— Какие виды интернет-преступлений наиболее распространены сейчас? Существует ли статистика онлайн-преступлений
— Русскоговорящие хакеры, живущие на территории бывшего СССР, в первую очередь ориентированы на совершение финансовых преступлений. Поэтому самые популярные виды киберпреступлений связаны с хищением денег или данных банковских карт. Для заражения устройств жертв вредоносными программами преступники используют различные поддельные сайты, например, интернет-магазинов, либо мобильные приложения, нацеленные на хищение денежных средств. Их цель состоит в том, чтобы вы заразили свой компьютер или телефон вирусом - банковским трояном, и затем через интернет-банк или мобильный банк у вас могли бы украсть деньги.
Второй момент – это преступления, направленные на получение данных авторизации. Это различные фишинговые рассылки, когда вас просят, как правило, перейдя по ссылке авторизоваться в каком-то сервисе. Это делается для того, чтобы похитить ваш логин и пароль: от социальных сетей, от мессенджеров, от почты. Атаки осуществляются по самым разнообразным поводам, и они нужны для того, чтобы в дальнейшем осуществлять другие преступления - например, для шантажа и вымогательства. Во-вторых, можно разослать вашим контактам и друзьям различные предложения или просьбы, в-третьих, зная пароль к почте, например, установить пароли к другим сервисам и оттуда атаковать.
В-третьих, это все, что связано с социальной инженерией – как правило, такие методы комбинируют первые два способа с той же целью: похитить деньги или логин и пароль, но такая схема предполагает более активное взаимодействие с пользователем. Это уже не просто попытка заставить пользователя кликнуть на ссылку и ввести по ней логин и пароль, а, например, мошенничество через доски объявлений. Скажем, вам предлагают сначала перевести аванс, говорят, что прямо сейчас заберут товар и даже смотреть не будут, а потом говорят, что для осуществления перевода из-за неких технических трудностей необходимо сказать собеседнику код, который придет на телефон. И в результате человек лишается денег.
То же самое связано и со звонками — телефонным мошенничеством. Если раньше людям поступали звонки вроде: «Мама, я в милиции» или «Помогите, я на вокзале», то теперь мошенники стали более изощренными. Например, из последних примеров: «Здравствуйте, сейчас мы научим вас играть на бирже. Поставьте, пожалуйста, программу для удаленного управления на вашем компьютере, мы покажем, как вы будете выигрывать и, если захотите, сыграете на реальные деньги». То есть схема не настолько прозрачна и требует больше времени, но результат такой же – все это продолжает работать.
Плюс, опять же возвращаясь к пункту два по поводу похищения каких-то реквизитов для доступа, из-за этого достаточно часто происходит большое количество утечек и из банков, и от операторов, и людям после этого начинают адресно звонить: «Здравствуйте, я такой-то из такого-то банка, вот ваша выписка, вы недавно покупали в «Перекрестке» продукты, мы это знаем, а значит, мы из банка, и теперь говорите нам то-то, то-то и то-то».
То есть, подводя итог, людям угрожает вредоносное ПО, фишинг и социальная инженерия, которая может комбинировать самые разные типы мошенничества — например, схема «Кроличья нора». Как и Алису, бегущую за белым кроликом в сказке Льюиса Кэрролла, злоумышленники ведут своих жертв с ресурса на ресурс, похищая персональную информацию, данные банковских карт или деньги.
Если мы возьмем все эти виды, то речь идет о тысячах преступлений в сутки, просто огромное количество злодеяний, совершенных различными способами.
— Кто находится в основной группе риска?
— К сожалению, обманывают всех, но под большим риском находятся как раз обычные пользователи, то есть физические лица. Плюс корпоративные пользователи на работе могут быть больше защищены, особенно если это средний и крупный бизнес, который хоть как-то тратит деньги на безопасность.
— Как пользователю глобальной Сети не стать жертвой мошенников?
— Наиболее эффективным способом защиты от преступников является повышение цифровой грамотности. Нужно понимать, что если речь идет о каком-то высокотехнологичном взломе, то его без профессионалов остановить никак. К сожалению, большинство злодеев пользуется топорными, проверенными способами. Я хочу отметить, что сами техники мошенничества не меняются уже несколько веков. То есть даже хорошо известные, еще бумажные «нигерийские письма» все так же шли из Африки в Великобританию. Или финансовые пирамиды – раньше это были структуры вроде МММ, а теперь они такие же, только крипто-биткоин-пирамиды. Но сама схема точно такая же.
Нужно понимать, что IT – это, по сути, просто инструмент, а сами схемы преступлений остались теми же самыми. Но, к сожалению, люди теряются и не воспринимают виртуальную среду как реальный мир. Если бы к вам на улице подошел какой-то незнакомый человек и попросил данные вашей карты, или какую-то другую информацию, вы бы, скорее всего, отправили его куда подальше, а когда люди общаются в чатах или общаются на досках объявлений, они так не делают.
Я люблю приводить пример, чтобы люди, у которых начинают что-то назойливо выспрашивать, представили в роли собеседника — цыганку, предлагающую погадать, в электричке. И сразу отношение станет более настороженным. У людей кардинально меняется восприятие происходящего: то это была какая-то дружелюбная фотография на аватарке, то они уже на Курском вокзале и их стремительно атакует незнакомый человек. Идея именно в том, что повышение цифровой гигиены и компьютерной грамотности очень сильно может подпортить жизнь злодеям.
Основной критерий – это быть бдительным. Сами схемы меняются постоянно, и информационные поводы, которыми пользуются мошенники, чуть ли не опережают повестку СМИ. Когда был чемпионат мира по футболу, злодеи заранее, еще до того, как это начало тиражироваться в СМИ, начали заготавливать сайты, фальшивые продажи билетов и так далее, и в нужный момент они просто быстро выстреливают. Заучивать какие-то тактики и техники, которыми нужно пользоваться, в таких условиях просто бессмысленно. Скорее нужно понять сами принципы: нужно быть очень бдительным. Даже если вам пишет ваш знакомый, лучше несколько раз перезвонить ему и уточнить, он ли это, особенно если он просит что-то странное или внезапное. То есть к любым собеседникам, даже знакомым, нужно относиться с некой большей степенью недоверия, как будто вы перекрикиваетесь и можете не узнать его голос.
А дальше, если руководствоваться этими принципами, становится понятным, что не нужно открывать какие-то странные вложения или переходить по странным ссылкам. Особенное внимание нужно обращать на ключевые слова – они будут либо написаны, либо мошенники будут проговаривать их по телефону. Это любая торопливость, то есть злодеи искусственно вводят человека в состояние некоего ража, утверждая, что нужно срочно что-то делать, чтобы они перестали думать. У человека есть различные когнитивные особенности, и одна из них условно называется «дерись или беги» - человек концентрируется на какой-то экстренной ситуации. Это позволяло нашим предкам, когда нужно было убегать от хищника, но точно также это отключает очень много разных рефлексов, и люди начинают совершать вроде бы странные, нетипичные для него вещи.
Основной момент здесь – мошенники будут вас торопить: «У вас прямо сейчас крадут деньги, давайте срочно переведем их на страховой счет, вот вам номер, переводите, пока все не украли, мы можем заблокировать только на 20 минут» и так далее. Или начальник пишет секретарю: «Срочно пришли пароль от моей почты, я на совещании». И она даже не задумается о том, что он же пишет с этой почты, зачем ему пароль? Ведь босс сказал, значит – надо делать. Всегда ко всем вещам нужно относиться размеренно, как китайские мудрецы, и не впадать в панику.
Если мы говорим о каких-то технических вещах, а это тоже обязательно нужно озвучивать, то они достаточно простые. Первое – нужно иметь поддерживаемую, актуальную операционную систему, которая обновляется. На данный момент, как вы знаете, Windows 7 больше не обновляется, поэтому все будут вынуждены перейти на Windows 10. Миллионы программистов по всему миру получают зарплату за то, что закрывают дырки, которые обнаружены в их приложениях. Поэтому нужно обновлять операционную систему, офисный пакет и все основные программы, которыми вы пользуетесь.
Простые пользователи, когда в правом нижнем углу экрана появляется извещение о доступных обновлениях, склонны поставить их в лучшем случае через месяц, а в результате все их файлы зашифрованы вирусом, и они в ужасе. А на самом деле достаточно было установить обновления, перезагрузиться и спокойно продолжить пользоваться компьютером. То же самое касается смартфонов. Если про вирусы для компьютеров уже 30 лет говорят отовсюду, то касательно вирусов для телефонов люди до сих пор еще относительно спокойны – они не очень верят, что там их тоже могут заразить.
А вирусов под Android, между тем, написано огромное количество, на протяжении последних четырех лет встречаются целые эпидемии таких заражений, и деньги в результате тоже крадутся очень большие. Поэтому здесь тоже есть несколько простых моментов: ставить только официальные, верифицированные приложения, а также регулярно обновлять свой смартфон. Людям придется становиться жертвами маркетологов в том плане, что производителям не очень-то выгодно долго обновлять смартфон, и через какое-то время он перестанет получать обновления. Тут все очень просто: устаревший смартфон придется продать на той самой доске объявлений, и купить себе новый. Другого варианта защититься просто нет. Пользователи просто вынуждены покупать новые смартфоны, не потому что старые почему-то плохие, камера в них хуже и так далее, а просто чтобы получать актуальные обновления. На базе iOS устройства обновляются чуть подольше, но и стоят они несколько дороже.
Устройства на базе Android обновляются поменьше – хорошо, если какой-то смартфон будет обновляться 2 года. Сейчас можно считать безопасной операционную систему Android 9 и выше, у него отдельно приходят так называемые «патчи безопасности», а у iOS сейчас последняя версия 13.4.1, но там обновляются практически все смартфоны, от iPhone 6S и старше.
— В разных странах существуют законы, направленные на борьбу с киберпреступностью. Как организована борьба с онлайн-преступлениями в России?
— Борьба с киберпреступностью пока организована достаточно посредственно, и в первую очередь это связано с тем, что суверенитет стран пока что стоит выше, чем значение такой борьбы с преступным миром. Есть определенные конвенции в ООН, направленные на борьбу с киберпреступностью, но страны до сих пор не могут договориться: США предлагают свою конвенцию, Россия вместе со странами БРИКС – свою, и достичь согласия не удается.
Основная причина заключается в том, что для полноценного расследования многих преступлений требуется очень серьезное межгосударственное взаимодействие, а еще в данном случае недопустима бюрократия. То есть, если запрос будет идти полгода, то данные на серверах могут переписаться, журналы пропадут – и все, никого не вычислить уже чисто технически. А когда запрос идет из одной страны в другую, из другой в третью, оттуда в четвертую, а там их целая цепочка, и где-то на пути процесс начинает буксовать, то расследовать все очень сложно.
Если мы говорим именно о ситуации внутри страны, то в России полиция начинает активно открывать чуть ли не в каждом подразделении какой-нибудь отдел по высоким технологиям. Надо понимать, что именно компьютерные преступления – это далеко не самоцель. У нас сейчас есть три статьи в 27 главе УК – 27.2, 27.3 и 27.4, и если перевести с юридического на доступный язык, то первая – это несанкционированный доступ, вторая – вредоносный код, а третья просто не работает. Сами эти статьи уже давно не являются преступлением сами по себе в том плане, что они вообще редко являются целью: как правило, они являются средством, а дальше уже идет какая-нибудь ст. 159 «Мошенничество с банковскими картами» и так далее. Это первое.
А второе – нужно понимать, что мы как Лаборатория компьютерной криминалистики Group-IB, проводим экспертизы и исследования по самым разным объектам, и сейчас практически любое преступление так или иначе связано с IT и требует определенного подхода, то есть проведения экспертиз и исследований. Банально: люди готовят финансовое мошенничество и обсуждают схемы в своих мессенджерах; человек планирует убийство, заказчик переписывается в секретном чате мессенджера с исполнителем, и они обговаривают, как он будет все оплачивать в биткоинах, а также какие-то данные цели; вся наркоторговля ушла в даркнет. Даже воры-домушники сейчас анализируют Instagram известных людей, чтобы узнать, когда они улетят на Мальдивы и их квартира останется пустой.
Получается, что теперь это дело не только «Управления К» МВД, а практически везде нужно бороться с киберпреступностью. Сейчас, как я понял, полиция хочет немного добавить себе специалистов для этих нужд, и это правильно, потому что в любом преступлении есть хотя бы немного IT-составляющей. В настоящее время расследованием подобных преступлений занимается Бюро специальных технических мероприятий МВД России («Управление К»), есть еще Центр информационной безопасности ФСБ, ну и плюс есть ряд других подразделений, разнообразные отделы – например, «Экономические преступления в сфере высоких технологий». То есть везде что-то есть. Борьба однозначно идет, но есть нехватка кадров, нехватка грамотных технических специалистов, есть огромные очереди, и все это вместе создает проблему. Плюс есть еще ряд регуляторов, например, Центробанк отвечает за финансовые преступления, есть Роскомнадзор, есть частные центры, как наш CERT-GIB, которые аккредитованы Координационным центром Интернета, и могут блокировать ресурсы, которые распространяют вирусы или занимаются мошенничеством. Таким образом, есть много разных органов, вопрос скорее в количестве, качестве и уровне компетенции.
— Какие меры и действия должно предпринять государство, чтобы борьба с киберпреступностью стала более эффективной?
— С моей точки зрения, наше законодательство пока существенно отстает, просто потому что статьи в нашем УК очень сложно сформулированы, что затрудняет работу следствия и суда. Нужно понимать, что там есть, например, «Несанкционированный доступ» - это юридическое понятие, а технарь не может его определить, и есть термин «Вредоносный код», а его определения нигде нет. И все эти вещи очень усложняют процессуальную работу. Плюс у нас, в отличие от Штатов, нет киберследователей. «Управление К» МВД – это оперативное подразделение, то есть там работают оперативники, а следователь – это человек, который возбуждает дело, ведет его материалы и дает поручения оперативникам, чтобы они что-то делали и собирали информацию. Сам следователь – юрист по образованию, и ему безумно тяжело вести одинаково хорошо дела о невероятном финансовом мошенничестве с векселями и офшорами, кражу покрышек и киберпреступление с троянами. А все это должен делать один человек. Опера могут быть людьми с высшим техническим образованием, но следователю-юристу это тяжело. А когда дело уходит в суд, то там приходится устраивать чуть ли не театрализованные представления, чтобы объяснить суть дела гособвинителю и судье.
В некоторых странах есть отдельные киберсуды и киберследствие, возможно, это тоже требуется, чтобы люди лучше понимали, что происходит. Но пока что у нас подобные дела рассматривают суда общей практики.
— Существует ли потребность совершенствования законодательной базы? Какие законодательные инициативы могли бы сократить число совершаемых в России киберпреступлений?
— Из-за упомянутой выше неактуальности действующего законодательства возникает еще одна проблема – есть ряд преступлений, которые вполне можно выделить в отдельные виды, например, «Рассылка спама», «DDoS-атаки» и так далее. А у нас это сейчас не сделано, и привлекать злоумышленников к ответственности по совокупности двух имеющихся статей очень сложно процессуально. Основная проблема – очень сложно и запутанно сформулированы сами статьи, крайне сложно вести дела, и плюс эти статьи устарели, потому что появилось много видов киберпреступлений, которые и другие страны уже считают отдельными правонарушениями. Но мы пока до этого еще не дошли. Это требует определенной реорганизации и работы.
Наших правоохранителей и экспертно-криминалистических центров не очень много, и к ним выстраиваются огромные очереди, иногда на полгода, даже на год вперед.
Чтобы решить эти проблемы, необходимо, как минимум, расширить перечень киберпреступлений, сделать сами формулировки более прозрачными, возможно, ввести отдельно суды и следствие, специализирующиеся на киберпреступлениях, и совершенствовать государственно-частное партнерство о проведении экспертиз, исследований или работ. Потому что киберпреступность только растет, и полиция просто не поспевает за ней – очереди и сложности с этим наглядно это показывают. Очень часто следствие может провести экспертизу только у себя в управлении, потому что на привлечение сторонних экспертов им не выделяют средств. Нужно все это совершенствовать и идти в ногу со временем. Нужно понимать, что все это в целом – вечная борьба меча и щита, но чем более проактивно и новаторски мы будем действовать, в том числе и в законодательном плане, тем легче, понятнее и прозрачнее будет процесс этой борьбы.
В частности, когда какие-то дела уже дошли до суда, а таких дел у нас много, из-за всех сложностей в производстве и формулировках УК, в судах все это выглядит не очень здорово. Защитники вполне обоснованно докапываются до миллионов вещей просто потому, что в законодательстве все указано не очень ясно.
— Как ситуация с распространением коронавирусной инфекции влияет на количество онлайн-преступлений в России и в мире?
— Мошенники активно используют любой громкий информационный повод, и коронавирус с этой точки зрения им отлично подходит. Во-первых, мы встретили огромное количество вредоносных рассылок, связанных с темой COVID-19. Внутри таких рассылок примерно 65% программ-шпионов, на бэкдоры приходится 31%, и около 5% составляют шифровальщики. Это проблема, потому что люди очень активно реагируют на подобные темы, открывают письма и ссылки, не задумываясь, – всем хочется поскорее получить какие-то данные. Рассылки могут быть абсолютно разными: предлагают волшебные лекарства или вакцины, информационную помощь якобы от имени ООН, коммерческие предложения о производстве защитных масок.
Вторая проблема заключается в том, что люди перешли на удаленную работу, и в результате открылось значительно большее число сервисов для дистанционной работы, а множество из них, возвращаясь к самому первому пункту, до сих пор не обновлена. Админы пооткрывали все это в спешке и были не готовы к такому массовому переходу на удаленку, а в результате, конечно, количество взломов только увеличилось. Плюс буквально на днях была рассылка СМС с содержанием вроде: «Вы нарушили самоизоляцию, переведите штраф в 4000 рублей на указанный номер». А прямо сегодня я смотрел сайт, который предлагает за 3000 рублей оформить пропуск на свободное перемещение по Москве. То есть мошенники будут активно использовать эту тему. Сейчас еще запускаются электронные пропуска, и все это будет эксплуатироваться преступниками.
Плюс сейчас есть огромное количество сервисов по онлайн-доставке, где люди указывают свои платежные данные, а это все тоже является потенциальной угрозой. Чтобы обезопасить себя, я бы рекомендовал просто заказывать любые товары через верифицированные приложения. В остальном можно только посоветовать проверять написание сайта, и желательно не переходить в него из поисковика – если вы в условном «Яндексе» вбиваете какой-то поиск, самые верхние строчки результатов поиска будут представлять собой ссылки из «Яндекс.Директ», то есть это рекламные выходы, и часто их выкупают мошенники. В результате получается, что мошеннический сайт в выдаче будет даже чуть выше, чем настоящий. Поэтому стоит либо руками вбивать адрес и проверять его соответствие, либо поставить приложение на смартфон и заказывать через него.