3000 долларов за вечер. Детектив - о киберпреступниках, которые могут ограбить любого

Источник материала:

Киберпреступники способны обчистить счет одного человека или похитить миллионы долларов из банка. Как себя обезопасить и почему блокировка компьютера — не самое страшное, 42.TUT.BY рассказал специалист по кибербезопасности Александр Сушко.

Алесандр Сушко — руководитель проекта по развитию бизнеса в Беларуси компании Group-IB, которая занимается предотвращением и расследованием киберпреступлений. В прошлом Александр расследовал киберпреступления в Следственном комитете Беларуси. В 2017 году его признали лучшим представителем правоохранительных органов 2017 года по версии IAFCI (International Association of Financial Crimes Investigators).

«Преступники ходили и выбирали, в какой из банков пойти»

— Киберпреступники способны дотянуться до любой информации, которая находится на компьютере пользователя, — рассказывает Александр. — Способны взломать систему безопасности банка или интернет-магазина и получить самые защищенные данные, которые передаются по самым защищенным каналам связи. И они успешно это делают. На самом деле таких дел не одно и не два, а тысячи только у нас в стране.

Среди самых масштабных дел, над которыми работал Александр, — остановка работы хакерской группировки Cobalt. Ущерб от ее деятельности оценили в 1,2 миллиарда долларов, которые они похитили более чем из 100 банков в разных странах. Один из ограбленных банков — белорусский.

Хакеры тогда разослали в банки фишинговые письма с зараженными файлами и смогли удаленно управлять банкоматами. Оставалось только подойти в нужное время и забрать деньги.

— Преступники не успевали получать деньги во всех банках, они еще ходили и выбирали, в какой из банков им пойти, — вспоминает Александр.

По подсчетам специалиста, группировка насчитывала 150 человек, их искали правоохранительные органы в 30 станах. Двоих участников синдиката в 2017 году задержали в Минске. Один из них отвечал за подбор исполнителей в разных городах, другой выполнял роль «мула» — в определенное время забирал деньги из банкомата.

— Можно сказать, что они не до конца понимали преступную схему, — рассуждает эксперт. — Но если ты идешь к банкомату и получаешь, к примеру, 100 тысяч долларов, ты должен осознавать, что это не твои деньги. Тем более что ты получаешь их не с карточки, а банкомат выдает их сам.

По масштабу распространения самым крупным на памяти эксперта стал «лжеантивирус», в создании которого участвовали белорусы. За него заплатили более 260 тысяч человек из более 125 стран мира, ущерб составил 18 миллионов долларов.

Еще одно заметное дело — форум CardingWorld.cc, закрытый в 2011 году. На нем общалось 2,5 тысячи кардеров, которые продавали поддельные документы, реквизиты доступа к личным кабинетам и другие нелегальные сделки. Создателем этой площадки тоже был белорус.

«Следы остаются всегда»

Александр рассказывает, что киберпреступники всегда стараются скрыть все следы своей деятельности. Они используют сложные схемы для вывода денег и надежные средства шифрования. Правда, чем дольше преступник «работает», тем больше оставляет следов.

— Один из преступников говорил, что никогда не пойдет работать на завод за 500 долларов, потому что он за один вечер может заработать 3000 долларов. Они не могут отказаться от легких денег, постепенно теряют бдительность и в конечном итоге оставляют какую-то зацепку.

Многие преступники используют американские прокси-серверы, рассчитывая на то, что американцы никогда не выдадут информацию белорусским или российским правоохранительным органам. А в какой-то момент правоохранители разных государств подружились и эту информацию выдают. Получается человек «голый»: он рассчитывал на защиту, а выдали все так, что уже ничего и не сделать. Это вопрос времени и того, насколько активно человек совершает преступления.

Следы остаются всегда. Просто в одном случае остается один след, во втором — два, в третьем — пять. Потом их нужно связать вместе и установить, кто и каким образом это сделал. Но есть, я думаю, и неуязвимые.

По словам детектива, 85−90% киберпреступников в мире говорят на русском языке.

— Это могут быть и 14-летние дети, которые опередили своих сверстников и преуспели в написании кода. Мы с такими сталкивались и в Беларуси. Самому возрастному человеку, которого я встречал, было лет 50, и это был не «мул», он активно участвовал в процессе хищения денег. В основном, конечно, — 25-30 лет. Девушек немного, но тоже есть, и вредоносные программы пишут, и организуют деятельность других парней.

У них не всегда есть высшее образование, есть самоучки. Есть специализация: одни пишут вредоносные программы, другие выступают посредниками и распространяют, третьи применяют — доносят до конкретного пользователя.

«Не все банки сообщают о том, что у них похитили деньги»

В Беларуси было четыре случая кибератак на банки, в каждой из них сумма ущерба превысила миллион долларов. Все эти дела уже раскрыты, некоторые уже переданы в суд. Названия банков правоохранительные органы не раскрывают. Сами банки тоже обычно молчат.

— Не все банки сообщают о том, что у них похитили деньги, они боятся причинения ущерба деловой репутации. По моему глубокому убеждению, это ошибка. Сообщая о таких инцидентах, банк показывает свою открытость. К тому же это значит, что он принял меры к тому, чтобы установить преступника и сообщил в правоохранительные органы.

На самом деле нет неуязвимых систем. То, что у тебя похитили деньги, не обязательно говорит о твоей слабой подготовленности. Это может говорить о высоком уровне преступников, которые тебя атаковали. Если же атаку скрыть, а через какое-то время о ней станет известно, — мне кажется, будет больший ущерб для деловой репутации.

«Американцы выдают данные, потому что их граждан это не касается»

Александр считает, что отказ Telegram от сотрудничества с правоохранительными органами — не повод для блокировки, как это произошло в России.

— Нужно понимать технологический процесс: они не могут этого передать. Это то же самое, что попросить сейчас отдать ключи от интернета в Великобритании. Этот мессенджер был изначально построен так, чтобы отдать переписку в шифрованных чатах было нельзя.

Были такие случаи, что мы обращались и нам отказывали. Но это не повод плакать и сучить ножками. Нужно искать информацию в других местах и получать ее.

Правда, сам мессенджер, по мнению Александра, должен задумываться о социальной ответственности перед пользователями.

— Некоторые провайдеры, в том числе крупные американские, в случае угрозы жизни большого количества людей выдают информацию в течение 24 часов иногда без каких-то судебных санкций. Почему? Они понимают, что невыдача этой информации может нанести гораздо больший вред. Тот же Telegram в этой ситуации явно мог выдать IP-адреса, а вот чаты, переписку — вряд ли.

Белорусские правоохранительные органы не раз обращались в Google с просьбой передать информацию о преступниках.

— Один раз это было хищение в американских интернет-магазинах, которое совершили белорусы. Они использовали при этом американскую почту: белорус переписывался с другим белорусом, они обсуждали, как будут переводить деньги в Беларусь. Американцы выдают эти данные, потому что их граждан это не касается. А вот если это будет касаться раскрытия информации их граждан, они подумают — дать эту информацию или нет.

Google никогда сразу не даст content data — содержимое переписки. Он даст только логи доступа, какую-то техническую справочную информацию, потому что есть Privacy (политика приватности). Но если мы убедились, что это то, что нам надо, мы можем направить международную просьбу и получить эту информацию — но только по решению суда или санкции прокуратуры.

А в другом случае мы такой запрос делали и нам отказали. Никто не знает почему, они не дают мотивировку. Google не обязана это делать, она выдает данные добровольно. Любой правоохранительный орган может обратиться и получить ответ — «да» или «нет». В том случае, когда Google передала информацию, дело удалось раскрыть, а после отказа удалось идентифицировать не всех преступников.

«Антивирус — это минимальный уровень защиты»

— Еще 10 лет назад коллеги из ФБР рассказали, как из-за киберпреступников в больнице погибли люди. Они были подключены к компьютеризированным аппаратам искусственной вентиляции легких. Хакеры атакуют всю сеть и не видят, что именно. В той больнице просто не успели принять меры безопасности.

От цифрового прогресса никто не откажется, и отказываться от него — неправильно. Просто надо соблюдать правила цифровой гигиены и обезопасить себя от внешних вторжений. Понятно, что каждый человек не будет профессионалом IT. Но базовые вещи обязан знать каждый.

Если компьютер начинает подтормаживать, курсор двигается сам по себе, камера включается-выключается, это может говорить о том, что ваш компьютер заражен. Он может быть включен в ту же бот-сеть, им могут управлять удаленно.

Нужно обращать внимание на то, какие сайты вы посещаете. Не стоит посещать сайты, которые могут содержать вредоносный контент, переходить по подозрительным ссылкам. Никому не передавайте PIN-код и CVC-код от платежной карты, не публикуйте ее фотографии в интернете. Даже если звонят по телефону и говорят, что из банка, сообщать эти данные нельзя.

Если кто-то в соцсетях просит перевести деньги, стоит задуматься, что это за человек. Даже если это ваш друг, лучше сначала позвонить ему и уточнить — это он сам или злоумышленник, который взломал его аккаунт.

Прошлогодний тренд — шифровальщики. На 90% эта проблема связана с тем, что используется нелицензионный софт. Потому что в разных версиях нелицензионной Windows содержатся разные уязвимости. Блокировка — это самое простое, вам показали, что вас заблокировали. Самое страшное — это если, находясь в вашей системе, будут просто сливать вашу информацию без вашего ведома.

Если вы физическое лицо, смысл в антивирусах есть однозначно. Угрозы, которые валятся на пользователей домашних компьютеров, неконкретные. Это как дождь, который идет на всех. Антивирус — это минимальный уровень защиты, как зонт. А вот если кто-то атакует прицельно — как из брандспойта — защититься антивирусом вряд ли получится, нужна специальная защита.