Александр Вураско: ежегодный рост кибермошенничества в финансовой сфере РФ составляет 20–30%
Президент России Владимир Путин своим указом утвердил Доктрину информационной безопасности РФ, в которой отмечается увеличение масштабов компьютерной преступности в РФ, особенно в кредитно-финансовой сфере. В документе также говорится о недостаточном уровне развития технологий информационной безопасности в экономической сфере. О том, насколько выросло количество киберпреступлений в России, в каких сферах они чаще всего происходят, как от них защититься, как им противодействуют, в интервью ТАСС рассказал Александр Вураско, официальный представитель Управления "К" МВД России — подразделения, ведущего борьбу с преступлениями в сфере информационных технологий и кибермошенничеством.
— В Доктрине информационной безопасности указаны возросшие масштабы компьютерной преступности в кредитно-финансовой сфере. Какова динамика киберпреступлений?
— Количество киберпреступлений увеличивается с каждым годом в мире в целом. Россия входит в десятку стран с самым глубоким проникновением интернета в повседневную жизнь, и это напрямую сказывается на увеличении количества киберпреступлений. Если брать общую массу, то преступления нашего профиля, которым противодействует Управление "К", — это капля в море. Приблизительно каждый год мы наблюдаем рост кибермошенничества в финансовой сфере на 20–30%. Но это небольшое количество по сравнению с числом зарегистрированных традиционных мошеннических схем с использованием информационных технологий, например через соцсети, смс-рассылку, которые не являются кибермошенничеством. И таких преступлений порядка 80%.
— Какие самые распространенные угрозы существуют для банков?
— В кредитно-финансовой сфере перечень угроз достаточно широк. Во-первых, это классический скимминг, то есть специальное устройство на банкомате передает злоумышленникам данные обо всех банковских картах, которые прошли через него за определенный период времени. Некоторые эксперты обещали, что скимминг уйдет в прошлое, но он, наоборот, довольно быстро развивается. Как один из векторов его развития можно отметить появление вредоносных программ, ориентированных на банкоматы. С помощью них банкоматы получают массу недокументированных функций, начиная от удаления видеозаписей с камер видеонаблюдения и заканчивая выдачей всех наличных денег, имеющихся в банкомате.
Скимминг — это не единственная опасность, подстерегающая в кредитно-финансовой сфере
Но скимминг — это не единственная опасность, подстерегающая в кредитно-финансовой сфере. Если мы выстроим некую пирамиду угроз, на первом уровне у нас будут находиться физические лица, клиенты банков. Количество потерпевших будет значительным, но общая сумма ущерба относительно невелика. Общая добыча преступной группы, специализирующейся на хищениях денег у физических лиц, клиентов банка, составляет обычно от нескольких сотен тысяч до нескольких миллионов рублей. Но это хищение наугад, ведь преступник точно не знает, сколько у клиента денег на счету. У кого-то может быть тысяча рублей, у кого-то — 300 тыс. рублей. На сегодняшний день клиенты банков — самая многочисленная аудитория потерпевших.
Следующее звено пирамиды — это атаки на системы дистанционного банковского обслуживания, то есть жертвами становятся уже юридические лица. Тут ущерб, как правило, составляет десятки миллионов рублей. И верхнее звено — целевые атаки на банки. Здесь счет уже идет на сотни миллионов рублей и потенциально даже миллиарды.
— Какие еще устройства подвержены хакерским атакам?
— Следующая наиболее актуальная угроза на сегодняшний день — это мобильные вредоносы. В первую очередь страдают устройства на платформе Android, так как 80% мирового рынка смартфонов работает именно на этой операционной системе. Под другие платформы делать вредоносное ПО коммерчески не выгодно. По той же причине у вирусописателей крайне популярна операционная система Windows. В данном случае происходит такая ситуация: крупные банки уделяют большое внимание своей информационной безопасности, но их клиенты могут стать потенциальными жертвами хакеров, если "троян" (разновидность вредоносной программы, проникающая в компьютер под видом легального программного обеспечения. — Прим. ТАСС) попадет на их телефон.
— Хакеры, как правило, работают в группах или поодиночке?
— Современная киберпреступность — это сплошь преступные группы. Время одиночек прошло, так как информационные технологии значительно усложнились и глобальное понятие ИТ (информационные технологии. — Прим. ТАСС) разбилось на множество ветвей. Один человек не может быть специалистом во всем, поэтому типичная преступная группа состоит из множества узкоспециализированных злоумышленников. Между ними расписаны роли: организатор, изготовитель вредоносного ПО, распространители этого ПО. Другие занимаются подготовкой банковских счетов, на которые потом выводятся денежные средства, их обналичиванием. Зачастую все участники преступной группы даже не знакомы лично друг с другом. Сам ее организатор может не знать, кто на него работает, так как он общается анонимно через интернет с координаторами подгрупп.
В первую очередь страдают устройства на платформе Android
Параллельно с этим развивается концепция киберпреступлений как услуги, когда не нужно обладать какими-то специальными навыками, все уже сделано за вас. Современные вредоносные программы обладают дружественным интерфейсом, и с ними разберется практически любой. Проще говоря, можно найти объявление о сдаче в аренду банковского ботнета (сеть компьютеров с установленными программами, позволяющими злоумышленнику выполнять с ними действия без ведома жертвы. — Прим. ТАСС), получить доступ к нему на месяц, нажать на несколько кнопок в панели управления и перевести деньги на заранее подготовленные счета. Порог вхождения в преступный бизнес очень сильно снизился, это привлекает туда все новых и новых людей.
— И как удается раскрывать подобные преступления? В чем особенность?
— Одна из ключевых сложностей расследования киберпреступлений — установить связь между всеми участниками хакерской группы. Очень многие компании сейчас говорят, что они занимаются расследованием киберпреступлений. Это не совсем так. Они занимаются в первую очередь расследованием инцидентов. Но этого мало, нужно собрать доказательства того, что именно этот человек причастен к данному преступлению, и доказательства его взаимосвязи с другими преступниками. Потому что изготовитель вредоносного ПО нередко непосредственно в хищении не участвует. Он написал "троян" и продал право пользоваться им каким-то другим людям. Поэтому в отрыве от них он сам по себе не совершил тяжкого преступления. По ст. 273 УК РФ ("Изготовление и использование вредоносного программного обеспечения") наказание достаточно мягкое. В то же время если мы доказываем, что этот человек продал программу людям, которые с ее помощью осуществляли хищение, то он становится соучастником преступления. И тогда уже его действия будут квалифицированы еще и по ст. 159 УК РФ ("Мошенничество"). Вот этот сбор доказательств часто занимает месяцы, так как нужно найти всех участников, которые находятся в разных регионах России, и вскрыть преступную схему.
Очень многие компании сейчас говорят, что занимаются расследованием киберпреступлений. Это не совсем так
— Сколько преступных групп удается установить?
— От 5 до 10 хакерских групп в год. Они могу быть разными — в ней может быть 5 человек, а может быть 60. В этом году мы пресекли деятельность двух преступных групп, которые осуществляли целевые атаки на банки. Причем одна из них обладала возможностями нарушить функционирование банковской системы России. Они изготавливали скимминговое оборудование, вредоносное ПО, устройства класса "блэкбокс", позволяющие перехватывать контроль над банкоматами. Была и вторая подобная группа, ее участники задержаны. Задержание этих двух группировок — знаковое событие, так как впервые в нашей практике были возбуждены уголовные дела по ст. 210 УК РФ ("Создание преступного сообщества"), которая предусматривает до 20 лет лишения свободы. То есть их деятельность была квалифицирована в соответствии с общественной опасностью. В последние годы все привыкли уже к излишне мягким приговорам в отношении участников хакерских групп.
— Планируется ли ужесточение уголовного наказания за совершение киберпреступлений в России?
— Да, конечно. МВД принимало участие в разработке законопроекта о внесении изменений в ст. 158 УК РФ ("Кража"). В рамках ужесточения наказания предлагается передать ст. 159.6 УК РФ ("Мошенничество в сфере компьютерной информации") из состава мошенничества в состав кражи. Кроме того, срок наказания за киберпреступление составит до 5–10 лет лишения свободы. Будем ждать результатов этой работы, надеюсь, что уже в следующем году этот закон будет принят. Кроме того, за последние годы у нас появились профильные статьи — это ст. 159.3 и 159.6 УК РФ ("Мошенничество"), которые непосредственно затрагивают хищения в кредитно-финансовой сфере.
— Сейчас интернет-пространство активно используется не только для финансового мошенничества и хищения денег, но и для кражи персональных данных, контактов, деловой переписки с целью шантажа или других преступных действий. Как компаниям и простым пользователям защититься от кражи персональных данных и другой ценной информации?
— Такие случаи есть, но это очень маленький процент преступлений. К тому же люди, у которых похитили конфиденциальную информацию, не всегда готовы обратиться в правоохранительные органы, опасаясь за свою репутацию. В основном все же крадут деньги. Защититься от кражи данных можно. Многие организации сегодня вкладывают немалые средства в формирование системы информационной безопасности. Но это постоянный процесс — нельзя просто вложить несколько миллионов рублей в эту систему и забыть. Ее нужно постоянно совершенствовать, так как угрозы развиваются. К сожалению, не все руководители предприятий понимают это и не всегда уделяют должное внимание информационной безопасности. Практика показывает, что наибольшее количество атак на организации совершается с использованием методов социальной инженерии, когда, например, работнику присылается электронное письмо якобы из банка, пенсионного фонда, налоговой инспекции либо другой организации, содержащее ссылку на вредоносную программу. Работник переходит по ссылке и запускает таким образом у себя на компьютере "троян". Человек зачастую способен сделать то, от чего не защитит никакая система безопасности. Злоумышленники очень часто этим пользуются. В частности, в случае атак на банки очень часто все начинается с рассылки вредоносных программ по электронной почте.
— Особой популярностью пользуются сайты госуслуг, насколько они могут быть уязвимыми? Если гражданин будет иметь возможность оформления услуг полностью от заявки до исполнения через интернет (например, оформление кредитных карт, налоговых отчетов, получения налоговых выплат), не приведет ли это к росту уровня киберпреступности?
— Внедрение любой новой технологии может потенциально привлечь мошенников. Есть несколько направлений, по которым принимаются меры, чтобы не допустить мошенничества. Во-первых, это меры по обеспечению информационной безопасности, чем занимается отдельный департамент и другие ведомства. Мы со своей стороны просчитываем варианты и потенциальные преступные схемы — как новая технология может быть использована в противоправных целях, чтобы мы были заранее готовы к возможным преступлениям. Как правило, для нас все начинается уже после того, как негативные последствия наступили, так как мы занимаемся именно расследованиями киберпреступлений. Кроме того, мы ведем профилактическую работу. Но параллельно с мерами технического характера нужно проводить работу с гражданами, так как колоссальное количество киберпреступлений совершается из-за низкого уровня компьютерной грамотности людей.
— Новой тенденцией стала атака на технику, подключенную к интернету ("интернет вещей" — системы "умный дом", роутеры, автомобили и т. д). Через нее мошенник может получить доступ к остальным подключенным девайсам пользователя. Особенность этих устройств в том, что если их перезагрузить или отключить питание, то все следы атак будут стерты. Регистрируются ли подобные случаи в России? Установлены ли хакеры, совершающие подобные преступления?
— Когда говорят об атаках на "интернет вещей", речь идет об использовании этих устройств в составе ботнета. Функционирование ботнета, как правило, незаметно для владельца этого устройства. То есть ваш компьютер может входить в его состав и принимать участие в какой-нибудь массированной DDoS-атаке, а вы об этом не будете знать. На вас это никак не будет сказываться. В 99% случаев пользователь об этом не догадывается. Поэтому расследование преступлений, связанное с деятельностью ботнетов, начинается с обратного конца, с атакуемой машины или сервера. Начиная оттуда, мы выходим на командный центр ботнета, после чего анализируем данные командного центра и можем выйти на скомпрометированные устройства. Например, проанализировав один из банковских ботнетов, мы выяснили, что за период его существования (около года) через него прошло более миллиона зараженных устройств. Все ее (преступной группы. — прим. ТАСС) участники были установлены и задержаны.
Беседовала Ксения Семеновская