Кибермошенники начали активно инвестировать украденные у россиян средства. До 30–40% похищенных с карт граждан денег хакеры направляют на исследования, их цель — дальнейшее совершенствование преступных схем. Об этом «Известиям» рассказал Илья Медведовский, гендиректор компании Digital Security, специализирующейся на вопросах кибербезопасности. По словам эксперта, хакеры начали тратить значительные суммы на исследования, так как сменили приоритет — их больше не интересуют счета граждан, цель мошенников — корсчета банков. Причем исследования преступники заказывают по легальным каналам.
По данным ЦБ, в 2015 году объем потерь от кибермошенничества составил 1,14 млрд рублей. Фактически треть этой суммы была инвестирована. По оценкам Ильи Медведовского, хакеры могут направлять на исследования до 300–400 млн рублей. Ранее, по словам эксперта, хакеры тратили не более 10–20 млн рублей на эти цели.
— Кибермошенники изучают новые технологии, которые позволят им упростить схемы атак. Под прицелом банки и платежные системы с их нововведениями по картам, интернет- и мобильному банку. Хакеры заказывают исследования под видом легальных стартапов, финтехов, — поясняет гендиректор Digital Security.
По словам Ильи Медведовского, скоро хакеры будут вкладывать до половины своей «прибыли» в дальнейшее развитие.
— Это гигантские суммы на исследования в сфере кибербезопасности, — отмечает собеседник. — Легальные компании на рынке тратят на исследования в разы меньше. Инвестиции в дальнейшем помогают хакерам проводить такие сложные с технической точки зрения схемы, как атака на банк «Кузнецкий», ущерб от которой составил 500 млн рублей. Это актуально и в связи с тем, что кибермошенники стали переключаться на корсчета банков.
О том, что в приоритете кибермошенников теперь корсчета банков, в интервью «Известиям» ранее заявлял замначальника главного управления безопасности и защиты информации Центробанка Артем Сычев. По оценкам ЦБ, в 2016 году потери от кибермошенничества, в первую очередь от взломов корсчетов банков, составят около 4 млрд рублей.
По словам замглавы лаборатории компьютерной криминалистики Group-IB Сергея Никитина, хакеры инвестируют похищенные суммы в написание вредоносного кода высокого качества; регулярное шифрование исполняемых файлов, дабы скрыть их от антивирусного ПО; покупку и поиск эксплоитов — программ для эксплуатации уязвимостей в самых различных платформах; оплату трафика — заражение новых компьютеров с целью расширения собственных ботнетов (сетей зараженных компьютеров); каналы по легализации денежных средств.
— Бороться с этим можно, только привлекая преступников к уголовной ответственности с конфискацией похищенных денежных средств, — отмечает представитель Group-IB. — При этом необходимо задержать всю преступную группу, что, как показала практика, является весьма непростой задачей. В противном случае оставшиеся на свободе злоумышленники быстро выводят и присваивают и разработки, и деньги задержанных хакеров.
По словам Артема Сычева, координатору атаки достается примерно 40% от похищенной суммы, так называемому заливщику, который отправляет трояны и иное вредоносное программное обеспечение для взлома счета клиента, информационной системы банка, — 10%. Еще 8% получают люди, которые готовят пути вывода украденных денег (получают карты в отделениях банка или самостоятельно изготавливают карты-клоны для последующего снятия наличных в банкоматах). Еще 30–40% достается непосредственно тем, кто снимает наличные через банкоматы и передает их заказчику. Вредоносное программное обеспечение (ПО) тоже стоит немалых денег, до $50 тыс. за программу.
Представитель ЦБ рассказал, как технически организована схема атаки на корсчета банков. Мошенники запускают вредоносное ПО для взлома информационной системы кредитной организации. После этого идет захват информационной инфраструктуры банка — фактически злоумышленники начинают управлять сетью, им становится доступна информация обо всех операциях банка, частоте и объеме транcакций, остатке по корсчету. Хакеры «сидят» в сети банка неделю, максимум две. Затем готовится бригада для вывода (обналичивания) похищенных средств, формируются фальшивые документы о списании средств с корсчета, заверяемые легальными подписями ответственных лиц банка. Платежные поручения направляются в платежную систему, для которой это легальный платежный документ, поэтому она обязана его исполнить в соответствии с договором и законодательством.
— Чтобы быть на шаг впереди преступников, банкам надо сконцентрироваться на ряде аспектов, интересующих хакеров: произвести тщательный анализ собственных платежных процессов и IT-технологий с точки зрения реальных рисков взлома, не расставлять средства защиты по периметру, а интегрировать защитные технологии в автоматизированную банковскую систему, заняться обучением своих пользователей правилам интернет-банка, переходить от хаотичного к процессному обеспечению информационной безопасности, — уверен руководитель отдела консалтинга центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин.