В 2011 году количество хакерских атак в российской банковской сфере выросло в два раза. О том, сколько средств преступникам удалось похитить со счетов, изменились ли способы хищений и как с помощью Сбербанка была ликвидирована крупная группа мошенников, в интервью Банки.ру рассказывает генеральный директор компании Group-IB, занимающейся расследованием IT-инцидентов, Илья САЧКОВ.
— В опубликованном недавно исследовании, которое подготовила Group-IB, говорится о том, что русские киберпреступники «заработали» за прошлый год около 4,5 миллиарда долларов. Какой тип мошенничества был наиболее распространенным?
— Как показали результаты нашего исследования, наибольшие доходы получают те киберпреступники, которые специализируются на хищениях в системах интернет-банкинга. Этот род преступной деятельности на фоне низкой грамотности пользователей в сфере информационной безопасности продолжает приносить хакерам сверхприбыли, поэтому атаки на системы интернет-банкинга будут преобладать на российском рынке киберпреступности и в этом году.
— Сколько денег
— По нашим подсчетам, за прошлый год российским киберпреступникам удалось похитить с банковских счетов в России 832 миллиона долларов. Стоит отметить, что не все эти деньги осели в карманах интернет-мошенников. Около половины остались в руках так называемых дроповодов, отвечающих за оперативное обналичивание похищенных средств. Нередко дроповоды имеют связи в традиционных преступных кругах, а это значит, что деньги, похищенные из систем интернет-банкинга, могут в дальнейшем использоваться и для развития других видов преступного бизнеса. Поэтому мы особо отмечаем, что в 2011 году на рынок киберпреступности стали активно проникать представители криминальных структур, что не может не вызывать закономерных опасений.
— Какие сектора экономики наиболее уязвимы перед хакерскими атаками?
— С учетом темпов развития и проникновения информационных технологий ни один сектор экономики не защищен на все 146%. Проблема в том, что нынешние хакеры действуют, руководствуясь исключительно корыстными мотивами. А у любой компании есть чем поживиться. Основные векторы атак приходятся на следующие ключевые направления: деньги, информационные активы и репутация. Поэтому можно приложить максимум усилий для защиты компьютера бухгалтера, но проглядеть утечку конфиденциальной информации, от которой зависит будущее компании.
— Можете ли вы дать прогноз, насколько увеличится выручка российских киберпреступников по итогам этого года? Наметились ли какие-то тенденции в первом квартале?
— Мы пробовали давать такие прогнозы по итогам 2010 года, но это все равно что гадать на кофейной гуще. Например, кто мог предположить, что в прошлом году в России начнется вторая волна массовых инцидентов, связанных со скиммингом? Считалось, что банковским службам давно известно об угрозе такого типа и методах ее предотвращения. А оказалось, что «хорошие шутки» не стареют…
Поэтому я предпочту не играть цифрами, лишь отмечу, что в сфере мошенничества в системах интернет-банкинга мы ожидаем снижения количества инцидентов. Это будет обусловлено заменами игроков и используемых вредоносных программ на данном направлении российского рынка компьютерных преступлений.
— Оцените эффективность работы органов внутренних дел в прошлом году.
— Я положительно оцениваю работу именно правоохранительных органов России. Посмотрите на результаты. Практически по каждому виду компьютерных преступлений были проведены значимые мероприятия.
Ликвидирована кардерская фабрика в Подмосковье — это раз. Задержаны предполагаемые заказчик и исполнитель DDoS-атаки на платежную систему Assist — это два. Кстати, первый подобный случай в российской практике. После длительных поисков попал под стражу «двуликий хакер» Максим Глотов, автор вредоносной программы OSMP Grabber, — это три.
Однако, несмотря на эффективные мероприятия, проводимые полицией и ФСБ, стоит отметить, что правоприменительная практика остается по-прежнему очень слабой. Вот пример из прошлого года — судебный процесс против Евгения Аникина. Аникин похитил 9,5 миллиона долларов, а в итоге за свое преступление получил условный срок. Лично я был шокирован таким решением суда!
В нашем отчете по итогам годового исследования мы уделяем особое место вопросам юридического противодействия компьютерным преступлениям в России. Мы предложили список из шести действенных шагов, реализация которых позволит не только существенно повысить уровень раскрываемости преступлений в сфере компьютерной информации, но и изменить существующую правоприменительную практику.
— Вырос ли процент хакерских атак на российскую банковскую сферу в прошлом году?
— К сожалению, вынужден ответить на этот вопрос положительно. Если в 2010 году мы фиксировали ежедневно около 20 случаев мошенничества в системах интернет-банкинга, то в прошлом году их стало больше в два раза. Замечу, что речь идет об атаках на счета как юридических лиц, так и физических. Средняя сумма хищений при этом, конечно, разнится. В среднем за один раз организация теряет 3,1 миллиона рублей, в то время как физическое лицо — 289 тысяч рублей.
Конечно, получить доступ к банковским счетам первых — более желанная цель для мошенников
Методы хищений остаются прежними: используются специализированные вредоносные программы, чей функционал постоянно дорабатывается вирусописателями. Например, с осени 2011 года мошенники стали активно использовать автоматическую подмену реквизитов платежного поручения в момент подписания документа и его отправки, а также полностью автоматизировали процесс формирования и отправки мошеннического платежного поручения вредоносной программой. На языке специалистов в области расследования компьютерных преступлений эти функциональные возможности называются «автоподмена» и «автозалив». Пока среди всех вредоносных программ, которые используются против клиентов российских банков, такой функциональностью обладает только «банковская» троянская программа Carberp.
— Много ли средств, похищенных преступниками со счетов, удается вернуть их владельцам?
— Хищения бывают успешными и неуспешными. В первом случае деньги обналичиваются, попадают в руки преступников, и, чтобы их вернуть, требуется комплексное расследование. Во втором — мошеннический платеж блокируется либо банком пострадавшей компании, либо банком, куда были переведены похищенные средства. Стоит отметить, что больше половины мошеннических операций фиксируется и блокируется.
Успех в вопросе возвращения похищенных денег напрямую зависит от времени реакции на инцидент. Чем раньше пострадавший клиент банка обнаружит пропажу и сообщит об этом компетентным организациям, тем больше вероятность, что мошеннический платеж будет блокирован. К сожалению, скорость реакции на инцидент в российских компаниях очень низкая
Если деньги были обналичены злоумышленниками, вернуть их можно будет только в случае идентификации мошенников с последующим привлечением к суду. В рамках уголовного процесса пострадавшая сторона предъявляет гражданский иск. С его помощью можно компенсировать не только похищенные средства, но и деньги, потраченные на ликвидацию и расследование инцидента.
— Появились ли какие-то новые схемы мошенничества в Интернете?
— Нет, схемы остаются прежними. Так, люди продолжают по-прежнему переводить деньги авторам так называемых нигерийских писем. Тысячи долларов.
И то, что схемы остаются, по сути, неизменными, очень печальный показатель. Это значит, что оповещение о способах обмана ведется очень слабо и интернет-пользователи не знают, с чем могут столкнуться в виртуальном пространстве. Та же волна скимминга связана с тем, что банковские карты стали активно распространяться среди жителей провинции, но вот рассказать им о рисках и угрозах мало кто посчитал нужным. Поэтому без масштабной информационной работы все наши усилия ни к чему не приведут. Необходимо со школьной скамьи обучать пользователей основам информационной безопасности, только тогда финансовые показатели рынка компьютерных преступлений начнут снижаться.
— Достаточные ли меры, по вашему мнению, предпринимают банки, чтобы защитить своих клиентов от хакерских атак? Что нуждается в улучшении?
— Как говорится, нет пределов совершенства. Чтобы обезопасить своих клиентов, мало размешать на сайтах информацию о возможных угрозах.
Я считаю, что банковскому сообществу следует предпринять рад важных шагов в этом направлении. Во-первых, признать, что мошенничество в системах интернет-банкинга существует, а клиенты страдают от рук злоумышленников. Пока факты хищений будут отрицаться, расследования не будут инициироваться. Если нарушений нет, то и привлекать к ответственности никого не надо. Все шито-крыто! Но как только банки признают, что проблема существует, то сразу появится необходимость ее решать.
В свою очередь, решить ее без комплексного взаимодействия невозможно. Поэтому придется налаживать связи по обмену данными и между собой, и между компетентными организациями. С возникновением устойчивой системы обмена информации появится возможность формировать правила для систем антифрода и оперативно предотвращать мошенничество. Обмен данными между заинтересованными игроками уже осуществляется и демонстрирует свою эффективность.
Кроме этого, требуется активное участие в самих расследованиях. Вот в марте правоохранительные органы при нашей всесторонней поддержке ликвидировали крупную группу мошенников. Так называемую группу Carberp. Могу честно сказать: без активной помощи Сбербанка России расследование было бы значительно затруднено. Банк не только финансировал работы по проводимым криминалистическим исследованиям, но и осуществлял сбор и предоставление необходимой информации правоохранительным органам. Информация, переданная Сбербанком на исследование в нашу криминалистическую лабораторию, помогла подтвердить причастность данной преступной группы ко многим инцидентам.
Беседовала Татьяна ТЕРНОВСКАЯ, Banki.ru
