Как хакеры грабят банки — отчет Positive Technologies. Хакеры создали свою платежную систему для кражи денег из всех банков Кража денег из банкоматов: старые способы

Компьютерные террористы [Новейшие технологии на службе преступного мира] Ревяко Татьяна Ивановна

Как хакеру ограбить банк

Стараниями прессы многие читатели наслышаны о методах работы российских компьютерных взломщиков - хакеров. В силу закрытости этого сообщества корреспонденту пришлось потратить более полугода, чтобы выйти на одного из участников компьютерного взлома и узнать все тонкости работы настоящих хакеров.

ПОДГОТОВКА. Начитавшись статей, к примеру, о деле Владимира Левина, выкачавшего через компьютер у американского Сити-банка от 400 тысяч до 3 миллионов долларов, можно подумать, что работать хакеру проще простого: сел за клавиатуру, постучал по ней - и дело в шляпе. На самом деле операция взлома необычайно сложна, в нее, как правило, вовлечены несколько десятков людей в разных странах.

Взлом никто из профессионалов не производит из своего дома или офиса. Для этого снимается квартира где-нибудь в тихом месте на подставное имя и обычно на месяц. Такой срок необходим, чтобы узнать, кто есть кто из живущих в подъезде. Если выясняется, что в подъезде или даже в доме (небольшом, типа «хрущевки») проживают, к примеру, работники ФАПСИ, ФСБ или МГТС, квартиру оставляют и снимают другую. Попутно подбираются, а проще говоря, покупаются агенты в банке, который собираются взломать. Они должны назвать время, когда проходят электронные платежи, так называемый бук-тайм, сообщить главный серийный номер местной АТС, по возможности узнать сетевой пароль банка, а также пароль сервера (главного компьютера внутренней сети банка). Нужен человек и в банке, куда будут переведены деньги, чтобы обеспечить беспрепятственный прием и перевод на специальный счет. Надо иметь агента также и в МГТС. В случае засечения взлома службой безопасности может последовать запрос в МГТС на определение телефонного номера взломщика. Агент и должен сообщить службе липовый номер. То есть нужна подстраховка на всех возможных уровнях.

Вышеупомянутый Владимир Левин, судебный процесс по делу которого еще не закончен, не входящий по неофициальному рейтингу даже в первую сотню хакеров России, по мнению специалистов, пренебрег правилами техники безопасности и допустил кучу ошибок, достойных новичка. Во-первых, он все взломы совершал с одного компьютера из одного места, каковым оказался к тому же офис его собственной фирмы. Во-вторых, он взламывал сеть банка через абсолютно прозаичную компьютерную сеть Интернет. Наконец, он не позаботился даже о введении по окончании взлома программы заметания следов. Не поймать подобного дилетанта такому гиганту антихакерской борьбы, как ФБР, было бы просто стыдно. Что они и сделали с шумной помпой, правда, при большой помощи питерского РУОПа. Но судить тогда в России Левина не могли: статья УК о компьютерных преступлениях действует только с 1997 года, а у США с Россией нет договора об экстрадиции, то есть взаимной выдаче преступников. Но тут россияне позвонили в ФБР и посоветовали пригласить хакера в Англию на компьютерную выставку. Там Левин и был арестован прямо у трапа самолета, ибо у Англии и США договор об экстрадации давно есть.

Наряду с обычными мерами предостережения квартира, откуда будет осуществляться взлом, оснащается по последнему слову техники. На телефонную линию устанавливается «антижучок», блокирующий прослушивание, подсоединения номера. В квартиру завозятся компьютеры, запасные процессоры, мощные аккумуляторы на случай отключения света (время «Ч» менять нельзя), армейская радиостанция и масса другой экзотической техники типа зеркальных мониторов. После того как все готово, назначается день икс.

Только после нескольких встреч в непринужденной обстановке мне наконец-то удалось уговорить моего нового знакомого подробно рассказать об операции, связанной с компьютерным взломом, в которой он сам принимал непосредственное участие.

В назначенный день около восьми вечера все «заинтересованные лица» собрались в главной штаб-квартире. Главный хакер прочитал охране инструктаж, после чего им выдали бронежилеты и рации. Каждый получил свой позывной. Хакер и его ассистент стали налаживать по рации связь с операторами группы ресурсной поддержки (всего в операции было задействовано девять компьютеров в разных концах Москвы).

На противоположной стороне улицы виднелись в полумраке силуэты двух милицейских машин - основная охрана, которая, выполняя свою работу, даже не знала, кто ее нанял и для каких целей. Внизу, у подъезда, стояла иномарка с антенной, где сидели двое мужчин - представители заказчика - одной из крупнейших московских бандитских группировок. Исполнителям нужно было решить не совсем обычную задачу. Один европейский банк «кинул» дружественной группировке коммерческую структуру на солидную сумму. Его решили наказать, запустив во внутреннюю компьютерную сеть вирус. Последний должен был вывести из строя всю сеть минимум на сутки. Задача эта непростая, поэтому работа началась уже в десять вечера с поисков входных паролей.

Основной взлом сети обычно производится рано утром, когда дежурный офицер компьютерной безопасности в банке либо спит, либо теряет бдительность. В шесть часов по рации была объявлена готовность номер один. «Первый готов, второй готов, третий готов», - понеслось в ответ. Охране было приказано занять позиции по углам дома и не выпускать из виду никого из входящих в него, а также друг друга. А тем временем в квартире среди опустевших пивных банок главный хакер дал по рации ассистентам команду: «Поехали!»

Девять «отравленных» программ тотчас наперегонки устремились через три границы в атаку на главный сервер банка.

Автоматическая программа электронной безопасности пыталась их остановить, но была связана блокировочной программой и затем вообще смята превосходящими силами противника.

Вырвавшиеся на оперативный простор остальные программы учинили в банковской сети погром. В результате, получив сигнал о проникновении вирусов, главный сервер просто отключил всю сеть и заблокировал ее.

Пока срочно вызванные банковские специалисты вылавливали из сети зловредные вирусы, прошли почти сутки. В таких случаях только прямой ущерб от непрохождения платежей составляет не менее 100 тысяч долларов. А моральный ущерб в виде подмоченной репутации, которой на Западе очень дорожат, естественно, окажется еще существеннее.

Недешево обошлась операция и самим заказчикам. Свои охранники получили по 400 тысяч рублей на нос, милиция, которая выполняла договор с «обычной коммерческой фирмой», - соответственно по 200 долларов, главный хакер заработал 5000, ассистенты, большинство из которых даже не знали, в какой операции они участвовали, получили куда меньше. Ну а техническое обеспечение влетело заказчикам в 20 тысяч долларов с небольшим. Таким образом, операция себя вполне окупила.

P.S. Недавно в Москве начался первый судебный процесс над сотрудником банка «Российский кредит». Этот хакер открыл на себя счет в собственном же банке, куда сумел перекачать 14 тысяч долларов, после чего был обнаружен - на сей раз бдительной службой безопасности банка.

Как говорится в исследовании, опубликованном сегодня компанией Positive Technologies , банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер .

При наличии доступа к внутренней сети банка специалистам Positive Technologies удалось получить доступ к финансовым приложениям в 58% случаев. В 25% банков были скомпрометированы узлы, с которых осуществляется управление банкоматами, а значит, из этих банков смогли бы вывести деньги последователи группировки Cobalt, использующие аналогичные методы взлома. Перевести средства на собственные счета через системы межбанковских переводов, на которые нацелены группировки Lazarus и MoneyTaker, было бы возможно в 17% банков.

В 17% банков недостаточно защищены системы карточного процессинга, что позволяет злоумышленникам манипулировать балансом на своих карточных счетах, как мы это видели в начале 2017 года в атаках на банки Восточной Европы. Группировка Carbanak, отличающаяся своим умением успешно проводить атаки на любые банковские приложения, смогла бы похитить средства более чем у половины банков, протестированных экспертами. В среднем злоумышленнику, проникшему во внутреннюю сеть банка, требуется всего четыре шага для получения доступа к банковским системам.

В отчете отмечается, что уровень защиты сетевого периметра в банках значительно выше, чем в других компаниях: за три года в рамках внешнего тестирования на проникновение доступ ко внутренней сети был получен в 58% систем, а для банков этот показатель составил лишь 22%. Однако и такой уровень весьма далек от идеала, учитывая высокую финансовую мотивацию атакующих и отсутствие во многих банках практики анализа защищенности кода онлайн-сервисов на этапах проектирования и разработки. При проведении тестов на проникновение во всех случаях получению доступа способствовали уязвимости в веб-приложениях (методы социальной инженерии не применялись). Подобные способы проникновения использовали в своей деятельности, например, группировки ATMitch и Lazarus.

Большую опасность для банков представляют также интерфейсы удаленного доступа и управления, которые зачастую доступны для подключения любому внешнему пользователю. Среди наиболее распространенных - протоколы SSH и Telnet, которые встречаются на периметре сети свыше половины банков, а также протоколы доступа к файловым серверам (в 42% банков).

Но самое слабое звено - сотрудники банков. Злоумышленники легко обходят системы защиты сетевого периметра с помощью простого и эффективного метода - фишинга, который доставляет вредоносное ПО в корпоративную сеть. Фишинговая рассылка электронных писем в адрес сотрудников банка осуществляется как на рабочие адреса, так и на личные. Такой метод для преодоления периметра применялся практически каждой преступной группировкой, в том числе Cobalt, Lazarus, Carbanak, Metel, GCMAN. По оценкам Positive Technologies, в среднем в банках по фишинговой ссылке переходили около 8% пользователей и 2% запускали вложенный файл. В исследовании также приводятся примеры объявлений с хакерских форумов с предложениями услуг со стороны внутренних злоумышленников в банках. По оценкам экспертов, в некоторых случаях для успешной атаки достаточно привилегий сотрудника, обладающего только физическим доступом к сетевым розеткам (уборщик, охранник). Другой вариант первичного распространения вредоносного ПО - взлом сторонних компаний, которые не столь серьезно относятся к защите своих ресурсов, и заражение сайтов, часто посещаемых сотрудниками целевого банка, как в случае Lazarus и Lurk.

После того, как преступники получают доступ к локальной сети банка, им необходимо завладеть привилегиями локального администратора на компьютерах сотрудников и серверах - для дальнейшего развития атаки. Типовые векторы атак базируются на двух основных недостатках - слабой парольной политике и недостаточной защите от восстановления паролей из памяти ОС.

Если на сетевом периметре словарные пароли встречаются почти в половине банков, то во внутренней сети от слабой парольной политики страдает каждая исследованная система. Приблизительно в половине систем слабые пароли устанавливают пользователи, однако еще чаще мы сталкиваемся со стандартными учетными записями, которые оставляют администраторы при установке СУБД, веб-серверов, ОС или при создании служебных учетных записей. В четверти банков было установлено использование пароля P@ssw0rd, также к распространенным паролям относятся admin, комбинации типа Qwerty123, пустые и стандартные пароли (например, sa или postgres).

Внутри сети атакующие свободно перемещаются незамеченными с помощью известных уязвимостей и легитимного ПО, которое не вызывает подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, злоумышленники за короткое время получают полный контроль над всей инфраструктурой банка.

«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты , - говорит аналитик Positive Technologies Екатерина Килюшева . - Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ ».

На программное обеспечение банковского оборудования и попытки хищения наличных денег». Это первый случай хакерской атаки такого масштаба на банк в нашей стране, о котором стало известно общественности. Деньги граждан, к счастью, не пострадали. FINANCE.TUT.BY вспомнил пять самых громких и крупных кибер-ограблениях банков в истории.

Изображение: cbsnews.com

В шаге от миллиарда

В феврале 2016 года группа хакеров пыталась получить доступ к средствам центрального банка Бангладеш, который держит счет в Федеральном резервном банке Нью-Йорка (является частью Федеральной резервной системы США). Преступники пытались вывести со счета порядка 1 миллиарда долларов, но украсть им удалось лишь чуть больше 80 миллионов.

Хакерам успешно завершили только четыре транзакции из нескольких десятков запрошенных. На пятой транзакции в 20 миллионов долларов, банкиры заподозрили неладное. Хакеров выдала опечатка: в названии организации, которой предназначался перевод, вместо «Shalika Foundation» они написали «Shalika Fandation». Сотрудник Deutsche Bank, через который шла операция, обратил на это внимание и связался с Бангладеш для подтверждения транзакции - так афера и раскрылась.

ФРС говорит, что признаков взлома не обнаружили. Представители банка настаивают, что хакеры знали настоящие учетные данные, а распоряжение о проведении оплаты было подтверждено системой SWIFT. ЦБ Бангладеш удалось вернуть часть похищенных средств. Председатель Центробанка после инцидента ушел в отставку.

Обезумевшие банкоматы

В 2013 году группе хакеров из России, Японии и Европы удалось украсть около 300 миллионов долларов. Воровали они по всему миру: из более чем 100 банков в 30 странах мира - от Австралии до Исландии. При этом, как отмечают эксперты, оценки убытков весьма приблизительные и могут быть втрое выше. Хакеры называют себя «группировка Carbanak».

В Киеве, например, банкомат начал выдавать деньги в совершенно произвольные моменты. Никто не вставлял в него карточки и не прикасался к кнопкам. Камеры зафиксировали, что деньги забирали люди, случайно оказавшиеся рядом в тот момент. Сотрудники банка не могли понять, что происходит, пока за дело не взялась «Лаборатория Касперского».

фото:Сильные новости

Программисты выяснили, что на банковских компьютерах было установлено зловредное ПО, позволявшее киберпреступникам следить за каждым шагом работников банков. ПО скрывалось на компьютерах месяцами - киберпреступники смоги узнать, как банк совершает свои ежедневные операции. Так они получили возможность перепрограммировать банкоматы и переводить миллионы долларов на поддельные счета.

Группировку Carbanak раскрыть и задержать не удалось. Она работе до сих пор, то периодически пропадая, до возвращаясь. Например, в 2015 году хакеры украли из российского банка «Авангард» около 60 миллионов российских рублей. Схема очень похожа - банкоматы начинали вести себя попросту безумно: «На банкоматы поступала команда „выдать деньги“, люди подходили к банкоматам и набивали деньгами куртки, за пять минут могли унести несколько миллионов».

Обманный ход

В прошлом году группе российских хакеров удалось похитить из пять крупнейших банков страны 250 миллионов российских рублей. Деньги преступники снимали с банкоматов. Такая схема получила название «АТМ-реверс», или «обратный реверс».

Фото: Сергей Балай, TUT.BY

«Преступник получал в банке неименную карту, вносил на нее через банкомат от 5 тысяч до 30 тысяч рублей, а потом в том же банкомате их снимал и получал чек о проведенной операции. Далее мошенник отправлял чек своему сообщнику, который имел удаленный доступ к зараженным вирусом POS-терминалам, как правило, находившимся за пределами России. Через терминалы по коду операции, указанной в чеке, сообщник формировал команду на отмену операции по снятию наличных: на терминале это выглядело, например, как возврат товара. В результате отмены операции баланс карты восстанавливался мгновенно, и у злоумышленника были выданные наличные на руках и прежний баланс карты. Преступники повторяли эти действия до тех пор, пока в банкоматах не заканчивались наличные», - описывает схему подобных преступлений РБК.

Прекратить хищения удалось только после того, как внедрили новую систему защиту совместно с платежными системами Visa и MasterCard.

Также российские хакеры снимали деньги со счетов клиентов банков через мобильные телефоны на платформе Android. Они рассылали СМС с троянской программой внутри, которая и переводила деньги с банковского счета на счета хакеров.

Тайваньская банда

Этим летом на Тайвани хакерам удалось похитить более 2 миллионов долларов из банкоматов, не пользуясь при этом карточками. Преступники подходили к банкоматам и запускали специальную вредоносную программу - машины охотно выдавали всю наличность, которая в них хранилась. После этого грабители скрывали улики: во взломанных устройствах не удалось обнаружить никаких следов вредоносных программ. На взлом банкомата уходило около 10 минут.

Всего злоумышленники взломали порядка 30 банкоматов, которые принадлежали крупнейшему банку страны First Bank. Чтобы остановить преступников, банк на несколько дней запретили снимать деньги через свои банкоматы. В целях осторожности несколько банков Тайвани также ввели аналогичный запрет.

Хакер № 1

Фото с сайта stock. xchng

В 1994 году, когда компьютеры и интернет не были так распространены, российский программист Владимир Левин украл более десяти миллионов долларов из американского банка. Сидя в своей комнате на Малой Морской улице в Петербурге, он взломал систему управления средствами нью-йоркского Citibank - одного из крупнейших банков планеты. За пять месяцев из банка Левин сумел украсть около 12 миллионов долларов.

Придя на работу утром 30 июня 1994 года, сотрудник гонконгского Philippe National Ваnk Int. Finance Ltd., обнаружил, что со счетов пропали 144 тысяч долларов. Он увидел, что эти деньги при посредничестве Citibank были переведены на другой счет, только вот неясно, куда именно. В Нью-Йорке сказали, что проблема не в них, так как все транзакции фиксируются, и они никаких денег не переводили. Через пару недель деньги загадочным образом исчезли со счетов в Уругвае. Тогда Citibank обратились в ФБР, чтобы начать расследование.

Левин переводил деньги на счетов в Финляндию, Германию, Израиль, США и Нидерланды. Сначала ФБР арестовывало его помощников, которые пытались обналичить счета. У всех у них были найдены поддельные паспорта и билеты до Санкт-Петербурга. Самого Левина арестовали в марте 1995 года, в 1998 году его приговорили к трем годам лишения свободы.

До сих пор неизвестно, каким образом Левин проник в компьютерную сеть Citibank. Сам хакер на суде отказался раскрывать подробности взлома. Существует версия, что доступ к системам изначально получила некая группа российских хакеров, после чего один из них продал методику Левину за 100 долларов.

Как Россия превратилась в «территорию хакеров».Сколько денег удается хакерам умыкнуть из карманов физических и юридических лиц? Этот вопрос «Итоги» задали генеральному директору компании Group-IB Илье Сачкову, вместе с которым мы разбирались в подоплеке недавних неприятностей с ЖЖ («Итоги», № 15).

— Илья Константинович, как часто банковские счета потрошат с помощью DDoS-атак?

— Такие атаки — прием достаточно частый, но есть вещи и более серьезные. Самая распространенная вещь в Интернете — мошенничество через системы интернет-банкинга, проще говоря, хищение денежных средств со счетов юридических и физических лиц. В первую очередь юридических, потому что у них суммы на счетах больше. В прессе находят отражение единичные кражи, а в реальности ситуация гораздо хуже: ежедневно только мы разбираем по 10 случаев, а по стране в целом, думаю, происходит по 60—70 хищений в день со счетов юридических лиц через системы дистанционного банковского обслуживания (ДБО). К сожалению, официальной статистики по этому вопросу не ведется.

— Вы можете оценить прибыльность этого «бизнеса»?

— Русские хакеры — те, что проживают на территории нашей страны, по нашей оценке, заработали в 2010 году 1,3 миллиарда долларов только в России. Если объединить русскоговорящих выходцев из стран бывшего Советского Союза, то будет уже 2,5 миллиарда долларов. Для примера я покажу вам на экране выписку из интернет-кошелька реального хакера, проживающего в Москве, в отношении которого сейчас идет расследование. Смотрите: приход денег за один день 11 августа 2010 года: 40 тысяч долларов, 31 тысяча долларов, еще 40 тысяч долларов и дальше в том же духе. И это только за один день!

— Наверное, не все эти суммы уходят через системы ДБО? Есть, например, корпоративные банковские карты, которые также представляют интерес для мошенников.

— По нашим оценкам, кражи с корпоративных карт — копейки по сравнению с мошенничеством в ДБО. Именно на взломы систем клиент — банк приходится основная доля доходов преступников. То, что вы видели на экране, — реальный доход всей преступной группы. Владелец интернет-кошелька — организатор группы, он получит около 80 процентов. Смотрим далее: приход за полтора месяца — 24 миллиона долларов. Это объемы хищений со счетов российских юридических лиц. В основном страдает малый бизнес, иногда — крупный. Данный случай не исключение, а скорее новый формат реальности. В России, где и так все очень сложно с юридическими доказательствами компьютерных преступлений, это потенциальный источник коррупции в правоохранительных органах.

— Как хакерам удается попасть в защищенную банковскую систему?

— Через корпоративные ПК юридических лиц, клиентов банка, на которых установлено ПО удаленного управления банковскими счетами. Чаще всего это делается с помощью вредоносных программ. Заразить компьютер бухгалтера специальным вирусом — банковским трояном — можно, по сути, двумя основными способами. Либо вирус занесет сообщник преступников, работающий в компании, этакий засланный казачок. Либо троян подхватит сам бухгалтер, который с рабочего компьютера «серфит» по просторам Интернета и может посетить зараженный сайт. В любом случае заражение компьютера — следствие халатного отношения к основным правилам информационной безопасности. Ведь в идеале для проведения платежей бухгалтер обязан иметь портативный ПК, который следует хранить в сейфе и доставать только для работы в системах интернет-банкинга. Но это в идеале, а на практике вирус, внедрившийся в бухгалтерское ПО, формирует подложное платежное поручение на перевод денег со счета жертвы на счет специально зарегистрированной фирмы-однодневки.

— Но сразу воспользоваться всей суммой вряд ли удастся?

— Конечно, это может привлечь внимание. Поэтому в состав преступной группировки входят не только хакеры, но и люди, отвечающие за вывод денег с банковских счетов и обналичивание. В этой части хакеры тесно взаимодействуют с традиционной преступностью. Так, деньги, уведенные со счетов юридических лиц, отправляются чаще всего в Екатеринбург или Челябинск — там продолжают действовать организованные преступные группировки, которые еще с 90-х занимались обналичкой. Они дробят первичную сумму, переводя ее на счета других фирм-однодневок либо подставных физических лиц. Задача — распределить исходную сумму на множество счетов физических лиц (они называются дропы, обычно это бедные студенты, бомжи и т. д.) так, чтобы дропы могли легко снять «свои» суммы за два-три подхода к банкомату в течение дня. За небольшое вознаграждение они это делают и сдают наличность конкретному лицу из банды. Схемы обналички, естественно, разрабатываются заранее, но есть рынок, скажем так, услуг под ключ. Если не верите, наберите фразу «обналичить деньги» в любой поисковой системе...

— Что потом происходит с наличными деньгами?

— Потом кэш перевозится в Москву и вводится в электронную платежную систему, например WebMoney или «Яндекс. Деньги». Нужно ведь каким-то образом перевести наличные деньги на счета преступников и одновременно окончательно замести следы. Электронный кошелек здесь лучшее средство, потому что после этого этапа деньги уже невозможно отследить. Далее владелец кошелька раскидывает деньги по другим кошелькам: хакерам, ответственным за связи с разными ОПГ и т. д. Чтобы вычислить подобную схему обналички, правоохранительным органам и нам в качестве аналитиков понадобилось два года работы. Это было непросто, потому что таких электронных платежных систем много, государством они не контролируются.

— Это же рай для преступников!

— На словах это называется более красиво — концепция свободной рыночной экономики. Она зиждется на трех китах: нет контроля со стороны государства (прямые контракты), нет налогов, и на эти деньги можно купить все, что угодно. Конечно, напрямую оплатить, скажем, недвижимость электронной валютой вы не сможете, но деньги можно легко обналичить и приобрести ту виллу, которая приглянулась. Схемы обналичивания электронных валют гораздо проще, чем вывод денег с банковских счетов, ввиду отсутствия такого жесткого контроля, который имеется в банковской среде.

— Как с этой проблемой справляются в других странах?

— В США многие люди понимают, что если хакер находится на территории США и действует против интересов страны, то с вероятностью 90 процентов в ближайшее время его арестуют. В Европе во многих странах фактически невозможно обналичить деньги юридического лица. По сути, существует три сдерживающих фактора: чувство наказуемости, экономическая нецелесообразность и техническая невозможность. У нас же сложилась парадоксальная ситуация: отсутствуют все три. Соответственно, человек, не обремененный совестью, легко может начать преступный бизнес и в день зарабатывать миллион долларов, ведь технически это не очень сложно.

— Расскажите поподробнее!

— Давайте сразу условимся, что мы не пишем инструкцию для начинающего хакера. То, о чем мы говорим, — преступление, и этим нельзя заниматься, даже из природной любознательности. Доходы, которые вы видели на экране, не просто цифры, это чей-то потерянный бизнес, чья-то семейная трагедия.

Теперь о ключевых моментах преступной схемы. Первым делом злоумышленнику нужно создать бот-сеть зараженных компьютеров и вирус, который эти компьютеры заразит. Если стоит задача именно заработать, нужен вирус высокого класса, который не детектируется антивирусами и представляет собой некий конструктор. Он стоит 5—6 тысяч долларов. Еще нужно купить хостинг, где доступ к содержимому серверов гарантированно закрыт для любых правоохранительных органов. Это специальное направление деятельности преступного мира — создание специализированных хостинговых сред для предоставления нелегальных услуг.

— Выбор большой?

— Огромный. И стоит такой хостинг недорого: 150—200 долларов в месяц. Большинство коммерческих центров обработки данных (ЦОД) таковыми не являются, но в моей практике встречались вполне легальные ЦОДы, которые тайно подрабатывали хостингом для преступников, ведь это очень выгодно. В том числе и в России, к сожалению.

— И как вирус будет распространяться по Сети?

— Нужен распространитель вредоносного ПО по Интернету. Для этого есть целые группы злоумышленников, которых называют заливщиками. Это люди, которые распространяют вредоносное ПО за деньги. Заражение 1000 машин стоит 20 долларов, примерно 600 рублей. Но обычно заказчик тратит побольше, долларов 500, чтобы заразить большее количество машин. Вирус — маленький загрузочный модуль — попадает в компьютеры, превращая их в зараженные боты. А сам организатор наблюдает с помощью панели управления, как ведут себя его боты.

Последний писк в этой сфере: вирус сам пытается понять, что можно украсть с данного компьютера. В первую очередь ищет входы в банковские платежные системы. Если они есть, загружает на компьютер модуль для работы с бухгалтерским ПО банка. Если нет, пытается найти платежное ПО для физических лиц: WebMoney, «Яндекс.Деньги» и т. д. Нашел — загрузил соответствующий модуль. Если ничего этого нет и денег с компьютера напрямую заработать нельзя, все равно его можно использовать: например, для рассылки спама либо для DDoS-атак. Максимум 8 тысяч долларов — это стоимость входа на рынок киберпреступности.

— Как вирусу удается безнаказанно творить свое черное дело, ведь банки инвестируют огромные средства в системы безопасности?

— Преступники заказывают высококлассные вирусы, которые в состоянии обходить антивирусы и другие виды защиты. Причем современные банковские трояны обеспечивают хакерам возможность не только удаленного доступа, но и сокрытия следов преступлений. Как это делается? Как только подложное платежное поручение отправлено, главная задача преступников — ограничить доступ бухгалтера к системе интернет-банкинга. Чаще всего они удаляют один из компонентов операционной системы зараженного компьютера. В то время когда все силы клиента банка брошены на восстановление работы компьютера, деньги покидают его счет.

— Возникает интересный вопрос: кто виноват в произошедшем? Клиент банка, допустивший заражение компьютера, или банк, выдавший ему такое ПО, которое не защищено от атак вирусов?

— С одной стороны, ответственность за инцидент лежит на клиентах, которые часто пренебрегают обоснованными рекомендациями банков. А они, между прочим, прописываются в каждом договоре на предоставление услуг ДБО. С другой стороны, банки обязаны отслеживать странные платежи — например, единоразовый перевод крупной суммы на счет физического лица. Операционист должен такой платеж заблокировать, позвонить в компанию и получить подтверждение от бухгалтера. К сожалению, на практике не всякий банк придерживается таких стандартов...

— Что делать пострадавшему?

— Практически любые действия хакеров — это преступление. Поэтому в обязательном порядке следует обращаться в полицию. Правда, пострадавшие крайне редко это делают.

— Почему? Не верят в успех?

— Отчасти да, не верят, ведь примеров успешных расследований очень мало. Хорошо то, что в нашей стране вообще появилась такая специализированная компания, как наша. На Западе таких много, это целый рынок услуг.

— Представим, что пострадавший владелец компании приходит в местное ОВД. Ведь на него посмотрят как на идиота?

— Вполне вероятно, заявление постараются не принять. И к этому походу следует готовиться заранее. Во-первых, нужно самому четко понимать, что произошло преступление, ведь с правовой грамотностью населения в сфере информационной безопасности у нас кошмар. И это преступление описано в Уголовном кодексе. Во-вторых, нужно четко знать, что сотрудник полиции обязан принять заявление, и отказ — это фактически должностное преступление. В-третьих, нужно правильно описать состав преступления. Рекомендации по тому, как писать письмо, достаточно легко найти в Интернете: и на нашем сайте, и на других. Если происходит DDoS-атака, желательно приложить нотариально заверенную веб-страницу. В Москве есть (и в регионах уже появляются) такие веб-нотариусы, которые подтверждают, что на компьютере нотариуса нет доступа к ресурсу. Мораль такова: если человек подготовится к визиту в ОВД, это увеличит шансы того, что расследование будет успешным или хотя бы будет возбуждено уголовное дело.

— То есть заявление в полицию, по-вашему, это и есть панацея?

— Обращаться нужно, хотя бы для статистики. Смотрите: штат полиции могут увеличить лишь на основании зарегистрированных преступлений, но сейчас официальная статистика МВД в части высокотехнологичных преступлений совершенно неадекватная. Поэтому соответствующих специалистов катастрофически не хватает: на одного сотрудника полиции в области компьютерных преступлений приходится, думаю, около 100 заявлений, может быть, больше. И работа в основном происходит на бумаге.

— По-моему, нашим правоохранителям куда приятнее поймать бедного студента, который поставил на компьютер нелицензионную версию операционной системы или бухгалтерской программы…

— Я понимаю желание людей заниматься именно такими расследованиями, потому что технически это гораздо проще. Но это полный бред, когда один человек ворует 5 миллионов долларов и получает за это пять лет условно, а другой за нелицензионную ОС садится на два реальных года. Государству нужно срочно вмешаться в эту неразбериху с компьютерной преступностью! Если ничего не делать, завтра будет гораздо хуже: доходы хакеров растут, а с ними — возможности влияния. Если в 2000 году компании ставили защиту, а хакеры ее ломали, то сегодня, когда у преступника 24 миллиона долларов ежемесячного дохода, роли поменялись: хакер совершает преступления, а компании и организации пытаются его догнать. Через два года мы вообще можем потерять контроль над Интернетом, и тогда с хакерами будет бесполезно бороться. Потому что у них будут свои люди в Госдуме, где они станут проводить свои законы.

— Недавно Российская ассоциация электронных коммуникаций предложила внести поправки в УК РФ в части ответственности за компьютерные преступления. Это поможет?

— Я являюсь сопредседателем комиссии РАЭК по информационной безопасности и киберпреступности и принимаю непосредственное участие в разработке этих поправок. Мы рассчитываем завершить работу к осени. Но даже если все исполнится так, как задумано, такая нормативная база будет отлично работать только в том случае, если хакер находится в России и преступление совершено тоже в России. Как только хакер оказывается за рубежом, без сотрудничества правоохранительных органов разных стран ничего сделать нельзя. Есть, например, международная конвенция, которая позволяет странам, подписавшим ее, в частности США, обмениваться данными, необходимыми для расследований, в онлайн-режиме. Россия к этой конвенции не присоединилась, и потому у нас трансграничное общение идет по старинке: бюрократия, бумага, визирование… Правда, в этой конвенции есть определенные нюансы. Например, если мы подключимся к ней, то, скажем, правоохранительные органы США смогут вести собственные расследования на нашей территории, не ставя нас в известность... Вступать в международные союзы нужно обязательно, но при этом контролировать некоторые тонкие вопросы.

Как говорится в исследовании, опубликованном компанией Positive Technologies, банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако не готовы противостоять нарушителям во внутренней сети. Преодолевая периметр с помощью социальной инженерии, уязвимостей веб-приложений или инсайдеров, злоумышленники оказываются в комфортной для себя среде, уровень безопасности которой не отличается от компаний из других сфер.

«Нужно понимать, что злоумышленник не сможет достичь своей цели и похитить деньги, если атака будет вовремя выявлена и остановлена, а это возможно на любом ее этапе, если принимаются соответствующие меры защиты, - прокомментировал аналитик Positive Technologies Екатерина Килюшева. - Необходимо проверять почтовые вложения в изолированном окружении, не полагаясь исключительно на антивирусные решения, установленные на рабочих станциях пользователей. Крайне важно своевременно получать уведомления систем защиты и незамедлительно реагировать на них с помощью постоянного мониторинга событий безопасности силами внутреннего или внешнего подразделения SOC, а также SIEM-решений, которые могут существенно облегчить и повысить эффективность обработки событий ИБ».