Источник: dev.by
Автор: Полина Легина
Фото: dev.by
Почему мошенники воруют перед праздниками, зачем белорусам страховой фонд для пострадавших, легко ли поймать преступников, и когда жертвам вернут деньги? dev.by подготовил большое интервью с руководителем минского офиса российской частной компании по расследованию киберпреступлений Group-IB Александром Сушко (и экспертом проекта «Интернет-безопасность детей Беларуси» — примечание команды netka.by 😉 ). Он возглавлял управление по расследованию преступлений против информационной безопасности главного следственного управления СК. В 2017 году Сушко признали лучшим представителем правоохранительных органов по версии IAFCI (International Association of Financial Crimes Investigators).
— СК обнародовал статистику по киберхищениям в Беларуси: почти шесть тысяч преступлений за 11 месяцев, рост по сравнению с 2018 годом более чем в два раза. Что это за всплеск такой?
— Я последние пять лет об этом и предупреждал. Всё просто: когда в год фиксировалось 3,5 тысячи преступлений, это говорило о том, что население не использует банковские технологии в полной мере. Раньше люди стояли в очередях в кассы, потом в банкоматы, сейчас у всех по несколько карт и аккаунтов интернет-банкинга. Это всё — мишени. Настоящие жирные куски, конечно не в Беларуси, а в Европе и Америке. Когда для преступников закрывается окно возможностей на Западе, они атакуют Россию. Если закрывается Россия — атакуют Беларусь. Закрывается Беларусь — атакуют Украину. Будут атаковать везде, где есть дыры.
— Но почему ноябрь и почему Гродненская область?
— Злоумышленники — такие же люди, просто ориентированные на зло. Мы все планируем встречу Нового года заранее. Вот и преступники решили заранее подготовиться, чтобы хорошо отпраздновать Новый год.
В России на Новый год все отдыхают две недели. А злоумышленники хотят отдохнуть чуть дольше, поэтому в январе, скорее всего, будет затишье.
— Я не претендую на истину, ведь и групп много, и праздники — не единственный фактор. Ещё важен вывод денег — когда есть инструменты, но некуда вывести деньги, ты не будешь совершать хищения, а подождёшь, пока появятся обнальщики. Если у злоумышленника 2 января появится выборка по базе данных, он взвесит плюсы и минусы и, возможно, бросит отдых, чтобы заработать 100 тысяч долларов. Но во всём мире наблюдается сезонность таких преступлений.
— А что означает таргетированность атаки на Гродно?
— Предположений несколько. Первое: у преступников есть данные по всей стране, но они решили взять один регион. Преступники не хотят, чтобы их задержали. Поэтому логично воровать в других городах. Но можно сделать наоборот — воровать там, где живёшь, чтобы запутать следы. Второе: в Гродно произошла атака на объект, который располагает базой персональных данных. Магазин, интернет-магазин, поликлиника, ЖЭС, школа — какой угодно. Представьте ситуацию, что в офисе торговой сети в которой у вас есть дисконт, двери не закрыты. Некие люди заходят внутрь, вставляют флешку в компьютер и получают всю базу данных по программе лояльности. Доступ можно получить и удалённо. Уверен, где-то произошел несанкционированный доступ.
— То есть вы допускаете, что эти люди могут жить на территории Беларуси, в том числе в самом Гродно?
— Да, они могут быть белорусами.
— Многие предлагают искать звонивших в России или Украине. Вы согласны?
— Чтобы оценивать картину, надо видеть все «пять пальцев»: допустим, IP-телефония — Россия, жертвы — белорусы. Если деньги выводят на белорусские счета — в этой схеме белорусы точно участвуют. Если выводят на электронные счета в Россию, тогда вряд ли белорусы замешаны, потому что россиянин может перевести деньги напрямую.
Злоумышленник старается приблизить деньги к себе, поэтому, если мы видим, что деньги выводятся в Россию, значит, замешана Россия. Если в Украину — значит, Украина.
— Group-IB отслеживает порядка 50-70-и активных преступных групп. Кто-то занимается фишингом (получают данные удалённо), кто-то вишингом (похищают данные с помощью социальной инженерии), кто-то заражает компьютер. Только сопоставив все факторы, можно с вероятностью 90% определить, с какой территории нас атакуют.
— Group-IB работает с такими преступлениями?
— Работаем, но опосредованно, по заявке клиента. Если банк, чьи клиенты пострадали, заказывает нам техническое исследование вещдоков, мы получаем допуск к информации. Но в ограниченном объеме.
— Белорусские банки к вам обращались с такими заявками?
— Обращались.
— В 2019 году?
— Да. Детали раскрывать не буду — NDA. Помимо частных компаний, сейчас налаживается сотрудничество банков с FinCERT — новым подразделением в структуре Нацбанка. Оно выполняет функцию координатора между всеми банками по противодействию киберпреступности. Если в одном банке происходят случаи фишинга, эта информация распространяется и по другим банкам. Только все вместе мы сможем минимизировать поток этих преступлений. Ликвидировать — нет.
— Отследить, куда переводят украденные деньги, наверное, легко — банки же видят эту информацию?
— Да.
— И куда?
— Надо спрашивать у правоохранителей. Возможно, они не сообщают, чтобы не навредить расследованию. Мы же не говорим об одной преступной группе, цель которой забрать деньги у всех белорусов. Действуют десятки разных групп. В некоторых случаях, я точно знаю, деньги снимают в банкоматах Беларуси. Куда они идут дальше? Остаются в Беларуси, переводом уходят за рубеж, наличкой едут через границу и т. д. — вариантов много.
— Если деньги сняли в белорусском банкомате, разве это не гарантирует задержание подозреваемого?
— Для задержания этого достаточно. Но для ареста и заключения под стражу может быть и нет. Оценивается роль каждого участника. Были ситуации, даже в моей практике, когда люди не понимали до конца, что за деньги они получают. Тогда всё зависело от того, брал ли человек вознаграждение. Обычно дропы (конечные получатели денег), работают за проценты, от 10 до 50%. Человек получил 100 рублей, отсчитал себе 10, а 90 куда-то отправил — в этом случае состав преступления есть.
Но бывают ситуации, когда дроп вообще ничего не получает — ему сказали, что он помогает важной миссии, например.
— Следующее звено в цепи — дроповод. Это человек, который получает большой заказ на вывод денег и ищет маленьких исполнителей. Те, кто делает обзвон, тоже не конечные бенефициары, но и они участвуют в дележе денег.
— Если можно проследить всю эту цепочку, какова вероятность, что ноябрьских злоумышленников задержат, а деньги — вернут?
— Порядка 90%. Оценку можно давать, только когда видишь все материалы. Допустим, в белорусском банкомате получены деньги, мы знаем, что это мужчина, ему 25 лет. А дальше что с этим делать?
— Что обычно делают правоохранительные органы?
— Об этом я говорить не могу. Если эти технологиии раскрывать, то процент задержаний будет только 10%.
— Из 6 тысяч хищений, зарегистрированных в 2019 году, сколько, по-вашему, будет раскрыто?
— По статистике я вижу, раскрывается порядка 50%. Но бывает, что задерживают тех, кто снимал деньги, но не тех, кто организовывал преступление.
«Много молодёжи приходит в эту сферу, а молодёжь — неадекватная, что ли?»
— Где основной регион-поставщик кибермошенников?
— Не скажу. В сферу приходит много молодежи, а молодежь — неадекватная, что ли? Технологии и так оглупляют людей, а молодых, которые и книг-то никогда не читали, — тем более. Они видят в интернете объявление «хочешь денег?» и способы: 1) закладка наркотиков 2) приди в банкомат, сними 100 тысяч долларов, из них забери себе 100. «Нормально, — думают, — сделаем». Могу сказать только, что это русскоговорящие регионы.
— Организаторы — тоже дурачки? Можете обрисовать их портрет?
— Нет, организаторы точно не дурачки. Это люди 20-30 лет, максимум 35-и, без высшего образования, заводилы в компании: нужно ведь не только разработать преступную схему, но и распределить роли, найти тех дурачков, которые пойдут за тобой.
— И сколько они успевают наворовать?
— Зависит от их азарта и умений. Бывает, миллионы долларов. Напомню вам дело международной преступной группы, которое рассматривалось в минском суде в 2014 году. Беспрецедентное, таких в мире точно не было: более 260 тысяч потерпевших в 125 странах. Суть как в WannaСry: компьютер заражается, файлы шифруются, от жертвы требуют выкуп, который надо перечислить на указанный счёт. Но на деле платёж сразу не осуществляется, жертве предлагается подменная страница, на которой та просто оставляет реквизиты своей карты. Чтобы потом завести данные карты в специально подготовленные для хищения мерчанты. Воровали от 60 до 80 долларов с человека, общая сумма — 18 млн долларов. Организатором был белорус.
Вредоносную программу писали ребята из Питера, чтобы её донести до компьютера, нужен был трафик, и таких ребят, которые направляли трафик, было человек сто (украинцы, белорусы, россияне). Их задачей было донести заражённый файлик до вашего компьютера. Как только файлик открывался и появлялась заставка, на компьютере загружалась фишинговая страница, где человек оставлял реквизиты карты. Для хранения и обработки данных нужно было содержать сервера. Так вот администраторы этих серверов тоже находились в Беларуси: занимались обслуживанием и отвечали на жалобы клиентов, если вдруг сервер ложился. Для вывода денег надо было создать юрлицо и от его имени продавать в интернете ПО. Люди платили за программы, деньги приходили на счёт компании, их обналичивали.
Готовились к преступлению около полугода, а за три месяца получили 18 млн долларов. На скамье подсудимых было трое человек.
— Из украденных в 2019 году 3 млн долларов сколько вернут, по-вашему?
— В бытность моей работы в СК возмещение составляло от 50 до 80%. Оно складывается из разных факторов: можно найти деньги у злоумышленника и арестовать их, можно наложить арест на имущество обвиняемого…
— Это если он в Беларуси. А если в России, то уже сложнее?
— Сложнее. Но в целом в России такие же подходы, как у нас — это просто вопрос времени. Преступники могут сами постараться возместить ущерб, чтобы смягчить наказание. Даже если деньги они уже потратили, то могут попросить у родителей и друзей.
В одном нашем деле возмещение составило 300%: люди оставляли деньги в залог на случай появления новых потерпевших, чтобы заново не собирать.
— Возмещение может составлять и 10%. В том случае, когда были украдены 18 млн долларов, были арестованы четыре машины по 100 тысяч долларов, две квартиры по 200 тысяч долларов плюс наличные порядка 200 тысяч долларов.
— Но 18 миллионов не наскребли?
— Ключевой момент в чём — в этом деле не было ни одного пострадавшего белоруса.
— Так это правда, что у киберворов есть свои принципы — не воровать на своей территории?
— Молодежь их нарушает. А те, кто постарше, да, их придерживается. Речь не о порядочности, конечно, а о безопасности: если будешь воровать у себя дома, выше риск, что к тебе придут.
«Граница ответственности в даркнете, как в жизни — разумная»
— Судя по вашим словам, процент раскрываемости киберхищений не такой уж маленький. Почему тогда мошенники ведут себя так нагло, будто чувствуют безнаказанность?
— Взаимодействие в рамках уголовных дел — небыстрое, доказательства собирают по крупицам. Чтобы началось международное дело о 18 млн, надо было, чтобы ФБР обратилось с заявлением в Беларусь. Для задержания преступников понадобилось два года.
Вот когда мы создадим Киберпол — киберполицию в рамках всего мира — тогда расследования будут проходить быстро.
— Получили мы 150 заявлений и видим, что следы ведут в Украину, сразу сообщаем в украинский киберцентр, и они включаются в работу.
— А сколько времени надо сейчас? Деньги, которые украли у белорусов в ноябре, когда примерно вернутся?
— Задам встречный вопрос: в течение какого срока банк предоставит видеозаписи с банкомата, где обналичивали деньги? В течение какого срока прокурор даст санкцию на видеонаблюдение? Сегодня вы узнаёте об одном потерпевшем и одном банкомате, а завтра — о трёх новых потерпевших и трёх новых банкоматах. В течение какого времени вы подготовите бумагу в прокуратуру? Если каждый день выносить постановления, в них утонешь. Поэтому определяется дедлайн — за неделю собрали информацию обо всех потерпевших и дали банкам запрос.
Если речь об одном преступлении и одной карте, его можно раскрыть за неделю. Если хищения совершены с 700 карточек, но дело не выходит за границы Беларуси — сбор информации может занять от недели до полутора месяцев. Если окажется, что следы ведут в Россию, смело можно добавлять ещё три месяца. У россиян ведь и свои дела есть, так что чужие поручения они будут выполнять на факультативе. Потому я и говорю, что проблему мог бы снять Киберпол. Ещё к вопросу о скорости. Сколько преступлений в год совершается в Беларуси? Не больше 100 тысяч — убийства, грабежи, хулиганства.
Из них почти 10 тысяч преступлений в сфере высоких технологий — по сути, 10%. Пять лет назад было 1,5-2%. А теперь вопрос: увеличилось ли число сотрудников правоохранительных органов в этой сфере?
— Вы хотите сказать, что мало людей?
— Я не знаю нынешних цифр. Когда я работал, знал: в структуре СК было человек 20. И в структуре МВД — человек 80. Больше точно не стало. Поэтому сегодня нам надо объединять усилия правоохранительных органов, банков, FinCERT, частных исследователей.
— Где граница ответственности для частного исследователя? На теневые форумы вообще можно заходить без риска ответственности?
— Грань, как и в жизни, разумная. Если ты зашёл и просто посмотрел, никакой ответственности быть не может. Если ты написал, что у тебя есть для продажи база карточек, всё зависит от того, есть ли она у тебя действительно. Если нет, это тоже можно оценить как мошенничество, но в отношении преступников. Тоже так себе история. Есть парни из Швеции, которые что-то делали с WannaCry. Они как бы делали что-то хорошее, но полиция всё равно к ним врывалась, так как с этим хорошим они сделали что-то плохое. То есть надо как-то найти баланс: поиском уязвимостей должны заниматься не только правоохранители и банки, но и бизнес. Он будет подсказывать банкам и государству, как избежать утечек. Понятно, что эти исследователи рискуют, так как грань действительно тонкая.
«Есть возможность пользоваться „линуксом“ — пользуйтесь им»
— Какие данные на белорусов есть в даркнете?
— Учётные записи — логины и пароли — к e-mail, к аккаунтам в соцсетях, интернет-банкингу.
— Всех белорусов?
— Не всех, конечно. Я говорю про систему в общем. Я не сторонник дискуссий о лицензии и контрафакте, но вижу, что утечки данных в даркнет происходят из-за того, что люди используют нелицензионное ПО. Всегда говорю: есть возможность пользоваться «линуксом» — пользуйтесь им. Тогда не придётся платить деньги. Если же хотите другую ОС, не берите «крякнутую» программу — берите хорошую, заплатите за нее хорошую сумму. В тех программах, которые выкладывают в интернет как бы бесплатно, вшиты больше 50 уязвимостей, которые (мы проводили экспертизы) позволяют получать персональные данные граждан, включая учётные записи аккаунтов.
— Если бы у преступников были учётные записи к интернет-банкингу, то и звонки были бы не нужны.
— Неправильно. Допустим, ботовод (тот, кто руководит ботнетом) получает эти данные. Он думает: так, если я сейчас украду деньги, ко мне придут, а ведь я не кардер, я не ворую деньги — я хакер, я получаю данные. Эти данные он может продать, выставив объявление на теневом форуме, а может вообще ничего не делать — просто собирать их и складывать в логи, зачем — он и сам толком не объяснит. Есть и такие товарищи.
— Когда вы говорите, что в даркнете есть эти данные на белорусов, вы на что ссылаетесь? Вы сами видели?
— Да, я видел.
— Где?
— Не скажу. Есть специальные системы, обобщённо они называются «киберразведка», или Threat Intelligence, которые занимаются мониторингом даркнета и киберпространства. Это лицензионные продукты. Физическим лицам мы их не предоставляем. Юрлицам — да. Эти системы показывают утечки данных, которые касаются вас. Некоторые ресурсы находятся в открытом доступе, например, Shodan.io — там по IP можно посмотреть, к каким видеокамерам в Беларуси можно получить удалённый доступ. Но функционал платных сканеров, понятно, больше и эффективнее.
— Сканер может показать, были ли утечки данных конкретного человека?
— Да. Но не по ФИО, а по логинам, которые вы регистрируете. Утечки происходят постоянно, и «белые хакеры» выкладывают эти данные на всеобщее обозрение, чтобы люди защитились — поменяли свои учётные записи. Правда, если компьютер заражён, то можно сколько угодно менять пароль — он всё равно будет попадать к злоумышленнику.
— Номера банковских карт в даркнете есть?
— Да.
— Каких банков?
— Всех.
— Белорусских?
— Нет. Смотрите, допустим, есть интернет-магазин, который торгует ворованными карточками. Вы можете там зарегистрироваться и покупать данные карт оптом. Понятно, что реквизиты не всегда идут в привязке к человеку и количеству денег на счету. Ключевой момент: по первым 6 цифрам, или BIN (Bank Identification Number), видна принадлежность карточки банку. И если банк видит свои карты в магазине, то может их заблокировать. Что касается физлиц, то проверить свою карточку на утечку — так себе история, гарантии здесь быть не может.
— И всё-таки можно оценить, на какую часть белорусов есть данные в даркнете?
— Там же нет информации по блокам: мальчики, девочки. Привязка идёт к источнику утечки: если это мобильный оператор, то это владельцы номеров, если торговая сеть — значит, её клиенты.
— Получается, стопроцентной защиты от кибермошенников нет ни у кого — даже у тех, кто никогда не передаст реквизиты карты «сотруднику банка»?
— Когда я ратовал за принцип нулевой ответственности держателя платёжных карт, то целью этого видел, чтобы физлица не боялись использовать банковские технологии. На следующем этапе можно рассмотреть создание страхового фонда. По аналогии с агентством по возврату вкладов можно придумать страховой фонд для потерпевших от рук кибермошенников. 3 млн долларов для страны — это не так много, правда надо понимать, как мы их покроем.