Владимир Овчинский: Киберпреступники воруют деньги с помощью наших смартфонов
О том, как хакеры обчищают банковские карты и потрошат бюджеты банков и целых корпораций, «Комсомолке» рассказал экс-руководитель Российского бюро Интерпола генерал Владимир Овчинский
На днях за океаном разгорелся крупный скандал. Оказывается, еще в 2016 году американская компания UBER, создавшая одноимённое мобильное приложение вызова и оплаты такси, подверглась кибератаке. В результате парочка хакеров получила доступ к именам, электронным адресам и телефонам аж 57 млн пассажиров и водителей! UBER заплатила преступникам 100 тысяч долларов за молчание. Преступники, получив денежки, сдержали слово и удалили похищенные данные.
Компания целый год скрывала факт взлома, спасая свой имидж. История всплыла совершенно случайно. Власти США начинают расследование.
Казалось бы, какое нам-то дело до этой истории? Пусть янки сами разбираются.
Но UBER работает в семи десятках стран, включая Россию. Наш Роскомнадзор уже запросил у этой компании информацию о возможной утечке данных граждан РФ.
ВЫМОГАТЕЛЬ PETYA
— История с UBER – типичный пример киберрэкета, не знающего границ, — говорит доктор юридических наук, экс-руководитель Российского Бюро Интерпола Владимир Овчинский, ныне советник министра МВД. – Надо понимать: Россия уже живет в цифровой эре. По количеству пользователей Интернета она занимает первое место в Европе и шестое — в мире. За последние три года смартфонов у нас стало вдвое больше – теперь они есть у 60% населения. Это больше, чем в Бразилии, Индии и странах Восточной Европы.
Но дело даже не в смартфонах. Цифровые преобразования — один из главных факторов мирового экономического роста. По оценкам Глобального института McKinsey, в Китае до 22% увеличения ВВП к 2025 г. может произойти за счет интернет-технологий. Потенциальный экономический эффект от цифровизации экономики России увеличит ВВП страны к 2025 г. на 4,1-8,9 трлн руб. (в ценах 2015 г.), что составит от 19 до 34% общего ожидаемого роста ВВП!
Такие смелые экономические прогнозы связаны не только с эффектом от автоматизации существующих процессов, но и с внедрением принципиально новых, прорывных бизнес-моделей и технологий. Среди них — цифровые платформы, экосистемы, углубленная аналитика больших массивов данных, технологии «Индустрии 4.0», такие, как 3D — печать, роботизация, «Интернет вещей»…
— Голова кругом от таких перспектив!
— Важнейшим критерием перехода страны в цифровой мир является всеобщая связанность, интеграция личных девайсов (многофункциональных устройств), общественных и корпоративных систем, правительственных инфраструктур в единое целое. Цифровой взаимосвязанный мир. Это открывает невиданные возможности для прогресса, но одновременно делает нас обитателями дома со стеклянными стенами.
— Намекаете, что преступники не дремлют!
— Увы. Учитывая, что мировая экономика все больше становится на цифровые рельсы, киберпреступность тоже будет шириться, развиваться.
— И какие тенденции наблюдаются в цифровом преступном мире, Владимир Семенович?
— Тревожные. Наиболее полно они отражены в свежем докладе «Организованная интернетпреступность». Его подготовил Европол, полицейская служба Евросоюза, базирующаяся в Гааге.
Европол бьет тревогу: «В 2017 году налицо крутой подъем киберпреступной активности и распространение ее на новые направления. Растет программно-аппаратная оснащенность киберкриминала и разнообразие его организационных форм. Интернет-преступность все активнее охватывает технологические зоны, которые находятся вне сфер законодательного регулирования.
Киберкриминал непрерывно совершенствует не только программный инструментарий нападений и хищений, но и средства маскировки. В результате растет число случаев, когда кибератаки становится все труднее идентифицировать…»
Наиболее распространенными остаются DDOS атаки с целью вымогательства. По-прежнему приоритетная сфера деятельности криминала — финансы, и прежде всего банковский сектор. Но киберпреступники взяли на вооружение новую тактику. Наряду с проведением тщательно спланированных преступных киберакций против банков и других финансовых институтов, они стали широко использовать вредоносный софт для сплошного заражения пользовательских компьютеров и корпоративных сетей, используя низкий уровень цифровой гигиены и информационной защиты. Таким нецелевым киберпреступным атакам противодействовать гораздо сложнее, поскольку их объектами становятся сотни и тысячи пользователей и десятки организаций.
Первая половина 2017 г. продемонстрировала невиданный ранее масштаб подобного рода атак, констатирует Европол. Наиболее мощными были атаки с использованием вредоносного софта WannaCry и Petya/NotPetya.
— Помню. В мае вирус WannaCry заразил сотни тысяч компьютеров в 150 странах. 27 июня вирус-вымогатель Petya атаковал компьютерные системы по всему миру. Под раздачу попала и Россия. За разблокировку Petya требовал 300 долларов в биткойнах.
— Повышение разрушительного потенциала вредоносного софта, используемого криминалом, сочетание в нем шпионских и боевых компонентов становится особо угрожающим.
Согласно правоохранительной статистике, а также данным специализированных исследовательских организаций, в некоторых странах ЕС и Великобритании киберпреступность сегодня уже превысила по объему материальный ущерб от традиционных преступлений.
АТАКУЕТ ANUNAK
— Да уж, Шерлок Холмс с доктором Ватсоном и комиссаром Мегрэ в гробах теперь переворачиваются! За что боролись? Но, товарищ генерал, мы живем в России, а не на туманном Альбионе. И хотя кибепреступность не знает границ, давайте поподробнее поговорим о делах наших скорбных.
— По данным МВД, число киберпреступлений в России с 2013 г. возросло в шесть раз. Это обусловлено прежде всего доступностью программных средств, позволяющих даже слабо подготовленным пользователям совершать сложные преступления.
Наиболее распространенные схемы ориентированы на хищения денег у клиентов банков и у самих кредитно-финансовых учреждений.
Эксперты компании Positive Technologies, специализирующейся на кибербезопасности, посчитали количество хакерских атак, совершенных в разных странах мира в 2017 г. Лидерство удерживают США — 41% всех кибератак. Россия занимает второе место — 10% . Третье место досталось Великобритании — 7%.
Согласно исследованиям российской компании GROUP-IB, основными мишенями целевых кибератак у нас остаются государственный и финансовый сектор, прежде всего небольшие региональные банки, а мотив нападения — промышленный шпионаж или кража денег.
Сами целевые атаки стали изощреннее и практически всегда происходят с использованием методов социального инжиниринга. Например, сотрудники одного из банков получили на рабочую почту рассылку о вакансиях в Центробанке. Многие не удержались и открыли зараженное письмо, вирус начал распространяться по внутренней сети…
Начиная с 2013 г. сразу несколько разных групп русско-говорящих хакеров регулярно атакуют наши банки, платежные системы. И очень успешно. Наиболее яркий пример — деятельность группы Anunak (также известной как Carbanak). Она успешно атаковала более 50 российских банков и пять платежных систем. Общая сумма хищений, к которым причастны эти мошенники, составляет более 1 млрд рублей. Большая часть хищений приходится на вторую половину 2014 г.
— Что сейчас с анунаками?
— Название хакеры взяли из мифологии шумеров — существа, «пришедшие с небес». Часть группы была разоблачена. Остальные продолжают действовать под другими названиями. Это процесс перманентный. Из него, как из наркобизнеса, добровольно не уходят.
Группа Buhtrap успешно похитила у 13 банков 1,8млрд. руб. Средняя сумма хищения составила 143 млн. руб.
Buhtrap использует такую тактику:
1. Атакующие отправляют письма с вредоносным вложением от имени Центрального банка России или потенциального клиента.
2. После открытия сотрудником атакуемого банка вредоносных вложений на его компьютер устанавливаются средства удаленного доступа, которые обеспечивают начальный доступ к сети финансового учреждения.
3. Далее атакующий начинает проводить внутренний аудит сети банка, постепенно собирая информацию о внутренних серверах, администраторах, операторах банковских систем.
4. На рабочие места операторов банковских систем устанавливаются программы слежения, записывающие видеороботы с этими системами, которые создают снимки с экранов и передают всю информацию атакующим, что дает им возможность правильно повторять действия настоящих операторов систем.
5. В отдельных случаях злоумышленники добираются до сетей управления банкоматами и получают контроль над некоторыми из них. Как итог, у хакеров есть возможность по команде выдавать всю имеющуюся наличность из этих банкоматов.
У этой группы появились последователи. В результате количество инцидентов в банках и платежных системах увеличивается, суммы ущерба постоянно растут.
В этом году, например, лидером стала группировка Cobalt. Полсотни атак на разные российские банки. Добыча – от нескольких миллионов до полумиллиарда рублей!
В 2015 г. у нас была проведена первая в мире успешная атака на брокера, вызвавшая большой резонанс среди участников финансового рынка.
Использовался троян Corkow (также известный как Metel). Он предоставляет удаленный доступ к системе, что позволило злоумышленнику запускать программы, управлять клавиатурой и мышкой параллельно с оператором системы.
В результате несанкционированного доступа к терминалу торговой системы было выставлено пять заявок на покупку $437 млн. и две на продажу $97 млн. Курс доллара резко поднялся с 55 до 66 рублей. Это принесло ущерб банку в 300 млн руб.
В результате еще одного инцидента через банкоматы за один день было похищено около 500 млн руб. Пострадало полтора десятка крупных банков — участников одной из российских расчетных систем, которая позволяет снимать средства с карт Visa и MasterCard по выгодным тарифам.
Как и во всех описанных выше случаях, хакеры использовали вредоносные программы, которые хорошо известны антивирусным компаниям. Но обнаружить их работу вовремя стандартными средствами защиты очень сложно. Эти программы предоставляют удаленный доступ к нужным системам внутри защищенных сетей и открывают преступникам все возможности, доступные сотрудникам финансовых учреждений.
Но не одни банки подвергаются атакам хакеров. С помощью вредоносных писем злоумышленники пытались инфицировать, например, системы научно-производственного центра «Вигстар», занимающегося производством оборудования для российских вооруженных сил и спецслужб. Были атакованы предприятия стратегического назначения стран СНГ в ходе шпионской кампании Roaming Tiger. Командно контрольная инфраструктура указывала на китайское происхождение Roaming Tiger.
Была еще громкая история с мошенниками, создавшими поддельные сайты таких известных компаний, как «ГАЗ», «Газпромнефть», «Транснефть», АФК «Система» и многих других. Эти мошеннические ресурсы наносят не только репутационный ущерб владельцам брендов, но и прямой финансовый ущерб.
Есть немало других киберугроз для финансовых, промышленных учреждений, предприятий. О них я подробно пишу в новом учебнике «Криминология цифрового мира», который на днях выходит из печати.
УЖЕНИЕ ПАРОЛЕЙ И ЛОГИНОВ
— А какие угрозы для физических лиц, то бишь, простых граждан?
— В первую очередь назову фишинг!
— Что-то, связанное с рыбалкой?
— Точно! (генерал смеется.) Интернет-термин происходит от английского слова fishing — рыбная ловля, ужение. Только интернет-мошенники удят не рыбку, а пароли, логины простаков, в конечном результате – их денежки.
— И такие простаки находятся?
— Сколько угодно! В 2015-2016 гг. Group-IB фиксировала ежемесячно около 100 тысяч фишинговых ссылок. Думаю, в этом году ситуация не изменилась. Приведу пример таких атак, чтобы стало понятно, почему пользователи очень легко попадают на удочку проходимцев.
1. Мошенники покупают списки уязвимых сайтов самой разной тематики. Таких сайтов на просторах российского Интернета очень много.
2. Обладая даже ограниченным доступом к такому сайту, они могут изменять его. И часть посетителей, зашедших на «поломанный» сайт в результате поискового запроса в системах Google, Yandex, Bing, Rambler, Mail.ru, перенаправляется на фишинговый (мошеннический) сайт.
3. Фишинговый сайт замаскирован под акцию по розыгрышу призов. Он информирует жертву, что та выиграла денежный приз и может получить деньги. Для этого ее просят указать данные банковской карты.
4. Если жертва соглашается, то на следующем шаге ее просят указать текущий баланс карты.
— Это еще зачем?
— На сайтах разных банков есть услуга перевода с карты на карту.
Чтобы перевести деньги, необходимо указать данные карты отправителя, получателя, сумму перевода и СМС-код подтверждения. Как только жертва указывает нужные данные о своей карте, программа на сервере хакеров автоматически пытается сделать перевод того самого текущего баланса жертвы с ее карты на карту момшенников.
5. Жертва должна подтвердить денежный перевод со своей карты с помощью СМС-кода. В этот момент на фишинговом сайте жертве показывают окно, информирующее, что для получения выигрыша нужно ввести СМС- код, полученный на мобильный телефон. Если жертва вводит код в поле фишингового сайта, злоумышленники используют его для мошеннического денежного перевода.
— И прощай, денежки!
— Как видишь, схема очень проста. Не требует использования вредоносных программ, очень легко масштабируема и позволяет хакерам зарабатывать миллионы рублей. Как показывает исследование, на эти фишинговые страницы ежедневно попадают тысячи пользователей. И среди этих тысяч всегда находятся доверчивые граждане, которые и становятся жертвой мошенников.
— Ой, Владимир Семенович, меня же на днях друзья попросили поучаствовать в интернет-конкурсе собачек в пользу бездомного песика. Призы обещаны! Все недосуг было зарегистрироваться. Теперь лучше воздержусь.
— Будь осторожнее с этими конкурсами. В Интернете много любителей половить рыбку в мутной воде и опустошить счета простаков.
Но самую большую угрозу для счетов физических лиц представляют банковские трояны для Android-устройств.
ШПИОН ANDROID
— Почему именно они?
— Более 80% смартфонов в мире работает на платформе Android, неудивительно, что большинство вирусов пишутся именно под нее. Все новые банковские трояны, написанные под Android, умеют похищать деньги автоматически. Они собирают данные карт, и уже не важно, клиентом какого банка является владелец телефона. Зараженный трояном смартфон фактически шпионит за своим владельцем: передает хакерам историю звонков и СМС, доступ к любым файлам на телефоне и информации в «облачном» хранилище, следит за геолокацией.
Жертва сама загружает и запускает вредоносную программу, иногда следуя инструкциям по установке. Чтобы заставить жертву выполнить эти манипуляции, атакующий распространяет такие программы под видом легальных, например, пиратской версии навигатора, средств просмотра фото — или видеофайлов, обновлений операционной системы, расширений и т. п.
С мобильного устройства можно получить абсолютно все данные для совершения мошенничества: остаток на банковском счете; номер банковской карты, срок действия и CVV (Card Validaton Value); СМС-коды для подтверждения платежей; сведения, подключен ли интернет-банк; коды восстановления пароля для доступа в интернет-банк.
Ежедневно в России совершается около 70 успешных хищений со счетов владельцев таких зараженных мобильных устройств.
Один из наиболее популярных способов хищения — перевод через СМС-банкинг. Пошагово процесс происходит так:
1. Троянская программа пересылает все СМС на сервер злоумышленника.
2. Злоумышленник ищет на сервере СМС с уведомлениями от банков. Например, после совершения покупок, в них содержится информация о балансе банковского счета.
3. Если владелец телефона является клиентом банка, который предоставляет услугу СМС-банкинга, то злоумышленник создает задание вредоносной программе на отправку СМС с информацией о переводе денежных средств на номер банка. При этом все дальнейшие уведомления от банка будут скрываться на телефоне владельца счета и передаваться на сервер злоумышленника.
4. Банк отправляет код подтверждения операции на перевод денежных средств по СМС.
5. Троянская программа перехватывает СМС от банка, скрывает это СМС от пользователя и передает его текст на сервер злоумышленника.
6. Злоумышленник создает задание вредоносной программе на отправку СМС с кодом подтверждения на номер банка.
7. Вредоносная программа выполняет задание, в результате чего операция перевода завершается.
Описанные выше шаги часто автоматизируются, и деньги могут списывать с вашего банковского счета несколько дней небольшими суммами.
БОГАТЕНЬКИЕ ХОЗЯЕВА iPHONE
— Из старых трюков, обретших новую жизнь, можно назвать программы-вымогатели.
Раньше появлялись блокирующие окна на экране компьютера, которые сложно закрыть. Чтобы их убрать, необходимо было заплатить атакующему. Однако средства антивирусной защиты эффективно могли противодействовать таким вредоносным программам, появились специальные сайты с кодами разблокировки.
— Я пару раз попадался. У сына приятель – компьютерный дока. Убирал блок.
— В любом случае пользователь всегда мог переустановить операционную систему, и его данные оставались в сохранности. Однако ситуация изменилась, когда хакеры начали шифровать файлы и требовать деньги не за разблокировку компьютера, а за ключ дешифровки. Средняя сумма — $400. Ситуация очень схожа с угрозами, характерными для бизнеса, но и тут есть свои отличия.
С развитием мобильных устройств часть очень важных для пользователя данных стала храниться в гаджетах. Поэтому хакеры начали делать аналогичные программы и для мобильных устройств.
На этом взломщики не остановились. Они поняли, что одними из самых платежеспособных пользователей являются владельцы iPhone. Но заразить технику Apple сложнее из-за сильных ограничений на установку программ из недостоверных источников. Для атак на владельцев iPhone хакеры пользуются следующей тактикой. Скупают или сами подбирают пароли от сервиса iCloud.
Получив доступ, меняют привязанный адрес электронной почты к сервису iCloud и пароль.
В сервисе iCloud есть информация обо всех ваших устройствах и, конечно же, возможность блокировать их работу, что злоумышленники и делают. При этом Apple при блокировке через iCloud позволяет задать сообщение, которое будет показано на экране. В нем хакер указывает адрес, на который нужно написать, чтобы получить инструкции по оплате за разблокировку устройства.
Утрата доступа к данным и устройству является большой потерей для многих владельцев техники Apple, поэтому они достаточно быстро соглашаются на оплату.
Одна из самых простых схем воровства средств честных граждан и гражданок — мошеннические интернет-магазины и сервисы.
На просторах Интернета существует множество ресурсов, где предлагают купить товары по очень привлекательным ценам, но с предварительной оплатой.
Многие идут на риск и в итоге остаются и без товаров, и без денег. Часто отмечаются всплески появления таких фальшивых ресурсов перед большими праздниками.
Кроме псевдомагазинов есть и сезонные мошенничества.
Например, перед сезоном отпусков появляются фальшивые туристические операторы, сервисы по продаже авиабилетов или бронированию отелей. Иногда такие сервисы даже присылают вам электронные билеты и квитанции на бронь гостиницы. Но они являются поддельными, что выясняется в самый последний момент.
— Владимир Семенович, защита банков, других крупных учреждений возложена на их службы безопасности. А как простым гражданам не попасться в лапы кибермошенников?
— В Сети можно найти множество толковых рекомендаций по защите. Но речь о другом. Нужно всестороннее обучение кибербезопасности, начиная с начальной школы. Это — задача государства, органов образования. Причём, обучать с детства надо не только защите от вирусов и мошенников, но и от кибер — педофилов, от вовлечения в секты, экстремистские группы и клубы самоубийц типа «синих китов». Сейчас, к сожалению, эта работа далека от совершенства.
ВАЖНО!
10 основных сфер деятельности мировой организованной преступности, где активно задействован киберкриминал:
(По данным правоохранительных органов, Давосского форума -2017 и конференции Всемирного банка).
1. Финансовые преступления, включая незаконное обогащение, отмыв и преступное перемещение финансовых ресурсов, капиталов и активов.
2. Производство, хранение, транспортировка и продажа контрафактной продукции.
3.Хищение и противозаконное использование интеллектуальной собственности.
4. Наркоторговля.
5. Незаконная торговля оружием.
6. Работорговля.
7. Незаконное изъятие, хранение, транспортировка и использование человеческих органов для трансплантации.
8. Организованная педофилия.
9. Незаконный игорный и лотерейный бизнес (включая создание виртуальных казино, противозаконных компьютерных игр, предполагающих безлицензионную монетизацию и т. п.)
10. Широкий круг преступлений экологического характера (незаконные операции с городскими и промышленными отходами, отлов, транспортировка, сбыт редких животных, птиц, пресмыкающихся и т.д.)