Киберугроза сегодня вышла на первое место среди всех прочих видов преступности, опередив по нанесению ущерба и наркотрафик, и нелегальную торговлю, и прочее жульничество. Тем более, что сама среда кибермошенников постоянно меняется, совершенствуется, умело подстраиваясь под изменения современных технологий. Что из себя сегодня представляет система действий и сама структура киберпреступности, рассказал доктор юридических наук, заслуженный юрист России, профессор Юрий Жданов.
– Юрий Николаевич, а не преувеличиваем ли мы эту самую киберугрозу? Эти кибермошенники – не какие-то же там чикатилы, никого не убивают. Ну, не ведись на их уговоры, не переводи им свои деньги… Как говорится, бдительность – наше оружие.
– Бдительность, это, конечно, оружие. Наша полиция и прочие службы безопасности издали буквально тома рекомендаций, как не повестись на уловки мошенников. А толку? Герман Греф недавно с сожалением констатировал: «Чем больше погружаешься в проблему кибербезопасности, тем хуже спишь».
– Откуда такой пессимизм? Судя по ежегодным сводкам МВД России, преступность у нас постоянно снижается. По сути, если судить по соотношению с количеством населения и отловленными злодеями, самой преступности, «как класса», уже не должно быть в России физически – все уже сидят. Возможно, конечно, что я очень плохо считаю, с математикой в школе не дружил.
– А тут дело не в арифметике. Плодятся, гады! По данным Банка России за 2022 год, общая сумма денежных средств, похищенных мошенниками у клиентов банков, составила свыше 14 млрд руб., что на 4 % превышает аналогичный показатель предыдущего года. В то время как в 2023 году кибермошенничество в России увеличилось по сравнению с 2022 годом уже на 30 %.
При этом, по мнению ряда независимых экспертов, общий объем кибермошенничества против граждан России может достигать 150 млрд рублей в год.
– То есть, киберугроза – реальна. Нас грабят. Как?
– Легко и непринужденно. Все происходит по нетленным заветам Остапа Ибрагимовича Бендера, который сформулировал постулаты ненасильственного отъема денег у населения. Заметьте, в принципе до сих пор ничего не изменилось. Ну, разве, некоторые тактические и, таки да, технологические ходы. Вот этим вечным глубоким наполнением и отличается настоящая классика – хоть в искусстве, хоть в войне, хоть в карточном шулерстве.
– Тактические и технологические ходы?
– Поправлюсь — скорее, стратегические. По статистике, среди всех известных схем мошенничества на сегодняшний день более 90 % совершаются с использованием методов социальной инженерии, из которых 92 % — это телефонное мошенничество.
Впрочем, методы мошенничества тоже претерпевают изменения. Так, например, ранее популярный среди мошенников скимминг (это, когда копировали карту и подсматривали код) сегодня более не актуален, что связано с внедрением банками средств защиты, усилением ответственности за изготовление, покупку, хранение и реализацию поддельных платежных карт, переходом банков на карты с чипом.
– А что сейчас?
– Сегодня (но тоже – временно) можно выделить три этапа эволюции социальной инженерии. Первый — до 2017 года, когда основным способом коммуникаций с клиентами являлись массово рассылаемые SMS-сообщения. Например, с текстом: «Ваша карта заблокирована, перезвоните в банк» и номером телефона «банка». При звонке на этот номер клиент, после психологической обработки от «службы безопасности», в большинстве случаев оставался без денег. Второй — с 2017 года до 2020, когда SMS-сообщения постепенно стали уступать место телефонным звонкам от «службы безопасности банка» или «полиции». Третий этап — с начала 2020 года и до настоящего времени, — это массовые телефонные звонки через IP-телефонию из мошеннических call-центров.
За последние несколько лет количество обращений клиентов крупнейшего в России банка с сообщениями о мошеннических звонках значительно выросло. В 2020 году оно составило более 1,3 млн обращений, в 2023 году их поступило уже 2,4 млн. Вот реальная картина: только в этом банке мошеннические попытки затронули более 65 % клиентов, а количество всех попыток мошеннических звонков превышает 8 млн в сутки в масштабах всей страны.
– Телефонное мошенничество — не единственная киберугроза?
– Да, не единственная. Есть еще и хищения через удаленное управление персонального компьютера, вирусные заражения мобильных телефонов и пр. Это объясняется, с одной стороны, простотой организации схемы обмана и ощущением доверия в защищенность банковских продуктов и операционных систем от классических способов кибермошенничества (заражение вредоносным программным обеспечением (ВПО), компрометации данных банковских карт, эксплуатации уязвимостей ПО и прочее).
– Простите, вы с кем сейчас говорили?
– Вот и я о том же. Поэтому обычному человеку надо хотя бы вчерне представлять основные алгоритмы действий кибермошенника, если этот человек с таким мошенником столкнется. В своей сути, они должны быть абсолютно понятны любому. Схема действий кибермошенников — это разведка, подготовка, контакт с жертвой, манипуляция и вывод денежных средств.
– Какие-то шпионские страсти…
– Так оно и есть. На этапе разведки мошенники осуществляют поиск данных о потенциальных жертвах. Они получают значительную часть информации о своих жертвах из похищенных или незаконно полученных баз данных на теневых интернет-площадках (даркнете).
В современном мире пользователи сети Интернет оставляют большое количество личных данных на различных сайтах и эта информация может попасть к мошенникам, например, вследствие целенаправленного взлома, передачи или продажи данных владельцами сайта третьим лицам. Так, по данным Роскомнадзора, в 2021 году зафиксировано лишь четыре крупных инцидента с персональными данными, когда в открытый доступ попало 2,7 млн записей. В 2022-м — более 140 случаев, когда утекло около 600 млн записей о гражданах, и только за семь месяцев 2023 года зафиксировано свыше 150 подобных случаев. В результате в теневом сегменте сети Интернет появляются персональные данные клиентов торговых площадок, служб доставки, страховых компаний, операторов мобильной связи, врачебных клиник, торговых сетей, автомастерских, интернет-порталов, форумов и пр. В даркнете действует более 30 разнопрофильных хакерских площадок с аудиторией более 2,3 млн зарегистрированных аккаунтов. Услуги по продаже данных предоставляют 12 из них. Стоимость похищенных баз данных составляет от 100 до 500 долларов США за 1000 строк.
Также с целью сбора информации мошенниками могут быть использованы фишинговые сайты, поддельные приложения, файлообменники, социальные сети и прочие сервисы Интернета. Многие пользователи сами указывают в своем профиле номер телефона, полное имя, оставляют метки о геолокации на фотографиях, персональные данные членов семьи. Нередко контактные данные публичного человека легко найти сразу в нескольких источниках, например, на корпоративных сайтах и в профилях соцсетей. Существуют легальные сервисы, проверяющие более сотни ресурсов на совпадение имен учетных записей, что позволяет мошенникам собрать больше данных о своих жертвах На сайтах бесплатных объявлений можно найти имя и номер телефона пользователя (мошенники просматривают объявления вручную или с помощью специальных скриптов, автоматизирующих данную работу, т. н. «ботов»). Иногда по объявлению о продаже можно определить место проживания и примерный уровень дохода пользователя. Одним из инструментов поиска данных являются специализированные Telegram-боты. Такие боты агрегируют информацию из различных баз данных и предоставляют возможность за отдельную плату получить, например, по номеру телефона исчерпывающую информацию о его владельце.
– Что такое – этап подготовки к мошенничеству? Разве разведка – не подготовка?
– На этом этапе жулики подготавливают техническую инфраструктуру: настраивают работу CRM-систем с помощью которых будут управлять звонками жертвам, вести бухгалтерию и учет; C&C-серверов — для управления вредоносным программным обеспечением на зараженных устройствах жертв; ищут подставных лиц, на чьи карты будут переводиться похищенные средства; приобретают сотовые телефоны, SIM-карты на подставных лиц; подделывают документы, настраивают прокси-серверы для скрытия цифровых следов, SIP-телефонию и прочее.
Также на этом этапе мошенники разрабатывают или уточняют сценарии разговора с потенциальной жертвой с учетом различных возможных вариантов развития событий. Например, при анализе жестких дисков ПК из мошеннического call-центра в городе Бердянске найдено более 150 сценариев разговора мошенников с жертвами.
Этап контакта с жертвой является ключевым, от него во многом зависит успех всей схемы. Контакт с выбранным объектом атаки происходит через различные каналы взаимодействия с жертвой: телефонный звонок, письмо по электронной почте, сообщение в мессенджере, социальной сети и пр. Цель мошенников на данном этапе — спровоцировать человека на нужную реакцию и последующие действия.
На этапе манипуляции жертва уже перешла по ссылке из фишингового письма или открыла зараженный файл, ввела номер своей карты в подставную форму или назвала свои личные данные в телефонном разговоре. Здесь реализуются механизмы, разработанные мошенниками на стадии подготовки.
Мошенническая манипуляция бывает двух видов. Во-первых, жертва сама отдает деньги мошенникам с помощью банковского перевода или наличными — так называемый «самоперевод». И, во-вторых, мошенники получают от жертвы персональные и банковские данные, при помощи которых совершают финансовые операции от ее имени, например, через компрометацию личного кабинета интернет-банка — так называемая «кража личности».
– Вроде бы, все логично. Но эти деньги надо как-то вывести? Как?
– У мошенников часто это получается. Получив доступ к возможности совершения финансовых операций от имени жертвы (в случаях «кражи личности») или убедив ее самостоятельно (в случаях «самопереводов») перевести деньги на счет подставного лица, злоумышленникам остается вывести их максимально оперативно, оставляя как можно меньше следов.
Вот их основные способы. Переводы на мошеннические реквизиты (через интернет-банк или внешние интернет-сервисы карточных Р2Р-переводов, электронные кошельки, счета телефонных номеров и пр.); покупки высоколиквидных товаров в магазинах интернет- и традиционного ритейла; получение наличных денежных средств в АТМ от имени жертвы.
После того, как денежные средства выведены на счет подставного лица, они обналичиваются.
– По сути, вы озвучили инструкцию…
– К сожалению, это не секрет и преступники прекрасно владеют такой технологией. Хотелось бы, чтобы об этой технологии знали и наши правоохранители.
– Кто чаще всего становится жертвами кибермошенников?
– И МВД России, и банковские эксперты составляли собирательные, так сказать, портреты жертв мошенников и самих преступников.
Получилась картина маслом, как говорит герой известного сериала. Средний возраст пострадавших составляет 35 лет: 55 % из них — женщины, 45 % — мужчины; 58 % состоят в браке; у 51 % женщин и 42 % мужчин имеется высшее образование. При этом наиболее распространенными среди таких людей являются следующие профессии: водители и механики, педагоги, медицинские работники, менеджеры среднего звена. 92 % являются гражданами России, чаще всего проживающими в Москве и области. Обычно жертвы имеют 2 активные банковские карты и 3 кредита, а их траты составляют около 73 тыс. руб. в месяц. 68 % используют Android в качестве операционной системы на смартфоне, 32 % используют iOS.
Наибольшее количество попыток совершения мошеннических операций за 2023 год у жителей Москвы и Подмосковья — 17,6 %, Красноярского края — 5,5 %, в Санкт-Петербурга и Ленинградской области — 5,3 %.
В большинстве случаев жертвами становились женщины, состоящие в браке и проживающие в Москве и области, имеющие среднее профессиональное образование: педагоги, медицинские работники. Среди мужчин жертвами чаще всего становятся рабочие, водители, механики, руководители среднего звена и экономисты.
– Но банки пытаются как-то предупредить своих клиентов о возможных аферах?
– Бьют во все колокола и барабаны! Но, порой, это никто не слышит. Должен гром грянуть, чтобы цыган перекрестился…
– И все же – как стремятся уберечь от аферы клиентов?
– Потенциальных жертв классифицируют — пусть не обижаются, там есть все мы. В полицейской статистике в отдельную категорию выделяются люди, особо подверженные психологическому воздействию. Это — те, которые, находясь под влиянием мошенников, самостоятельно пытаются перевести деньги на счета злоумышленников, несмотря на то, что банк вовремя распознает мошенничество и связывается с ними для дополнительного подтверждения операции. Клиенты, вопреки предупреждениям, настаивают на подтверждении операции и обращаются за помощью уже после того, как денежные средства переведены на счета преступников. В такую категорию клиентов попадают женщины (63 %) старше 40 лет (68 %), состоящие в браке (54 %), имеющие среднее образование (61 %) — медики, педагоги, пенсионеры.
– В общем-то, жертвой мошенников может стать любой из нас. Сам однажды попался… А как выглядит мошенник? Есть ли его психологический портрет?
– Как не быть. Но сначала, опять же, немного статистики, чтобы вы представляли себе масштаб бедствия. Так вот, только за 2023 год правоохранительными органами в 31 регионе России идентифицировано и ликвидировано 70 преступных групп и 1 преступное сообщество, задержано 317 фигурантов по различным мошенническим схемам. Практически всем им предъявлены обвинения по соответствующим частям статей 158 «Кража», 159 «Мошенничество», в том числе с квалифицирующим признаком «в составе организованной преступной группы».
И вот, что касается обобщенного портрета кибермошенника. Не скрою, для многих обывателей портрет весьма симпатичен.
– Неужели обволакивающий, бархатный мужской голос или эротичные нотки в женском, так сказать, щебете? Прям, секс по телефону.
– Почти так все и происходит. Все кибермошенники – стихийные или профессиональные психологи, умеющие, скажем так, «убалтывать» любых людей на все, что угодно.
Так, среди кибермошенников 23% — женщины, 77% — мужчины; средний возраст женщин составляет 34 года, а мужчин — 31 год; 17% женщин и 14% мужчин официально не трудоустроены. Их наиболее распространенные профессии: экспедитор, стилист (не смейтесь), кассир-оператор АЗС, менеджер, продавец, подсобный рабочий. Среди кибермошенников отсутствуют пенсионеры, но присутствуют несовершеннолетние. Большинство этих жуликов имеет среднее или высшее образование. Кстати, обратите внимание – треть всех мошенников – женщины, обладающие психологической устойчивостью, что позволяет им особенно успешно работать в так называемых мошеннических call-центрах.
– Осмелюсь предположить, что все эти профессии – маскировка?
– Как правило. Особенно, если учесть, что кибермошенники имеют от 1 до 5 банковских карт. Примечательно, что, в отличие от жертв, у них отсутствуют кредиты — они не нуждаются в заемных средствах, обеспечивая себя доходом от криминального бизнеса. Самые крупные бытовые денежные траты в месяц приходятся на возрастную категорию 35-44 года — в среднем 119 тыс. рублей. При этом 59 % используют Android в качестве операционной системы на смартфоне, 41 % используют iOS.
Что любопытно, с точки зрения социального статуса, 9 % от общего числа задержанных кибермошенников — это лица, ранее привлекаемые к уголовной ответственности и имеющие криминальный опыт, именно они, как правило, занимают координирующие либо организаторские роли в том или ином преступном сообществе. Специфика такой деятельности приводит к тому, что их внешний вид зачастую оказывается неопрятен, как и место их проживания. Кибермошенники, как правило, не состоят в браке.
– Какие-то ущербные люди… Они – россияне или так, понаехавшие?
– По всякому. По статистке МВД России, 92 % задержанных киберпреступников — это граждане России (40 % из них находились в Москве), оставшиеся 8 % — представители других государств: Казахстана, Белоруссии, Украины и Узбекистана. Любопытно, что 22 % мошенников посетили за год от 5 до 14 регионов России.
– Вы говорили о неких подставных лицах, через которых выводятся украденные у граждан деньги. Кто это?
– Эти люди именуются дропами. В новой структуре киберпреступности есть такая фракция. Само название появилось относительно недавно. Но существовали они всегда, изначально. Пусть и в зачаточном состоянии, – деньги-то надо выводить по любому. Дропы – инструмент для вывода похищенных средств. Конечно же, они встроены в преступную иерархию. Но, заметьте, это совершенно параллельная структура к «настоящим» мошенникам. Так, обслуживающий персонал.
– В чем их конкретная задача?
– А вот тут – интересно. Существует иерархическая структура, которая разделяет дропы по типу использования. Это — «обнальщики», которые выводят денежные средства через банкомат; «транзитники» — удлиняют или разрывают цепочки транзакций; «заливщики» — вносят наличными похищенные деньги на карту.
Есть и дропы-универсалы. Они обналичивают похищенные денежные средства в банкоматах, покупают криптовалюту, вносят средства на поддельные платежные карты, перевозят крупные суммы наличных и передают их дроповоду (руководителю дропов). Как правило, дроповод курирует регион страны, где осуществляется взнос средств на карту или покупка криптовалюты.
– В общем, без ручного управления – никак. Но ведь работа – опасная. Как предупреждал бравый солдат Швейк, могут убить и даже (!) ранить. Кто соглашается? И за какую мзду?
– Вы удивитесь, но – соглашаются. По результатам исследования крупнейшего российского банка дропами чаще становятся молодые мужчины, в основном проживающие в Узбекистане и Таджикистане. Еще — жители Украины, региональных центров Поволжья, Урала и Сибири.
– Так ли уж просто стать членом преступного киберсообщества?
– Не просто – надо хотя бы элементарно уметь правильно нажимать кнопки на клавиатуре. Ну, этому, если потребуется, научат. Как справедливо заметил Чехов, «ежели зайца бить, так он и спички научиться зажигать».
– Это вы к чему?
– К тому, что сейчас в этот преступный бизнес набирают буквально по объявлению. Нужны рекруты, «пушечное мясо». Не утрирую: теневые площадки сети Интернет пестрят баннерами, предлагающими возможность выбрать вид «трудоустройства» за пару кликов. Желающий разбогатеть таким нелегальным способом может оформить несколько карт в разных банках и продать их дроповоду. Либо ничего не оформлять, а получить по почте пакет документов с картами, после чего обналичивать похищенные средства под руководством опытного дроповода.
Заметьте, есть даже перспектива карьерного роста! С небольшими вложениями и наработанной репутацией на теневых площадках дроп или дроповод имеет шанс выйти на уровень владельца сервиса по обналичиванию (обнал-сервиса). На теневых форумах дропам оказывается консультативная поддержка, распространяются скрипты общения с правоохранительными органами и т. д.
– Кстати, насчет общения с правоохранительными органами. Не думаю, что это общение для мошенников бывает приятным…
– Согласен, всякое бывает. Но зачастую сообщники задержанных дроповодов нанимают своим «коллегам» дорогостоящих адвокатов. И еще тут есть некий нюанс: большинство таких call-центров расположены на Украине, где они действуют не первый год.
Если на заре распространения телефонного мошенничества звонки чаще поступали от лиц, отбывающих наказание в местах лишения свободы, то в период с 2019 по 2020 гг. ситуация начала кардинально меняться. По данным расследований, основной ареал расположения мошеннических call-центров находился на территории Украины, в 2021 году «столицей» телефонного мошенничества назван город Днепр.
На Украине создана максимально комфортная среда для работы преступников: нестабильная экономическая обстановка в стране, отсутствие работы и регулярного заработка у населения, значительная криминализация общества, тотальная коррупция, активная пропаганда против политики России и поддержка деятельности, направленной на дестабилизацию российского общества. В 2022 году общее количество мошеннических call-центров, контролируемых украинскими ОПГ, превышало 3 000 офисов. Каждый из них производит 600 тысяч звонков в сутки – в Россию. Речь идет о целой криминальной индустрии, в которую вовлечены десятки тысяч людей. Так, например, специально нанятые преступниками риелторы подыскивают площади под call-центры (арендная плата за мошеннический офис в среднем на 30–40 % выше, чем за помещение для любого другого вида деятельности), а организовать такой криминальный бизнес сегодня можно по модели франчайзинга, приобретая всю готовую инфраструктуру, развернутую в облаке, через ежемесячную подписку.
– Денежная работенка?
– А то! Особенно для нищей Украины. Зарплата одного мошенника в неделю – от 70 до 3000 долларов. Зарплата «смотрящего» — 6000 долларов. А доход call-центра в месяц – 1 млн долларов. Есть, за что корячиться. Наверное, проще нанести удар «Калибром» по каждому такому офису – адреса известны. Но наше Минобороны – не полиция. Хотя, приоритеты могут и измениться.