Кибербезопасность в условиях электронного банкинга. Практическое пособие

1.2.5. Схемы быстрого обогащения: «Золотой поток» (Golden Stream), «Алмазный дождь» (Diamond Rain) и др

Речь идет о всевозможных пирамидах. Как правило, все начинается с того, что на электронный адрес потенциальной жертвы приходит письмо с предложением заработать большие деньги, участвуя в игре. Например, перечислив 100 руб. (такое предложение было в игре «Золотой поток»), можно заработать 1 млн руб. всего за 90 дней[26]. В ответ на пересылку 100 руб. жертва получает какую-нибудь дополнительную информацию или программу. Далее, как обещают организаторы, все зависит только от активности игрока: чтобы заработать свой миллион, он должен искать новых «участников», и чем быстрее, тем лучше.

Вариантов писем, которые начинаются с просьбы обязательно дочитать до конца и не сравнивать эту игру с другими, много. Однако принцип во всех этих схемах один: в начале игры жертва теряет некоторую сумму денег и все дальнейшие усилия тратит на компенсацию своих потерь, подыскивая новых «участников».

1.2.6. «Нигерийские письма»

Афера с «нигерийскими письмами»[27] – это современный вариант известного сотни лет назад мошенничества «Испанский узник», когда самозваные графы Монте-Кристо XVIII в., используя обычную почту, выманивали деньги у доверчивых людей, обещая им несметные сокровища, зарытые где-то в дальних странах.

Мошенники рассылают письма (в нашем случае по электронной почте, хотя может использоваться и обычная почта или факс), в которых содержится очень выгодное деловое предложение по переводу значительной суммы денег с африканского континента за рубеж под солидные комиссионные (до 40 %)[28]. От жертвы требуется совсем немного – предоставить свои личные данные в качестве гарантии сохранности денег и расчетный счет в банке для размещения средств [65].

Сценарии дальнейшего развития сюжета похожи на описанные выше. Под каким-либо предлогом мошенники просят перечислить незначительную сумму за оказание услуг. Это могут быть просьбы внести деньги на оплату услуг юриста, компенсировать стоимость пересылки каких-либо документов и т. д. Дальше злоумышленники, если у них есть необходимая информация для снятия денег со счета жертвы, опустошают ее счет, а могут и пригласить в какую-нибудь страну, где также, но уже с применением силы, отнимают все деньги.

Существует много разновидностей «нигерийской» аферы, но идея везде одна: требуется оказать помощь по переводу значительной суммы денег под очень высокий процент[29] (рис. 15).

Рис. 15. Пример «нигерийского письма»

1.2.7. Опасные инвестиции

Сущность данных афер заключается в предложениях инвестировать денежные средства в какое-нибудь дело (выпуск дорогостоящего продукта, ценные бумаги и т. д.). Проценты (очень высокие), как правило, начисляются каждый день (об этом инвестор может узнать на веб-сайте инвестиционного фонда). Но как только инвестор захочет взять свои деньги, у него, как и во всех перечисленных выше случаях, возникают проблемы: веб-сайт инвестиционного фонда исчезает или становится недоступен, а адрес электронной почты (зарегистрированный на одном из бесплатных почтовых серверов) оказывается безответным (рис. 16).

Рис. 16. Пример лжеинвестиционной компании

1.2.8. Виртуальная медицина

«Хватит переплачивать за лекарства – посетите наш магазин», – примерно такие сообщения с указанием веб-сайта приходят на многие адреса электронной почты. Практически все лекарственные препараты (более 97 %), которые реализуются через интернет-сайты, рекламируемые в спаме, являются контрафактными. Фальсифицированные таблетки производятся без надлежащего контроля качества и с нарушениями технологического процесса (при этом внешний вид и упаковка практически неотличимы от настоящих). Очевидно, что ничего кроме вреда такие препараты принести не могут.

Другой исход при обращении в подобные виртуальные аптеки – потеря денежных средств, отправленных в виде предоплаты за лекарства и доставку.

По статистике, на подобные веб-сайты заходят от 500 тыс. до 2 млн посетителей в месяц. Помимо опасности отдать преступникам свои деньги и приобрести контрафактные и некачественные лекарственные препараты здесь существует еще одна опасность. Открывая такие спам-письма, можно загрузить на компьютер вредоносную программу (червя[30], трояна[31] и др.), и в дальнейшем придется заниматься не только своим лечением, но и лечением компьютера.

1.2.9. Виртуальное трудоустройство

Организации, осуществляющие фиктивное устройство на работу, привлекают пользователей возможностью получить «легкие деньги». Пользователи, рассчитывая на быстрый заработок, передают злоумышленникам персональные данные, в том числе карточные, якобы для перечисления заработной платы. Нередки случаи, когда для «устройства на работу» предлагается оплатить страховой взнос для предоставления заказов или фиксирования выплат либо оплатить доставку трудового договора.

Интерфейс ресурсов данной категории, как правило, идентичен интерфейсу реальных ресурсов, что позволяет ввести пользователя в заблуждение относительно получения дохода (рис. 17).

Рис. 17. Веб-сайт организации, осуществляющей фиктивное устройство на работу

Один из вариантов схемы – предложения работы в интернете (на дому), например «виртуальным бухгалтером». Будущему работнику предлагают заниматься определенными посредническими услугами не больше 2–3 часов в день и получать заработную плату около 400 долларов. Чаще всего работать предлагают с системой WebMoney Работодатель открывает для работника счет (кошелек) и получает для него аттестат. Владельцем счета является работодатель. Работа заключается в том, чтобы осуществлять денежные переводы (WMZ[32]). Все переводы (их бывает от 30 до 50 в день) нужно совершить в течение суток. В среднем на один перевод затрачивается 2–3 минуты. Предложение достаточно заманчивое (как, впрочем, и все те, которые были описаны выше), только работодатель просит перевести 7 долларов (7 WMZ) на получение аттестата (своего рода компенсация затрат работодателя на случай отказа работника продолжать сотрудничество).

Конечно, 7 долларов – не такая уж большая сумма, но на это и рассчитана данная афера. После того как жертва перечислит деньги на получение аттестата, связь с ней прекратится.

Кстати, если потенциальный работник представится опытным пользователем интернета, знакомым со всеми платежными системами, и сообщит, что имеет счет в платежной системе, в которой предстоит работать, а также персональный аттестат и хорошо знает, как работать с денежными переводами, то, скорее всего, мошенники сразу оставят жертву в покое. Такие «кадры» им не нужны.

Ниже приведены несколько признаков, по которым можно определить, что работу, скорее всего, предлагают мошенники:

– расплывчатые описания вакансий;

– неясные требования к работникам;

– бесплатное обучение;

– слишком высокая заработная плата;

– обширный социальный пакет;

– анонимный абонентский ящик или адрес электронной почты в качестве реквизитов;

– гарантия трудоустройства.

1.2.10. Горячие торговые точки

Интернет-магазины сегодня привлекают покупателей своими ценами (за счет экономии на аренде помещений), а также возможностью удобной доставки. Но и среди них бывают магазины с такими низкими ценами, что это выделяет их из общего ряда. Причем продавец обосновывает эти цены, иногда совсем не скрывая таких фактов, как «товар краденый», «товар конфискованный» и т. п.

Поэтому если жертва и решит купить такой товар, то вряд ли потом пойдет жаловаться, так как по сути является соучастником преступления (скупка краденого).

Схема мошенничества в данном случае прежняя: как только покупатель переводит деньги на счет продавца, связь с ним прекращается (веб-сайт магазина перестает работать, электронная почта не отвечает).

В общем случае все мошеннические интернет-магазины можно разделить на два вида:

– магазины, которые продают несуществующий товар;

– магазины, которые доставляют не тот товар, который представлен на веб-сайте.

Оформление и содержание ресурса заставляют пользователя думать, что данный веб-сайт принадлежит действующей организации (рис. 18).

Рис. 18. Веб-сайт фиктивного интернет-магазина

Для того чтобы обезопасить себя, потребителю необходимо проверить информацию об организации, указанной на веб-сайте, которая предоставляет товары или услуги. Данную информацию можно проверить на официальном веб-сайте ФНС России в разделе «Единый государственный реестр юридических лиц».

1.2.11. Сетевое попрошайничество

Если раньше большинство попрошаек можно было встретить на городских площадях и вокзалах, то теперь появился целый класс сетевых попрошаек, которые обращаются за помощью посредством интернета, выпрашивая деньги под разными предлогами: на срочную и дорогую операцию, чтобы избавиться от угроз вымогателей, погасить кредит и т. п.

Можно встретить сообщения о внезапно возникших проблемах в платежной системе WebMoney[33], для решения которых администратор просит перечислить какую-то сумму на свой кошелек. Причем если клиент, к которому обращается администратор, не перечислит деньги, в дальнейшем он не сможет воспользоваться своим кошельком (т. е. своими деньгами).

К сожалению, есть случаи, когда люди, особо не вдумываясь в суть происходящего, перечисляют свои деньги и потом узнают, что обращение поступило от мошенника, а не от администратора системы WebMoney.

Пользователям можно порекомендовать ни в коем случае не перечислять свои деньги до тех пор, пока не пришло подтверждение достоверности полученного сообщения.

Пример мошеннического сообщения приведен на рис. 19.

Рис. 19. Пример мошеннического сообщения

Одним из способов попрошайничества является отправка SMS якобы от родственников с просьбой перечислить денежные средства (рис. 20). В данном случае мошенники играют на чувствах потерпевших, вводят их в заблуждение. Часто в таких SMS сообщается о сложной жизненной ситуации, аварии или смерти кого-либо. Потерпевший должен быть бдительным, не поддаваться эмоциям и все проверить. При наличии возможности необходимо самостоятельно связаться с родственником, от которого якобы пришло сообщение. Следует также известить оператора связи о получении такого SMS.

Рис. 20. Пример мошеннического сообщения, поступившего якобы от родственника

Другим распространенным видом SMS-мошенничества является направление сообщения о том, что якобы на счет мобильного телефона жертвы ошибочно перечислена некая сумма, которую необходимо вернуть (рис. 21). Потенциальный потерпевший должен проверить баланс телефона, позвонить оператору связи и уточнить данные.

Рис. 21. Пример мошеннического сообщения о якобы ошибочном пополнении баланса телефона

1.2.12. Ботнеты[34]

Термин «бот» появился намного раньше, чем его стали использовать для обозначения компьютерного вируса и инструмента для атаки на компьютеры и сети. В IRC-сетях он до сих пор обозначает специальную программу, которая замещает собой живого человека и может поддерживать активность на IRC-канале даже в то время, когда к нему не подключен ни один из пользователей. Бот может контролировать и модерировать содержание бесед на канале, удалять посетителей, которые нарушают принятые правила поведения, и т. д. Это своего рода вариант искусственного разума.

Однако бот в арсенале хакера способен доставить серьезные проблемы. Хакеры могут находить через интернет незащищенные компьютеры и загружать на них специальные программы, которые будут по их команде выполнять различные действия (такие как рассылка спама или участие в DDoS-атаке[35]).

В качестве защиты от подобного заражения можно порекомендовать хороший мощный анализатор сетевого трафика, который позволит выполнять диагностику, идентификацию и перенаправление всего подозрительного интернет-трафика. Можно также использовать программное обеспечение для фильтрации пакетов, комбинируя его со специальными техническими и аппаратными средствами, которые устанавливаются между маршрутизаторами и межсетевыми экранами.

Достаточно эффективный способ решения этих проблем разработало правительство Австралии. Во взаимодействии с пятью крупнейшими интернет-провайдерами страны оно создало технологию и программу для своевременного обнаружения компьютеров-зомби и принятия оперативных мер по их блокировке. В большинстве случаев владельцы своих компьютеров даже не представляли, что участвовали в DDoS-атаке или что с их IP-адреса рассылался спам.

1.2.13. Сетевые банды

Одной из тенденций сегодняшнего дня является заметный рост числа новых компьютерных вирусов, червей и троянских программ. Троянские программы не могут рассылать себя по интернету самостоятельно, подобно компьютерным вирусам, так что масштабы их распространения должны быть меньше, чем у вирусов. Но на самом деле троянских программ и пораженных ими компьютеров с каждым годом становится все больше. Специалисты компании Sophos[36] сделали вывод, что такая ситуация стала следствием активности профессиональных преступников.

Криминальные группы, которые ранее занимались исключительно мошенничеством с банковскими картами, начали объединяться и все более тесно сотрудничать с создателями компьютерных вирусов, спамерами и группами безжалостных хакеров.

Приведенные примеры мошенничества в интернете ни в коем случае нельзя считать исчерпывающим перечнем ухищрений компьютерных злоумышленников.

К сожалению, во всемирной паутине, которая по своей сути является неуправляемой средой, постоянно возникают все новые и новые угрозы со стороны хакеров.

И от того, насколько своевременно будет построена защита от этих угроз, зависит доверие клиентов кредитных организаций к технологиям ДБО (включая СЭБ).

В условиях ДБО кредитные организации вынуждены существенно повышать уровень обеспечения информационной безопасности, так как основные атаки киберпреступников направлены именно на тех клиентов банков, которые осуществляют свои операции удаленно (т. е. вне офиса).

Очевидно, что абсолютной защиты от угроз для ДБО не существует. Компьютерные злоумышленники в состоянии взломать практически любую систему[37].

Однако непрерывная работа по поддержанию достаточного уровня информационной безопасности может сильно осложнить и (или) свести к минимуму возможности кибермошенников.

Масштабы кибермошенничества заставляют серьезно относиться к данному виду преступлений. Так, например, в июне 2012 г. новостные агентства распространили информацию о задержании преступной группы, включая ее организатора[38], который вместе со своими сообщниками похитил из систем ДБО более 150 млн руб.

По словам генерального директора компании Group-IB[39] Ильи Сачкова, принимавшего участие в расследовании деятельности данной преступной группы, это самая большая по численности участников киберпреступная группировка в России из тех, о которых известно специалистам по информационной безопасности[40]. В течение 2011 г. работала целая группа технических специалистов: заливщиков (распространителей вредоносного программного обеспечения), специалистов по шифрованию, администраторов, обслуживавших бот-сети, и других.

На протяжении последних нескольких лет, по данным Group-IB, мошенники использовали зарекомендовавшую себя в хакерских кругах троянскую программу Carberp[41].

Обобщая наиболее распространенные схемы совершения киберпреступлений в системах ДБО, можно выделить два способа.

Если сумма украденного составляет не более 1–1,5 млн руб., то деньги выводят сразу на пластиковые карты так называемых дропов (специально нанятых владельцев банковских карт, которые занимаются обналичиванием похищенных денег). Обычно в течение 15 минут после того, как деньги поступили на карточные счета, дропы обналичивают их через банкоматы и затем отдают своим нанимателям (рис. 22).

Рис. 22. «Простая» схема – примерно до 1,5 млн руб.

Если суммы крупнее, используются более сложные схемы обналичивания. Они применяются обычно при хищении средств в объеме от 1 до 5 млн руб.

В этом случае деньги предварительно переводят на счет юридического лица. Дальше сумму могут раздробить и распределить по другим счетам, чтобы сильнее запутать следы (рис. 23).

Группы мошенников, специализирующиеся на обналичивании, оставляют себе минимум 50 %.

Такой большой процент объясняется тем, что хищению предшествует длительный период подготовки. «Обнальщики» и похитители договариваются заранее.

К моменту хищения у «обнальщиков» уже все готово: создано подставное юридическое лицо, открыт счет в банке и выпущены карты, которые раздали дропам.

Современные условия позволяют любому юридическому лицу удаленно создать «зарплатный проект». Условно говоря, представитель компании сообщает в банк: у нас работает 15 человек, нам нужны зарплатные карты.

Рис. 23. «Сложная» схема – примерно до 5 млн руб.

Далее банку предоставляются паспортные данные «сотрудников», и тот выпускает карты. Паспортные данные берутся у тех же дропов или покупаются на хакерских форумах.

Кибермошенники чаще прибегают к помощи «обнальщиков», чем самостоятельно разворачивают дроп-проекты[42].

В последнее время участились кражи из электронных платежных систем. Схемы примерно те же, только деньги выводятся либо на другие кошельки, либо опять же на банковские карты.

Исходя из проведенного нами исследования, можно сформулировать следующие общие рекомендации для граждан:

– быть бдительными и проверять не только веб-сайты организаций, предоставляющих финансовые услуги, но и информацию, получаемую в SMS;

– не сообщать свои персональные данные, в том числе карточные данные, неизвестным третьим лицам;

– не переводить денежные средства в пользу третьих лиц без соответствующей проверки информации;

– если денежные средства все-таки похищены, незамедлительно сообщить в уполномоченные организации (в полицию, банк, оператору связи и т. д.).

Только бдительность и применение мер безопасности могут уберечь от хищений денежных средств.

1.3. Актуальные направления регулирования в условиях электронного банкинга

Никакой транспорт не будет попутным, если не знаешь, куда идти.