Атака хакеров: как пропадают миллиарды
Владимир РувинскийНАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ РУВИНСКИМ ВЛАДИМИРОМ ВЛАДИМИРОВИЧЕМ ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА РУВИНСКОГО ВЛАДИМИРА ВЛАДИМИРОВИЧА.
Россия стала раем для киберпреступников: со счетов граждан, компаний, банков и госучреждений утекают миллиарды рублей. Бороться с этим получается плохо — из-за неосведомленности людей, закрытости информации, а главное — бесконтрольной обналички украденных денег.
В мае 50-летней москвичке Ирине Власовой на смартфон Lenovo пришло несколько смсок с нечитаемыми символами. Она догадалась переставить сим-карту в обычный телефон Nokia: на него тут же пришли сообщения, что в предыдущие дни она шесть раз перевела по 15 тысяч рублей неизвестному абоненту. Деньги списывались с кредитной карты Сбербанка, которую ей неожиданно принес курьер больше года назад. «Я эту карту не заказывала, положила ее дома в ящик и сразу о ней забыла, даже конверт с ПИН-кодом не вскрывала», — вспоминает Ирина. И вот теперь банк уведомляет ее, что она потратила 90 тысяч рублей — весь кредитный лимит.
Власова тут же заблокировала карту, написала заявление в банк и полицию. Через неделю Сбербанк ответил, что оснований для возврата ей средств нет. Оказалось, что банк, выдав карту, привязал ее к текущему аккаунту Власовой в онлайн-банкинге и теперь настаивал, что деньги были корректно переведены с карты через мобильное приложение «Сбербанк Онлайн». Кроме того, будто бы с номера Ирины банк получал подтверждения платежей через одноразовые пароли, которые он ей высылал. «Но приложения “Сбербанк Онлайн” у меня на смартфоне никогда не было, я ничего не переводила, пароли не получала и не подтверждала», — недоумевает она. Все это явно свидетельствовало об интернет-мошенничестве. Но в банке считали иначе, и следователь ОВД Басманного района Москвы в возбуждении уголовного дела отказал: «за отсутствием события преступления». Он рекомендовал Власовой разбираться с банком в гражданском суде (все документы и постановление есть у «HBR — Россия»).
Похоже на работу хакеров, говорят в компании Group-IB, которая специализируется на расследовании и предотвращении киберпреступлений. «Судя по всему, смартфон, работающий на Android, был заражен банковским трояном, — предполагает Дмитрий Волков, глава отдела расследований компании. — С его помощью и украли деньги». Вариантов заражения несколько. Как правило, человек получает смску со ссылкой, предлагающей что-то скачать, например mms-сообщение, и при скачивании загружает вирус: он проверяет, привязан ли номер и сам телефон к банковскому счету, запрашивая его баланс через смс-банкинг. Запрос делается «вслепую», но часто — в адрес Сбербанка, ведь у него в России больше всего клиентов — 110 млн. Тактика кражи выбирается в зависимости от обнаруженной на счету суммы. Если денег у жертвы немного, то используют смс-банкинг: сервис позволяет через смски мгновенно переводить до 15 тысяч рублей в день. Троян от имени клиента вступает в смс-переписку с банком, переводит деньги, а сам клиент этого не видит. Если баланс большой, выбирается проникновение с зараженного смартфона уже в онлайн-банк. Для этого от имени Сбербанка абоненту на его уже зараженный смартфон направляется сообщение с просьбой ответить на вопросы о качестве сервиса, обещая за это, например, 500 рублей. Сообщение сопровождается ссылкой на фишинговый сайт, полностью копирующий дизайн Сбербанка. По ходу опроса абонента просят ввести логин от «Сбербанк Онлайн». Все. Зная логин и перехватив смс-переписку с банком, злоумышленники через систему восстановления паролей получают полный доступ к онлайн-банкингу. Деньги уходят к ним.
Мобильные кражи
Бум мобильных мошенничеств начался пару лет назад и, по данным Group-IB, их количество растет вместе с другими киберпреступлениями на 40—200% в год. «Мы обладаем подтвержденными фактами заражения 1 817 014 мобильных устройств за последний год. Но их безусловно больше», — говорит Дмитрий Волков. На интернет-форумах много жалоб на киберхищения: от клиентов «ВТБ 24», «Тинькофф», МТС-Банка, Альфа-банка, «Юниаструма». «Все банки этому подвержены», — замечает бывший руководитель в управлении «К» МВД, которое занимается электронными преступлениями.
Наиболее уязвимы смартфоны и планшеты Android: по данным «Лаборатории Касперского», ESET Russia, 98% вирусов нацелены именно на эту мобильную платформу. Проблемы ее известны: открытый программный код, много непроверенных или зараженных приложений, в том числе на Google Market. К тому же Android, по оценке Strategy Analytics, занимает 79% рынка гаджетов, и хакеры выбрали главной мишенью именно его. «Крадут и у пользователей iPhone: миф об их неуязвимости давно опровергнут», — говорит источник в управлении «К» МВД. По словам Дмитрия Волкова из Group-IB, iPhone спасает то, что финансовым хакерам компьютеры Mac пока малоинтересны, так как бухгалтерии предпочитают Windows.
Конечно, предотвратить кражи помогают антивирусы. Операторы связи, скажем «Билайн», и банки, не дожидаясь, когда клиенты купят антивирус, предлагают его бесплатно или недорого сами. В марте 2015 года Сбербанк встроил в свое приложение для онлайн-банкинга антивирус для смартфонов Andriod.
Многие уверены, что этого достаточно. Но антивирусные программы не полностью исключают заражения. «Банки, бывало, при покупке нашего продукта требовали гарантий полной защиты, но это невозможно, поскольку многое зависит от настроек и конкретных пользователей», — поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». Но главное другое: антивирусные программы — всегда догоняющие. «От создания нового, не выявляемого вируса до того, как изготовят от него “вакцину” и она попадет пользователям, проходит от одного до трех месяцев, — уточняет источник в управлении “К” МВД. — За это время крадутся деньги. В том числе через смартфоны с антивирусами».
Вирусы быстро множатся. Скажем, в России за второй квартал 2015 года количество новых вирусов для мобильных устройств почти утроилось: сейчас их по оценкам «Лаборатории Касперского» почти 300 тысяч. И их очень легко модифицировать. «Вы можете зайти на хакерский форум, скачать бесплатно готовый вирус, который обнаруживается, и за $20 вам там же за 10—15 минут его изменят так, что большинство антивирусов не опознает его», — говорит Дмитрий Волков. Чтобы организовать атаку, денег тоже почти не нужно: заразить тысячу аппаратов на Android стоит тоже $20. Достаточно заразить 5—10 тысяч смартфонов, из них обязательно найдутся те, через которые можно что-нибудь украсть. Конечно, много таким способом не получить: обычно через мобильные телефоны похищают от 15 до 50 тысяч рублей. Но для мошенников это самый простой и дешевый способ подкопить денег на более серьезные преступления.
Точных данных о кражах через смартфоны нет. «Службы безопасности банков часто слишком малы, чтобы расследовать каждый случай», — говорит бывший руководитель в управлении «К» МВД. Информацию об опасных инцидентах они, конечно, обязаны предоставлять Центробанку, но обобщенно. Поэтому статистика у ЦБ неполная: по его данным, киберпреступники в 2014 году пытались вывести с банковских счетов 6 млрд рублей, а количество подобных атак в российских банках выросло примерно на 30%, до 64 тысяч. «Данные Центробанка не отражают картины, — говорит источник из управления “К” МВД. — Киберхищений гораздо больше, чем говорят банки». По его словам, ближе к реальности данные Group-IB, согласно которым за 2013—2014 год злоумышленники только через интернет-банкинг украли у физлиц в странах СНГ более 1 млрд рублей, с учетом юрлиц — это 87,5 млрд рублей. Большая часть, очевидно, приходится на Россию.
Масштаб ущерба можно оценить по данным судебных дел. В апреле 2015 года управление «К» МВД сообщило, что задержан создатель вируса «5-й рейх», которым заражают смартфоны Android. Деньги уводят через мобильный банкинг, рассылая смски с просьбой обновить flash player, с которым и загружается «5-й рейх». То, что удалось задержать вирусописателя, — редкость. Обычно они не участвуют непосредственно в хищении, и связь между ним и мошенниками, а главное — что именно он написал вирус, доказать трудно. Автором «5-го рейха» оказался 25-летний житель Челябинска, имя которого не называется. В его поимке участвовала служба безопасности Сбербанка, что указывает на размах хищений у его клиентов. Расследование показало, что «5-м рейхом» заражено минимум 340 тысяч смартфонов клиентов российских банков, а ущерб, по данным МВД, составил 50 млн рублей. МВД сообщило также о «десятках аналогичных правонарушений» в других регионах.
В России с банковских счетов пропадали деньги у, вероятно, сотен тысяч человек. А вот вернуть их у нас крайне трудно — в отличие, скажем, от стран ЕС и США: там банки обязаны вернуть деньги на карточку, если владелец заявит, что их сняли без его ведома. В России по умолчанию ответственность возложена на клиента: раз деньги украли, значит, он допустил небрежность. Клиент Сбербанка, пояснила его пресс-служба, берет на себя все риски, если не выполняет требований безопасности банка: например, пользуясь смартфоном Android, не подключает антивирусную защиту или загружает программы из недостоверных источников. На вопрос, что будет, если клиент выполнил все условия, а деньги через смартфон все же украли, пресс-служба не ответила. Альфа-банк, как правило, не возвращает деньги, если их украли в результате атаки на компьютер или смартфон клиента: их защиту банк контролировать не может, поясняет Алексей Голенищев, директор по мониторингу электронного бизнеса банка. Здесь многое зависит от того, хорошо ли защищает платежи сам банк: в 2014 году у клиентов-физлиц Альфа-банка, по словам Голенищева, через онлайн-банкинг украли «всего тысяч десять рублей». Другие банки не раскрывают таких данных, но чем меньше банк, тем, как правило, хуже защита.
Конечно, денежные средства клиентов российские банки страхуют. Сумма возмещения на случай фишинга, как правило, небольшая — 30—50 тысяч, говорит Сергей Ефремов, заместитель гендиректора «СГ МСК»: «Чтобы клиент банка ее получил, должно быть возбуждено уголовное дело и установлен факт хищения». Реальность, однако, такова, что этого не всегда удается добиться, даже если есть все улики. В 2012 году жена москвича Артема Аюшеева обнаружила, что с ее кредитной карты Промсвязьбанка списаны все деньги — 80 тысяч рублей. Банк возложил всю ответственность на клиента, и Аюшеев с женой подали на банк в суд. Они собрали доказательства, с какого IP-адреса входили в онлайн-банк, куда шли переводы. Оказалось, что счетом воспользовался некто Антонов из Петергофа, чтобы оплачивать кредиты в Альфа-банке. Аюшеев получил его паспортные данные, адрес прописки: «В общем, готовый подсудимый». Но банк в суде заявил, что Аюшеев с женой сами передали все данные Антонову. Дело три раза закрывали. Нервы у Аюшеева сдали: он, помощник депутата Госдумы единоросса Михаила Слипенчука, пообещал, что «направит депутатский запрос на имя министра МВД и генпрокурора». Полиция обратилась в ГУВД Петербурга; потом, вспоминает Артем, ему сказали: «Мы написали, но они ничего не сделали, нам очень жаль». Суд тем временем тихо рассмотрел дело в пользу банка. Аюшеев еще раз пригрозил написать письма, банк вернул деньги и доплатил 20 тысяч за неудобства. «Скорее всего, потому, что истица, моя жена, работала в структурах Промсвязьбанка», — предполагает он. Само дело закрыли: «Я передавал все собранные доказательства в прокуратуру и следствие. Я говорю, расследуйте, вот зацепки. Но нет. На Антонова никто так и не вышел».
Скорее всего, предполагает Аюшеев, полицейские просто не знали, как к этому делу подступиться. По словам источника из «К» МВД, не хватает прежде всего оперативников, которые могли бы собрать нужную информацию. «Киберпреступлений много, поэтому опера выбирают те случаи, где легко проследить связь множества эпизодов и выйти на след преступника. А уже следователь прежде, чем возбудить дело, отбирает то, что реально быстро довести до суда». Почти нет и следователей, способных понять техничность дел, объединить эпизоды и объяснить суть прокурору и судье, отмечает Илья Сачков, гендиректор Group-IB. Пока же эпидемия краж со смартфонов набирает силу. Больше, чем у граждан, хакеры крадут у компаний и госорганов, но самый большой куш сулят банки.