем свою работу по предварительно согласованному алгоритму. Другие банки направляют клиентов к нам, но уже не в рамках устоявшихся договорных отношений, а для того, чтобы разобраться в ситуации. Но, к сожалению, есть банки, у которых для всех пострадавших готов ответ: «От вас пришло заверенное платежное поручение, мы его обязаны исполнить, к нам претензий нет. Не согласны — идите в суд».
— После звонка пострадавшего вы, наверное, первым делом выясняете, хватит ли у него денег для оплаты расследования?
— В отличие от классических компаний, которые занимаются информационной безопасностью, мы сначала выезжаем к клиенту и заключаем быстрое соглашение о конфиденциальности и порядке выполнения работ, а уже потом решаем финансовый вопрос. Потому что в расследовании компьютерного преступления промедление на начальной стадии подобно смерти. И надо понимать, что за него может заплатить как банк (да, и такое бывает), так и сам клиент.
— Значит, к клиенту сразу выезжает «группа быстрого реагирования»?
— На место киберпреступления обычно приезжают трое: криминалист, сотрудник отдела расследований и юрист. Если это хищение у юридического лица, то одна из первоначальных задач — понять, замешан ли в инциденте
— Что происходит в лаборатории?
— Задача эксперта лаборатории — основываясь на виртуальных следах, оставленных преступником, ответить на ряд конкретных вопросов: внутренний это был инцидент (с участием кого-то из штата пострадавшей компании) или внешний. Связан инцидент с использованием вредоносного программного обеспечения или не связан. Если была задействована вредоносная программа, то какого она типа и каким функционалом обладает. Как она была загружена в компьютер, в какой промежуток времени. Могла ли быть данная загрузка случайной. Поясню: бывает, что бухгалтер специально заходит на зараженный ресурс, чтобы обеспечить загрузку вируса на компьютер, либо устанавливает его по специальной ссылке.
— Куда вы идете по «компьютерным следам»?
— Мы изучаем, куда обращалось вредоносное приложение, с какой административной панели им управляли. Так можно постепенно выйти на преступную группу, включающую автора вируса и людей, которые управляют операциями по хищению денег.
— И возбуждается уголовное дело?
— От факта первого хищения денег преступниками до момента реализации уголовного дела проходит от года до двух лет. Отмечу: это не срок расследования, проводимого нашей компанией. Нашим экспертам требуется в среднем месяц на проведение исследования компьютера потерпевшего. Кибердетективы нашей компании за месяц, максимум за два устанавливают личность злоумышленника. По итогам исследования и расследования составляются заключения и формируются отчетные материалы, которые передаются пострадавшему клиенту и по договоренности с ним — в правоохранительные органы. Затем от трех до четырех месяцев правоохранительные органы проводят оперативные мероприятия, собирают дополнительные сведения, которые вместе с нашими заключениями будут являться основанием для возбуждения уголовного дела. Этап расследования уголовного дела отнимает еще несколько месяцев. В рамках предварительного следствия разрабатывается преступная группа. Обращения потерпевших объединяют в одно уголовное дело. Далее проводятся следственно-оперативные мероприятия, направленные на установление личностей виновных в совершении преступлений, их задержание, сбор доказательственной базы. Осуществляются компьютерные экспертизы, результаты которых будут служить доказательством в суде. После окончания предварительного следствия материалы передаются в суд. Естественно, что этот процесс занимает длительное время.
— Получается, у преступника есть два года, чтобы украсть и незаметно залечь на дно?
— Ничего подобного. На установление личностей злоумышленников требуется не так много времени. И когда их личности становятся известны, то преступники сразу попадают в поле зрения сотрудников правоохранительных органов, что влечет их задержание. Здесь многое зависит от скоординированной работы оперативных и следственных органов. А вот на сроки прежде всего влияет количество совершенных злоумышленниками преступлений, объем проводимых следственных действий и экспертиз.
— Зарубежная правоохранительная система столь же медлительна?
— По срокам расследования компьютерных финансовых преступлений и в Европе, и в США примерно одинаковая ситуация. Россия здесь никак не выделяется. Сократить сроки расследований, конечно, по возможности необходимо, но это может повлечь следующий негативный момент — отсутствие сбора полной информации обо всех событиях преступлений, совершенных киберпреступниками.
— В вашей лаборатории мне показали, как работают вредоносные программы — сортируют зараженные компьютеры по банкам и по тем системам интернет-банкинга, которыми пользуются их владельцы. Можно посмотреть на экран пользователя, на совершаемые им трансакции. Что еще делает программа?
— Вам продемонстрирован не функционал вредоносной программы. Вам показали на примере исследуемого компьютера преступника, как может выглядеть административная панель управляющего сервера. Основная функция — это автоматизация всех рутинных операций. В административной панели управляющего сервера можно увидеть все зараженные компьютеры и отсортировать их по используемым системам ДБО.
— Работа киберпреступников в Европе и в России отличается? Есть специфика у нашей страны?
— В Европе хакеры сосредоточены на хищениях у физических лиц. В России — у юридических лиц. Европейскими «отмывочными пунктами» стали Латвия и Литва, но все равно в Евросоюзе намного сложнее, опаснее и дороже красть с помощью подставных фирм. Украв, деньги нужно обналичить, а обнальщики берут до 50%. Все решает прибыльность, поэтому в той же Голландии сейчас в моде мобильные вирусы и кражи средств у владельцев смартфонов с операционной системой Android. Остается и традиционный «карточный» бизнес — перепродажа данных карт и воровство с них.
В России же мошенники используют возможность создавать фирмы-однодневки, на которые можно безнаказанно выводить украденные средства. Ориентация на клиентов-банков из числа юридических лиц в такой ситуации обусловлена тем, что у них больше денег на счетах. И движение похищенных денежных средств со счета одного юрлица на счет другого юрлица, например в счет оказания услуг или поставки оборудования, редко вызывает какие-либо подозрения.
— Вывод средств осуществляется через банкоматы?
— К примеру. При этом работает традиционный принцип: «краду данные карточки одной страны, обналичиваю в другой». Русские «налят» Европу и Америку, американцы «налят» русских и азиатов, азиаты «налят» всех, кроме себя.
— Какие еще есть популярные способы вывода средств по карточным реквизитам?
— Допустим, такой: ты делаешь лот на аукционе, например на Ebay, сам его придумываешь, говоришь: «Я продаю кольцо за 60 тысяч долларов». И это несуществующее кольцо «покупаешь», используя для этого реквизиты чужой карты. Естественно, если ты первый раз сделаешь новый аккаунт на аукционе, создашь новый лот стоимостью 60 тысяч долларов и сразу же переведешь за него деньги, у тебя заблокируют данный платеж. Проводится определенная подготовка, чтобы перехитрить Ebay.
— Вы — кибердетективы — определяете, куда уходят деньги?
— Мы как частные эксперты не отслеживаем цепочку движения денежных средств. Наша задача определить вирусописателя, а также человека, который загружал вирус, и тех, кто создавал и управлял бот-сетью (сетью зараженных компьютеров).
— Сколько обычно человек в компьютерной банде и как вы их идентифицируете?
— Состав средней преступной группы — это шесть, максимум девять человек. Наша задача понять, что это за люди — по «телекоммуникационным признакам». Это не значит, что мы всегда устанавливаем фамилию, имя и отчество. Хотя и это не исключено. Но чаще мы говорим, что пользователь с таким-то псевдонимом, IP-адресом, обслуживающийся у определенного провайдера, предположительно мужчина, является человеком, который, по нашим данным, относится к конкретной преступной группе. Задача правоохранительных органов наши выводы проверить «на месте», контактируя с живым человеком.
— Компьютерные преступники — гении?
— Одаренные, безусловно, есть. Но не все. Как правило, в преступной группе есть один талантливый парень, а остальные — так называемые «пассажиры». С учетом того, что банковское мошенничество — это рынок, живущий по коммерческим законам, здесь требуются разные люди. Самые талантливые — вирусописатели. Чтобы написать вредоносный код, способный обмануть систему безопасности банка и преодолеть последние версии антивирусов, нужны и талант, и знания. Аналогичные разработки, к слову, используются для шпионажа и кибервойн. Но есть вредоносные программы и попроще. Они также могут использоваться для хищений денежных средств. Их пишут ребята с более скромными задатками. Те же, кто совершает компьютерные преступления с помощью купленных у них вирусов, порой не имеют не то что компьютерного, а вообще более-менее хорошего образования.
— За вирусы платят много?
— Зарплата «элитного» вирусописателя, по нашим данным, составляет сейчас от 30 тысяч до 50 тысяч долларов в месяц. Такая ставка привлекает некоторых талантливых ребят, но, к счастью, многие из них начинают понимать, что то, что они делают, — серьезное преступление. Правда, сейчас это приводит к тому, что вирусописатели, работающие против российских банков, попросту уезжают в другие страны.
— Почем продают программы, предназначенные для воровства средств у банковских клиентов?
— Такие программы стоят, грубо говоря, от нуля до семи тысяч долларов. При этом за нормальные деньги можно не только купить сам вирус, но и заказать его доработку под конкретный банк и даже загрузку на определенные компьютеры.
— И техподдержку заказать?
— Само собой. Она входит в стоимость вредоносной программы. Обновления, консультации — все это включено в стоимость, как и в мире обычных приложений. Маркетинг, реклама, дизайн, удобство интерфейса — все это неотъемлемые части рынка, на котором торгуют преступным программным обеспечением.
— Вы берете на работу талантливых вирусописателей или хакеров?
— Нет. Это неприемлемо для нашей компании, каким бы гениальным или талантливым киберпреступник ни был. Я считаю, что у человека, заработавшего нечестным способом крупную сумму, в тысячи, сотни тысяч раз превышающую его зарплату,
— В прошлом году было несколько громких дел с арестом преступников. Они уже сидят? Какие сроки им дали?
— По мартовскому делу Сбербанка, к примеру, еще не было суда.
— А реальные — это сколько? Пять, десять лет? Вряд ли больше дадут.
— А это уже зависит от тяжести совершенных каждым из злоумышленников деяний. Я думаю, что если говорить обо всей преступной группе, то будет несколько условных сроков лишения свободы, несколько сроков лишения свободы по
— Что мешает судить киберпреступников?
— Прежде всего отсутствие должной судебной практики, а также опыта рассмотрения дел, связанных с преступлениями в сфере компьютерной информации у судей. Не все судьи в полной мере могут оценить общественную опасность данного деяния. Поэтому зачастую вместо реальных сроков злоумышленники ограничиваются штрафами или получением условных сроков.
— В России какие-то мягкие сроки для кибермошенников, учитывая масштабы хищений, или это мне так кажется? В других странах с этим строже?
— В США, Китае или Сингапуре за такие преступления и 60 лет можно получить, и 80 лет. А можно и до конца жизни в тюрьме остаться.
— Система «Киберкоп», которую ваше подразделение создает в Сколково, может поменять ситуацию?
— С расследованием преступлений — да.
Концепция системы такая, что на каждом компьютере оперативного сотрудника, следователя, который занимается любым преступлением, связанным с высокими технологиями, не только компьютерными, должен стоять элемент системы «Киберкоп». Чтобы разные преступления сравнивались между собой, анализировались и указывали на причастность к ним определенных преступных группировок, на взаимосвязь. Система, к слову, новая не только для России. Потому она и создается в Сколково, что это продукт, который можно представить мировому рынку. «Киберкоп» — система, способная связывать между собой различные события, анализировать собранные данные. Можно сказать, что она способна в определенном смысле предугадывать совершение преступления, выстраивая модель из разных событий. Это целая научная концепция.
— Когда вы «Киберкоп» покажете?
— Первый прототип мы показали в феврале — экспертам самого Сколково. Готовый аналитический модуль представим в июне этого года. Но отдельные элементы системы уже действуют и используются правоохранительными органами и финансово-кредитными учреждениями.
Беседовал Леонид ЧУРИКОВ, Banki.ru