О том, куда приводят последствия файлсерверовых правонарушений в кредитной сфере, оповестил имеющий первостепенное значение руководитель организации Group-IB, который специализируется на киберкриминалистике, - Илья САЧКОВ.
— По какой причине имеет свое начало разбирательство кредитного киберпреступления?
— Совершенно все берет свое начало со звонка. Человек, который пострадал, набирает телефонный номер кредитной организации и сообщает о том, что у него приключилось такое-то происшествие. В предстоящем все находится во власти кредитной организации. С отдельными денежно-кредитными предприятиями (их наименования мы не имеем права оглашать) у нас имеется соглашение на агентирование всех пользователей, которые пострадали в результате авантюрических кампаниях в системе ДБО. В данной ситуации с нами устанавливает связь уполномоченный кредитного учреждения, и мы приводим в исполнение свою трудовую деятельность по заблаговременно скоординированному алгоритму. Иные банковские структуры сосредотачивают пользователей к нам, но уже не в пределах выдержанных конвенционных отношений, а для того, чтобы рассмотреть сложившуюся ситуацию и возможные пути ее решения. Но, к сожалению, существуют кредитные организации, у которых для всех потерпевших от рук мошенников всегда имеется готовый ответ: «От вашего имени пришло засвидетельствованное платежное делегирование, нам его необходимо привести в исполнение, к нам обвинений быть не должно. Не согласны — направляйтесь в суд».
— После того как позвонил потерпевший вы, вероятней всего, в первую очередь расследуете, достаточно ли у него финансов для того, чтобы рассчитаться за выяснение обстоятельств дела?
— В отличие от образцовых устоявшихся организаций, которые работают над информационной защищенностью, наша организация сперва выезжает к пользователю, и подписываем быструю договоренность о засекреченности и регламенте реализации работ и только после этого принимаемся к решению финансового вопроса. Потому что в расследовании файлсерверового нарушения законодательства приостановка на первоначальной стадии аналогично смерти. И надо осмысливать то, что за него имеет право расплатиться как кредитное учреждение(да, и такое бывает), так и сам пользователь структуры.
— Следовательно, к клиенту моментально выезжает «подразделение мгновенного реагирования»?
— На место киберпреступления в соответствии с нормой выезжает команда из трех человек: юрист, сотрудник отдела расследований и криминалист. Если это присвоение чужого имущества у юридического лица, то одной из самых первых моментов — осознать, имеет ли отношение в произошедшем кто-то из сотрудников организации. Оформляются «портреты» людей, фиксируются странности в их поведении и в исполнении или неисполнении должностных обязанностей и инструкций. Фиксируются не только операции лица, который работал с системой интернет-банкинга, но и поведение руководящего персонала, системных администраторов и т. д. Компьютер, на котором установлена система ДБО, который имеет непринужденное отношение к присвоению чужого имущества, накладывается печать и либо перенаправляется в лабораторию нашей фирмы, или же с него сбрасывается «криминалистический образ», для того, чтобы провести в дальнейшем череду мероприятий. Это производится посредством специально предназначенного чемодана со специализированным оборудованием и программным обеспечением.
— Что осуществляется в центре исследований «криминалистического образа»?
— Ключевой целью специалиста в лаборатории — который опирается лишь на виртуальные следы, которые были оставлены правонарушителем, дать ответ на череду определенных вопросов: данная ситуация произошла внутри организации (то есть при участии кого-то из аппарата сотрудников потерпевшей организации) или внешний. Данная ситуация взаимосвязана с тем, что было использовано опасное программного обеспечения или все же не взаимосвязан. В случае если была включена в действие опасная программа, то, какому она типу, виду принадлежит и какими функциональными возможностями владеет. Каким именно образом она была переброшена на файлсервер, и на каком временном этапе. Возможно ли, что данная вредоносная атака была осмысленной и запланированной. Даю пояснение: происходят такие ситуации, когда экономист намеренно переходит на вредоносный источник, для того, чтобы дать возможность процессу попадания опасной программы на файлсервер, или же загружает его посредством специально указанного пути.
— Куда вы направляетесь по «следам, которые оставлены на компьютере»?
— Мы изучаем, куда было обращено зараженное вирусом приложение, а также кто и с какой руководящей панели им управляли. К тому же можно последовательно найти на противозаконную группировку, которая включает в себя автора вирусного объекта и людей, которые руководствуют операциями по присвоению чужих денежных средств.
— И после этого вы преступаете к возбуждению уголовного дела?
— От факта первого воровства денежных средств правонарушителями до момента осуществления уголовного дела истекает временной промежуток от года до двух лет. Хочу заметить: это не срок разбирательства, которое проводится нашей организацией. Нашим специалистам необходимо в среднем месяц на проведение исследования компьютера потерпевшего. Детективы, которые связаны с компьютерным хищением в нашей организации на протяжении месяца, максимум двух фиксируют личность правонарушителя. По подведению итогов разбирательства и расследований составляются протоколы и в процессе сформировуются материалы для отчетной деятельности, которые передаются потерпевшему пользователю и по согласованности с ним — в органы, которые связаны с законодательством и наказанием правонарушителей. После этого от трех до четырех месяцев законодательные органы проводят ряд оперативных мероприятий, собирают дополнительную информацию, которые вместе с нашими заключениями будут являться формированием для открытия уголовного дела. Момент рассмотрения уголовного дела занимает период нескольких месяцев. В рамках предварительного расследования осуществляется разработка преступной группы. Заявления, граждан которые потерпели, объединяются в одно большое уголовное дело. После этого проводятся исследовательно-оперативные мероприятия, которые направлены на установление личностей которые виноваты в осуществлении преступлений, их задержание, собрание доказательств для базы уголовного дела. Проводятся файлсерверовые экспертизы, итог которых будут основываться как доказательства в судебном разбирательстве. После завершения подготовительного следствия материалы по нему передаются в судебное учреждение. Само собой разумеется, что данный процесс будет занимать продолжительное время.
— То есть выходит что , у правонарушителя существует два года, чтобы похитеть и незаметно поместиться на дне?
— Ничего похожего. На определение личностей преступников необходимо не такой большой промежуток времени. И в тот момент, когда их личности стали известны, то правонарушители мгновенно попадают в поле зрения работников правоохранительных органов, что является причиной их задержание. Здесь большинство зависит от организованной работы следственных и оперативных органов. А вот на период имущественно воздействует количество преступлений, которые были совершены преступником, объем следственных действий и экспертиз, которые проводятся.
— Иностранная система правоохраны столь же нетороплива?
— По временному промежутку расследования файлсерверовых финансовых правонарушений и в странах Европы, и в Соединенных Штатах Америки приблизительно однозначная ситуация. Российская Федерация в этом месте им образом не выделяется. Сократить временной промежуток разбирательств, конечно, по вероятности необходимо, но это может спровоцировать последующий отрицательный момент — отсутствие сбора полноценной информации обо всех событиях правонарушений, которые были совершены киберпреступниками.
— В вашей лаборатории мне продемонстрировали, как работают вредотворные программы — классифицируют поглощенные вирусом компьютеры по кредитным организациям и по тем системам интернет-банкинга, которыми используют их собственники. Можно взглянуть на экран клиента, на трансакции, которые им совершаются. Что еще совершает программа?
— Вам выставлен на показ не функционал вредонотворной программы. Вам продемонстрировали на образце исследуемого файлсервера правонарушителя, как может смотреться административная панель руководствующего сервера. Ключевая функция — это все рутинные операций автоматизируются. В административной панели руководствующего сервера можно наблюдать все пораженные вирусом компьютеры и производить их сортировку по используемым системам ДБО.
— Работа киберпреступников в странах Европы и в РФ отлична? Существует специфика у нашего государства?
— В Европейских странах хакеры сконцентрированы на похищениях у частных лиц. В Российской Федерации — у коммерческих лиц. Европейскими «пунктами отмыва» стали Латвия и Литва, но, несмотря на это в Европейском союзе гораздо сложнее, опаснее и накладнее воровать с помощью подставных организаций. Похитив, финансы необходимо их обналичить, а обнальщики взымают до 50%. Все постановлет доходность, поэтому в той же Голландии в данный момент в моде мобильные вирусы и хищение финансов у владельцев смартфонов с операционной системой Android. Остается и общепринятый «карточный» бизнес — пересбыт данных карт и хищения с них.
В Российской Федерации же злоумышленники используют вероятность открывать фирмы-однодневки, на которые можно беззапретно выводить похищенные финансы. Ориентация на пользователей-банков из числа коммерческих лиц в данной ситуации послужила причиной тому, что у них большинство финансах на счетах. И движение украденных финансовых средств со счета одного коммерческого лица на счет другого коммерческого лица, к примеру, в счет предоставления услуг или поступления оборудования, нечасто зарождают какие-либо сомнения.
— Выведение средств производится через банкоматы?
— Например. При этом работает стандартный принцип: «краду заданные карточки одного государства, обналичиваю в иной».
— Какие еще существуют знаменитые методы вывода средств по карточным реквизитам?
— Предположим, такой: ты ставишь лот на аукционе, к примеру на Ebay, сам его выдумываешь, сообщаешь: «Я предлагаю кольцо за 60 тысяч долларов». И это порожденное изображением кольцо «приобретаешь», при этом используешь для этого реквизиты чужой карты. Разумеется, если ты в первый раз создашь новый аккаунт на аукционе, сотворишь новый лот, который будет стоить 60 тысяч долларов и мгновенно же переведешь за него финансы, у тебя закроют этот платеж. Осуществляется конкретная подготовка, чтобы обвести вокруг пальца Ebay. Кто-то поступает иным образом — открывает «фальшивые» интернет-магазины, где в конечном итоге ничего не выставлено на продажу, а осуществляются только трансакции с краденых карт.
— Вы — детективы по киберпредступности — устанавливаете, куда ускользают финансовые средства?
— Мы как наемные детективы не прослеживаем цепочку направления финансовых средств. Наша миссия определить вирусосоздателя, а также человека, который загрузил вирус на сервер, и тех, кто организовал и руководил бот-сетью (сетью наполненную вирусами файлсерверов).
— Какое количество в большинстве случаев человек в компьютерной банде и как вы их аунтефицируете?
— Контингент средней злоумышленной группировки — это шесть, максимум девять человек. Наша миссия разгадать, что это за публика — по «телекоммуникационным особенностям». Это не означает, что мы постоянно определяем фамилию, имя и отчество. Несмотря на то, что и это не исключено. Но в большинстве случаев мы говорим, что пользователь с таким-то псевдонимом, IP-адресом, который облуживается у определенного провайдера, вероятнее всего мужчина, является человеком, который, по нашей базе данных, имеет отношение к определенной преступной группировке. Задача правоохранительных органов наши заключения проверить «на месте», при общении с живым человеком.
— Файлсерверовые правонарушители — гении?
— Талантливые, несомненно, есть. Но не все. Как правило, в преступной группировке есть один гениальный парень, а остальные — так устанавливаем как «пассажиры». С учетом того, что банковская фальсификация — это рынок, который живет по коммерческим законам, здесь необходимы разнообразные люди. Самые гениальные — вирусописатели. Чтобы создать вредоносный код, который имеет способность обмануть систему безопасности кредитной организации и преодолеть заключительные версии антивирусов, необходим и талант, и знания. Тождественные разработки, к слову, употребляются для шпионажа и кибервойн. Но есть вирусноносные программы и полегче. Они также могут употребляться для воровства финансовых средств. Их создают ребята с более посредственными задатками. Те же, кто осуществляет файлсерверовые правонарушения с помощью приобретенных у них вирусов, порой не обладают не то что компьютерным, а вообще более-менее достойным образования.
— За вирусы выплачивают достойные суммы?
— Заработная плата «элитного» вирусосоздателя, по нашим данным, составляет в данный момент от 30 тысяч до 50 тысяч долларов в месяц. Такая стоимость обращает внимание некоторых гениальных ребят, но, к счастью, большинство из них начинают осмысливать то, что то, что они делают, — серьезное правонарушение. Правда, в данный момент это приводит к тому, что вирусосоздатели, которые работают против российских кредитных организаций, попро-напросто переезжают в иные государства.
— За какую стоимость осуществляют продажи программы, которые были предназначены для присваивания средств у банковских пользователей?
— Такие программы оцениваются, грубо сказать, от нуля до семи тысяч долларов. При этом за нормальные финансовые средства можно не только приобрести сам вирус, но и сделать заказ его доработку под определенную кредитную организацию и даже загрузку на конкретные файлсерверы.
— И техническую поддержку забронировать?
— Само собой. Она входит в ценовую политику вирососодержащей программы. Корректировка, консультации — все это включено в ценовую политику, как и в мире обыкновенных приложений. Реклама, маркетинг, удобство интерфейса, дизайн — все это неразделимые сектора рынка, на котором торгуют правонарушенным программным обеспечением.
— Вы принимаете на работу гениальных вирусосоздателей или хакеров?
— Нет. Это непозволительно для нашей организации, каким бы талантливым или одаренным кибернарушитель ни был. Я считаю, что у человека, который зарабатывает нелегальным способом большую сумму, в тысячи, сотни тысяч раз которая превышает его зарплату, что-то невозвратимо изменяется внутри. Это можно сравнивать с выигрышем миллиона долларов в спортлото. Как правило, человек уже не может после такого трудиться на повседневной работе, за обычные финансовые средства. В случае с правонарушителями здесь еще существует и моральная составляющая. Человек, который посчитал для себя вероятным разворовывать иных людей, начинает думать по-другому. Он расценивает, что ставит на карту — несколько лет заключения, что может заполучить— беспечную жизнь. Такой «профессионал» не может внушать доверия ни одному работодателю. Все эти истории про хакера, который был принят на службу в ФБР и который проработал там всю жизнь, — для кинотеатра. Вероятно, спецслужбы и берут их на работу, но только на непродолжительное время и определенно осуществляя контроль за каждым шагом такого сотрудника.
— В прошедшем году было некоторое количество громких дел с задержанием правонарушителей. Они уже заключены? Какую длительность времени им дали?
— По делу, которое произошло в марте прошлого года Сбербанка, например, еще не было судебного разбирательства. Кто-то находится под заключением, кто-то под подпиской о невыезде. По двум иным делам суд обязан состояться в близлежащее время. Мы надеемся на ликование законодательства и на то, что виновные в совершении правонарушений будут наказаны и получат реальные сроки.
— А реальные — это какой промежуток времени? Пять, десять лет? Маловероятно ли больше, что дадут.
— А это уже будет зависеть от тяжести преступлений, которые были ими, совершены каждым из правонарушителных деяний. Я предполагаю, что если идет речь обо всей преступной группировке, то будет некоторое количество условных сроков ограничения свободы, некоторое количество сроков ограничения свободы по два-три года, и только учредителям могут дать семь лет. Еще раз ретранслирую, что все зависит от степени виновности каждого и от объективного решения суда.
— Что препятствует осудить кибернарушителей?
— Прежде всего недостоточность должной судебной практики, а также опыта расценивании дел, которые связаны с правонарушениями в сфере файлсерверовой информации у судей. Не все судьи в полном объеме могут расценить общественную опасность данных действий. Поэтому чаще всего вместо реальных сроков правонарушители довольствуются штрафными санкциями или получением условных сроков.
— В Российской Федерации какие-то смягченные сроки для киберпреступников, с учетом масштабов воровства, или это мне так показалось? В иных государствах с этим построже?
— В Соединенных Штатах Америки, Китае или Сингапуре за такие правонарушения и 60 лет можно приобрести, и 80 лет. А можно и до конца своих дней в тюрьме остаться.
— Система «Киберкоп», которую ваша организация создает в Сколково, может изменить ситуацию?
— С разбирательством правонарушений — да.
Положение системы таково, что на каждом файлсервера оперативного работника, следователя, который занимается любым правонарушением, которое связано с высокими технологиями, не только файлсерверовными, обязан находиться элемент системы «Киберкоп». Чтобы различные правонарушения сравнивались между собой, были проанализированы и указывали на соучастность к ним определенных правонарушительных группировок, на взаимосвязь. Система, к слову, новая не только для Российской Федерации. Потому она и производится в Сколково, что это продукт, который можно продемонстрировать мировому рынку. «Киберкоп» — система, которая способна связывать между собой разнообразные события, анализировать собранные данные. Можно сказать, что она способна в некотором смысле предугадывать совершение правонарушения, создавая модель из различных событий. Это целеобразная научная теория.
— Когда вы «Киберкоп» продемонстрируете?
— Первый прообраз мы продемонстрировали в феврале 2013 года — специалистам самого Сколково. Завершенный аналитический модуль мы предоставим в июне этого года. Но некоторые элементы системы уже функционируют и используются правоохранительными органами и финансово-кредитными организациями.
