Павел Крылов работает в компании Group-IB со штаб-квартирами в Москве и в Нью-Йорке, возглавляет направление, связанное с противодействием онлайн-мошенничеству. Среди клиентов компании, в основном, банки, розничный и крупный бизнес, но есть и государственные учреждения. Ее сотрудники взаимодействуют с правоохранительными органами, выступая в судах и при задержании в качестве экспертов. На прошедшей недавно в Риге профессиональной конференции eCom21 Павел Крылов, проанализировав данные второй половины прошлого года и первой половины этого года, констатировал: в сфере онлайн-мошенничества на всем пространстве распространения русского языка произошел перелом, который повлияет и уже повлиял на ситуацию в Европе, в том числе и в Балтии. Одна из причин — в курсовой разнице:
проще и выгоднее за один раз своровать миллион евро, чем 70 раз по миллиону рублей.
Не менее важно и то, что в России хакеров начали ловить и сажать.
В предыдущие годы кривая объема онлайн-хищений медленно, но верно ползла вниз, но в этом году она резко взлетела,
утверждает Павел Крылов. Два ключевых фактора роста — целенаправленные атаки на банки и бурное развитие мобильного мошенничества. Целевые атаки нанесли в России ущерб порядка 2,5 млрд рублей (36 млн. евро). Рост по отношению к предыдущему отчетному периоду составил примерно 300%. Мобильные трояны стоили жертвам в общей сложности 350 млн рублей (5 млн. евро), что превысило результат работы мошенников по физлицам в классическом Интернет-банке. Рост составил почти 500%. При этом наблюдается существенное снижение объема хищений у компаний и граждан через Интернет-банкинг.
«За несколько месяцев осуществлено 13 успешных атак с ущербом 1,8 млрд рублей (26 млн. евро), — говорит Павел Крылов. — Число провалившихся попыток значительно больше.
Страны, в которых оставили след русскоговорящие мошенники — это не только Россия, но и Украина, и Молдова, и государства Балтии.
Кроме того, они расширили спектр нападений с Интернет-банкинга на SWIFT, сети банкоматов, брокерские системы. Если раньше банкоматы физически взрывали или вскрывали, чтобы поместить в них вредоносные программы, теперь это делается через банковскую сеть. И поскольку в России мошенников мы научились ловить, они обратили свой взор за рубеж. Используют традиционный фишинг, путь проникновения и хищения — почти шаблонный. Все остальное делается доступным программным обеспечением. Самый сложный этап — вывод денег».
Русскоговорящие хакерские группировки переориентировались на Запад, а за ними потянулись и вирусописатели.
За прошедший период появились такие банковские трояны, как Panda Banker, Shifu, Midas bot,GozNym, Sphinx, Corebot, Atmos. Все они активны по миру и были разработаны русскоязычными хакерами. Если к прежнему поколению мобильных троянов банки адаптировались, установив лимит, и ущерб стал падать, то теперь трояны научились его обходить. Россия становится площадкой для их обкатки, а потом они выходят «на экспорт». Хорошим примером является один из наиболее активно используемых по всему миру Android-троянов Marcher , также известный как Rahunok. Разработанный русскоязычными умельцами, изначально он использовался одной группой для атак на российских пользователей Интернет-банка. Позднее хакеры стали продавать его на закрытых площадках под названием Android-KNL.
Если раньше пользователь, поддавшись на уловки жуликов, сам ставил зловредное приложение, то теперь подхватывает троян через эксплойт, заходя на приличный сайт с высоким рейтингом. Из совсем нового: в середине ноября пять российских банков: Альфа-банк, Сбербанк, банк «Открытие» и другие — попали под атаку бот-сети из Интернета вещей (Rus.lsm.lv уже писал о несколько более ранней массированной атаке из Интернета вещей, в которой использовались в том числе и латвийские серверы. В том случае следы привели к недостаточно защищенным камерам китайского производства.)
Интернет вещей обеспечивает создание идеальных бот-сетей, говорит Павел Крылов: они работают в режиме 24/7, у них старые системные установки («прошивки»), старые «дыры» в системах безопасности, а пользователи зачастую оставляют на устройствах заводские пароли.
— Сколько человек посадили в последнее время в России за кибер-преступления?
— Обезврежено не меньше пяти активно работавших группировок. К примеру, Lurk состояла из 50 человек, BlackHole — 13 человек вместе с вирусописателем. Речь идет не о тех, кто обеспечивает сопутствующие сервисы вроде обналичивания, а о тех, кто непосредственно занимается организацией хищения.
— Как вы выслеживаете русскоязычных мошенников? Сидите на их форумах в Darknet’e?
— Да, мы видим их форумы и командные центры. Наблюдаем за тем, как развивается троян, на что он нацелен. К примеру, в 2014 году мы заметили, что мошенники начали интересоваться брокерскими системами. В 2015 году, используя инфицированный брокерский терминал, хакеры «поиграли» на биржевых курсах. Несомненно, в выигрыше оказались не только они, но и те, кто успел вовремя отреагировать: на управляемом курсе заработали деньги. То есть, можно предвидеть события даже на год вперед.
— Латвийские случаи были?
— Могу рассказать об инциденте, который случился в одном из тайваньских банков в июле 2016 года. Мошенники устроили целенаправленную атаку и получили управление над сетью банкоматов. Под их управлением оказались 34 банкомата, удаленной командой мошенники запускали процедуру выдачи денег и успешно похитили два миллиона долларов (Rus.lsm.lv сообщал об этой «операции»: по уточненным данным, 51 банкомата «уговорили» выдать в общей сложности 83 млн. тайваньских долларов, или же около 2,4 млн. евро — примерно 2,6 млн. долларов США).
По подозрению в совершении преступления были задержаны граждане Латвии, Молдовы и Румынии.
По состоянию на сентябрь 2016 года по аналогичной схеме были атакованы банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.
Я работал в российском подразделении Hansabanka, потом Swedbank.
В 2009-2010 годах мошенничество в Балтии было развито существенно сильнее, чем у нас в России. Во всяком случае, я слышал больше интересных случаев из вашего региона, чем из России. Теперь экономическая ситуация заставила наших зашевелиться и начать «зарабатывать» деньги.
Обычно команды интернациональны, особенно если атака нацелена на зарубежные активы. Известны дела, в которые были вовлечены не только граждане всего постсоветского пространства, но даже русскоязычные из Болгарии, Румынии.
— Мошенники физически уезжают из России в Восточную Европу?
— Нет, они просто переносят туда свою деятельность, атакуют компании за рубежом. Стиль при этом они не меняют,
шаблоны, которые успешно работали в России, используются и за границей еще более успешно, потому что новая технологическая волна всегда имеет наибольшую пробивную силу.
Прямо по «почерку» видно, что это работают уже известные нам группировки, однако их сложнее призвать к ответу за преступления в чужой юрисдикции. Тем более что
у нас сейчас не очень простая политическая ситуация, официальные органы разных государств не так плотно общаются, злоумышленники этим пользуются.
— Обмен информацией происходит тоже менее активно?
— По-разному. Преступники используют политические разногласия между Россией и Украиной, Израилем и Ливаном, Пакистаном и Индией, чтобы совершать хищения и атаки в других странах, не боясь экстрадиции. На фоне взаимного недоверия спецслужб хакерские атаки могут быть использованы и для оказания влияния на развитие конфликта извне или изнутри оппонирующих стран. Тем не менее, наша компания заключила соглашение с Europol, наша команда реагирования CERT-GIB является членом международных сообществе First, Trusted Inroducer, Impact, по линии которых идет обмен, если дело затрагивает несколько государств.
— Расскажите о технологиях, применяемых хакерами, с точки зрения пользователя.
— К конечному пользователю ближе всего мобильные технологии. До недавнего времени они были связаны с введением в заблуждение, так называемой социальной инженерией (метод управления действиями человека без использования технических средств — Rus.lsm.lv): человек получает СМС с просьбой пройти какой-нибудь опрос либо поставить приложение и реагирует на него, то есть, сам производит установку вредоносной программы. Сейчас же все взаимодействие автоматизировано.
В России мы такого еще не встречали, а в Европе уже зафиксированы случаи, когда человеку приходит СМС, к примеру, о том, что его карта якобы заблокирована, которое вынуждает его позвонить на указанный номер, там робот, который, якобы проводя его дополнительную авторизацию, просит его ввести номер карты. Затем приходит СМС-код, и робот просит сообщить его. В результате человек подтверждает мошенническую платежку, которая была сделана в момент разговора. Преступники рассылают шаблонные схемы направо-налево, кто-то на них обязательно реагирует. Ровно те же системы, которые реализуют автоматический прием звонка в банке, — часто они работают на открытом коде, — обеспечивают путешествие человека по голосовому меню: «Если вы хотите то-то, нажмите на эту кнопку», причем не на русском, а на том языке, на котором общается с клиентами банк. Раньше жертв обзванивали заключенные в тюрьмах. Но
робот вызывает у людей даже больше доверия, чем живой человеческий голос.
— Как мошенники обходят трехступенчатую защиту мобильного банкинга?
—Вот популярная схема. Пользователь, откликаясь на фишинговую рассылку, по электронной почте или по СМС, попадает на фиктивную страницу, сделанную в стиле банка, и якобы проходит опрос ради получения каких-то бонусных трех тысяч рублей — скажем, отвечая на вопросы, насколько он удовлетворен работой банка и так далее. Далее его просят сообщить номер карты и ввести СМС-код для подтверждения перевода этих трех тысяч на счет. На самом деле код служит для подтверждения мошеннического платежа с карты, а не на карту. Впрочем, в России в последние месяцы по мошенничеству по физлицам затишье.
— А где растет?
— Целенаправленные атаки на банки. Технология оттачивалась в прошлые годы. Группировки, которые работали по юридическим лицам, рассылали зловредные программы, заражая кого попало. Часто этот «кто попало» оказывался внутри банка, группировка получала доступ в информационные системы банка, а потом, используя общедоступные программы, доставали из памяти компьютера пароли и коды доступа к следующим системам и постепенно добирались до корневых сервисов, таких как контроллер домена. Оттуда можно было делать практически все, что угодно, уже с администраторскими правами. В результате добирались до брокерских систем, до систем, с которых собираются платежи и отправляются по межбанковским каналам. Сначала меняли реквизиты платежа вручную, затем продвинутые группировки стали делать это автоматически.
Технология оказалась довольно шаблонной, однако возникла трудность вывода денег. Их очень тяжело обналичить.
Размер среднего хищения по банкам составляет не более 140 млн. рублей (2 млн. евро).
— И как они обналичиваются?
— Самая распространенная схема такова. Деньги распыляются по карточным счетам, к банкоматам по сигналу в определенное время приходят люди. Это должно происходить согласованно, чтобы банк не успел остановить транзакции. Такая слаженная операция доступна только высококвалифицированным группировкам, тем, которые раньше занимались выводом денег со счетов юридических лиц через Интернет-банки и обкатали на каждом этапе вывод той суммы, которую они могут снять. Понятно, что, имея доступ к SWIFT-коду или межбанковскому каналу, можно вывести гораздо больше. В бангладешском центробанке попытались недавно похитить миллиард долларов! Но обналичить такие деньги крайне тяжело.
— А как аккумулируются потом эти деньги?
— Люди, которые их обналичивают, получают большой процент с общего куша, остальное потом возвращается организаторам, к примеру, на различные электронные кошельки. Потом происходит их отмывка. Предполагаю, что
россиянин, своровав деньги в Европе, не сможет с легкостью перевести их на родину: нужно пройти валютный контроль, представить договоры, это сложная процедура. Он, скорее всего, обналичит и опять обезналичит их на месте. Не факт, что они уйдут из Европы вообще.
