Автор: Леонид Чуриков
Мошенничество в интернет-банкинге за последние годы стало сверхприбыльным бизнесом с миллиардными оборотами. По прогнозам аналитиков, в этом году ущерб от киберпреступников может увеличиться в четыре раза. Кредитные организации сетуют на то, что им сложно взаимодействовать с правоохранительными органами при раскрытии таких преступлений.
Эксперты компании Group-IB, специализирующейся на расследовании компьютерных преступлений, оценили финансовые обороты мирового рынка кибермошенничества в 2010 году в 7 млрд долларов. Из этой суммы на преступников из России пришлось 1,3 млрд, а с учетом граждан СНГ обороты тех, кого принято во всем мире считать «русскими», составили 2,5 млрд долларов. По прогнозам киберкриминалистов, в 2011 году так называемые «русские» хакеры получат доход в размере 3,7 млрд долларов, а в 2013-м удвоят этот показатель.
Самым быстрорастущим видом киберпреступности является мошенничество в дистанционном банковском обслуживании (ДБО). По данным аналитиков, в 2010 году ущерб от подобных преступлений вырос на 115%. В 2011-м он может увеличиться на 200%.
По данным специалистов антивирусной компании Rainbow Security, основными видами фрода (финансового мошенничества), получившими широкое распространение в уходящем году, стали следующие:
— «человек-в-браузере» (Man-in-the-Browser) — атака, при которой мошенник мгновенно изменяет параметры трансакции при старте перевода денежных средств, внедряя вредоносную программу в интернет-браузер клиента;
— «человек-посередине» («Man-in-the-Middle») — при этой атаке хакер перехватывает и видоизменяет данные, которыми обмениваются пользователь и информационная система банка;
— «перехват ПИН-кода кредитной карты» — производится, когда пользователь набирает ПИН на клавиатуре банкомата. Для этого злоумышленник устанавливает камеру вблизи банкомата или специальные накладки на клавиатуру, которые не отличаются от оригинала;
— «фишинг» — атака, при которой мошенники получают доступ к логинам и паролям пользователей. От имени банка злоумышленник высылает пользователю письмо с просьбой зайти на сайт организации и обновить свои учетные данные. Клиент следует рекомендациям, заходит на поддельный сайт, и вся его конфиденциальная информация оказывается в руках хакера.
Из всех стран сильнее всего от мошенничества в системе дистанционного банковского обслуживания в настоящее время страдает Россия. По данным центра вирусных исследований и аналитики ESET, на россиян приходится 72% тех, кто пострадал от одной из наиболее популярных антибанковских троянских программ — Carberp.
Особенности национального ДБО
Генеральный директор Group-IB Илья Сачков объяснил, почему клиентов российских банков грабят чаще. Немалую роль в этом играет то, как устроено дистанционное обслуживание в России. Например, если во Франции клиент — юридическое лицо захочет отправить деньги на другой счет, то ему придется обратиться в банк и привезти договор, на основе которого осуществляется перевод. Таким образом, зарубежные страны препятствуют отмыванию преступных доходов. В России клиенты уведомляют банк платежным поручением, договор кредитная организация запрашивает не всегда.
Сложности в расследовании киберпреступлений вызваны несколькими факторами. В первую очередь, как говорят российские банковские работники, убедить полицейских оперативно взяться за расследование компьютерного преступления, связанного с мошенничеством в интернет-банкинге, — задача практически нереальная. Реальный шанс есть только при наличии связей в правоохранительных органах.
Поэтому, как рассказывает Сачков, банки практически ежедневно становятся свидетелями преступлений (попыток кражи денег), но, как правило, об этом не сообщают, за исключением тех случаев, когда деньги из банка уже украли. «Если в мою квартиру ломится грабитель, я же сообщу об этом в полицию! — сравнивает эксперт. — С банками иная ситуация. На него напали, он отбился, а об инциденте никому не стало известно. В итоге хакер пробует атаковать банк по-другому».
Российские банки по-прежнему крайне неохотно делятся информацией о компьютерных преступлениях и с прессой. Официального ответа для статьи не предоставило ни одно из нескольких десятков опрошенных кредитных учреждений.
Также банкам сложно договариваться между собой. А это бывает необходимо, когда мошенники крадут средства в одном учреждении и переводят их на счет в другое. Как рассказывает специалист Национального Торгового Банка, пожелавший остаться неназванным, на официальный звонок в службу безопасности коллеги из другого банка обычно отвечают, что операцию по выводу денег по закону нельзя задерживать на срок более трех дней. За это время банк, чей клиент пострадал от мошенников, должен представить организации, куда предполагаемые преступники перевели деньги, что-то более весомое, чем факс с уведомлением о мошеннической операции. При этом на возбуждение официального дела уходит около десяти дней.
Поэтому уговорить сторонний банк «заморозить» деньги удается опять же лишь с помощью личных связей. Наладить их не так просто. В частности, НТБ никак не удается договориться об оперативном взаимодействии с различными банками, куда периодически уплывают средства тольяттинских клиентов.
Ничего личного, просто бизнес
Преступники тем временем нашли между собой общий язык. Киберпреступление стало видом услуги, оказываемой за деньги. Соответственно, последние несколько лет интернет-мошенники живут по рыночным законам: с конкуренцией, в том числе ценовой, и развитыми отношениями С2С — Cybercrime to Cybercrime, которые являются аналогом B2B-взаимодействий (Business to Business) в некриминальном мире. Например, при хищениях из систем дистанционного банковского обслуживания одни злоумышленники охотно заказывают услуги у других — так называемых «нальщиков» (преступников, обеспечивающих обналичивание похищенных денежных средств).
Ценовая конкуренция привела к тому, что стоимость организации DDOS-атак, которыми может сопровождаться атака на систему дистанционного обслуживания определенного банка, так же как и цена вредоносных программ, стала по карману среднему классу. Купить вирус, крадущий финансовую информацию, базу данных или заказать не слишком масштабную атаку на сервер банка может практически каждый менеджер среднего звена.
Учиться, учиться и еще раз учиться
Еще одним трендом уходящего года стало пополнение рядов хакеров студентами технических вузов. Такая ситуация особенно характерна для России, где достаточно много профильных учебных учреждений, а их выпускники не всегда могут найти себе работу с заработной платой, которая бы соответствовала их запросам.
Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев рассказал, что на хакерских форумах в Сети в достаточном количестве имеются предложения по обучению тому, как пользоваться средствами создания вредоносных программ, так или иначе приводящих к хищению денег у зараженных пользователей. Кроме того, постоянно происходит утечка в Сеть исходных кодов одной из самых эффективных антибанковских программ ZeuS. Все это привлекло в преступные ряды новых вирусописателей и распространителей такого программного обеспечения. В результате в 2011 году произошел всплеск количества угроз, нацеленных на пользователей онлайн-банкинга.
Директор центра вирусных исследований и аналитики компании ESET Александр Матросов подсчитал, что число активных инцидентов, связанных с мошенничеством в системах ДБО, возросло в 2011 году более чем на 120%. Количество наиболее активных вредоносных семейств, направленных на кражу финансовых средств через интернет-банкинг, возросло до пяти (Carberp, Hodprot, RDPdoor, Sheldor, Shiz). При этом нанесенный данными вредоносными программами ущерб измеряется миллионами долларов в месяц.
В конце года вирусные аналитики ESET зафиксировали беспрецедентный — четырехкратный рост обнаруженных попыток проникновения в систему компьютера вредоносной программы Carberp, которая на данный момент представляет наибольшую угрозу с точки зрения риска потери финансовых средств.
И тем не менее Россия, по мнению местных киберкриминалистов, не стала пока центром мирового интернет-зла, как это принято считать в некоторых развитых странах. Илья Сачков полагает, что в ряде африканских и арабских стран, а также в Азии ситуация с киберпреступностью еще хуже. А США и некоторые другие страны, считающие себя наиболее благополучными в этой сфере, закрывают глаза, например, на то, что на их территории находится основная масса компьютеров, рассылающих спам.
Как считают эксперты, за рубежом также есть проблемы с безопасностью. В компании Secure ID, специализирующейся на защите информации, полагают, что 2011 год запомнился главным образом проникновением злоумышленников в сеть фирмы RSA Security (подразделение компании EMC, одного из крупнейших мировых поставщиков систем хранения данных) и похищением информации, касающейся токенов SecurID и технологии аутентификации в SecurID. Такие либо аналогичные технологии в качестве систем аутентификации используют многие банки, поэтому упомянутый взлом базы данных RSA повлек за собой вал атак на банковские системы, в которых для защиты клиентов применяются токены.
Воровать по старинке не перестали
По мнению замначальника отдела БСТМ МВД России Романа Курника, ожидания, что повышение интереса преступников к мошенничеству в ДБО уменьшит объем преступлений с банковскими картами, не оправдались. Напротив, всплеск карточного мошенничества стал еще одним заметным трендом 2011 года. Очевидно, повлияло снижение цен на скимминговые устройства, а также тот факт, что специализирующиеся на карточном мошенничестве преступные группировки, исторически располагавшиеся в странах бывшего соцлагеря (Румынии, Болгарии, Венгрии), расширили свое влияние на другие страны. В частности, на Молдову. «Те люди, которые еще вчера строили дома в Подмосковье, берут в руки скимминговое оборудование и совершают мошеннические операции с банковскими картами», — посетовал Курник, отметив, что из десятка преступников, арестованных за установку скимминговых устройств, практически все оказались молдаванами.
За киберпреступниками не угнаться
По словам начальника управления развития электронного бизнеса Альфа-Банка Сергея Корсуна, самым эффективным средством для борьбы с киберпреступниками, которое удалось найти банкам на сегодня, являются СМС-пароли для подтверждения финансовых операций. Но такие меры безопасности, сделав неэффективными одни мошеннические схемы, простимулировали развитие других — фишинговых, когда пользователя интернет-банкинга перенаправляют на фальшивый сайт и выманивают у него нужную информацию, например, по телефону.
Борьба с мошенничеством в интернет-банкинге заставила кредитные учреждения активнее использовать системы фрод-мониторинга, которые анализируют отклонения в поведении клиентов и пытаются уведомить сотрудников банка о возможных мошеннических платежных операциях.
Илья Сачков советует банкирам не делать ставку только на технические средства защиты. Мошенники инвестируют большой объем средств в разработку вредоносных программ и взлом банковских и клиентских систем безопасности. Эти вложения могут измеряться миллиардами долларов в месяц, а разработчики средств защиты способны ежемесячно инвестировать в новые технологии безопасности «жалкие» на этом фоне миллионы рублей.
Помочь может лишь активное сотрудничество с правоохранителями и изменения в законодательстве, без которых контроль над Интернетом со стороны легального бизнеса и госорганов может быть полностью утерян за считаные годы.
Россия в этом плане серьезно отстает. Системы, используемые полицией в США и Британии, позволяют уже сейчас накапливать данные по компьютерным преступлениям, анализировать их. В итоге можно оперативно выходить на одни и те же преступные группировки, расследуя разные дела. «Вручную» сопоставлять разные преступления крайне сложно: пересечение может идти по множеству узких параметров, таких как IP-адрес преступника, тип вредоносной программы, место, откуда загружалась эта программа, и так далее.
Начать дискуссию