Этих хакеров сейчас судят в США, а ФБР называет их верхушкой айсберга тайного российско-украинского электронного сообщества
Похоже, Бонни, Клайд и все их последователи остались в добром романтическом прошлом. Сегодня, чтобы ограбить даже самый крупный банк, нет необходимости натягивать на лицо черный чулок и размахивать пистолетом, подвергая свою жизнь опасности. Нынче банки грабят тихо и интеллигентно, не выходя из дома или офиса. Сообщения о раскрытии той или иной преступной группировки, которая действовала через Интернет, появляются чуть ли не ежедневно. И большинство таких преступлений остаются не наказуемыми. Уже сейчас хакеры ежегодно похищают около 500 миллионов долларов у владельцев пластиковых карт, всего же. По оценкам экспертов, ущерб от кибер-преступности в мире составляет как минимум 42,9 миллиарда долларов в год. И это только начало. Вместе с расширением Интернет-сети будет увеличиваться и ущерб от незаконной деятельности в ней.
А что же мы? Как представлена Украина в мировой кибер-преступности? Известны две объективные предпосылки: Интернет, в силу грубо материальных причин, не получил у нас пока широкого распространения -- в Украине, по прикидкам, около 500 тысяч его пользователей (сколько их реально -- неизвестно, в отличие от других стран, где провайдеры не скрывают свои доходы и, соответственно, число пользователей), в то время как в почти такой же по территории и количеству населения не самой продвинутой Франции -- 10,6 миллиона. Но наши украинские вузы традиционно, со времен Советского Союза, специализируются на подготовке специалистов в сфере высоких технологий (схожая ситуация и в Москве, Белоруссии, Казахстане). А раз специалисты есть, а применения их знаниям нет, у людей «чешутся руки». Соблазн проверить свои силы часто становится первым толчком к противоправной деятельности в сети, а дальше -- пошло-поехало… Но в силу бедности и отсталости Украины от мировых финансовых тенденций у нас, например, не получили должного распространения кредитные карточки, что, безусловно, ограждает пока наших сограждан от проблем, с которыми давно знаком Запад. Но не мешает вывести их в лидеры электронной преступности. Обыватель Европы и всех Америк имел шанс убедиться в преимуществах постсоветской, в частности, украинской подготовки специалистов-компьютерщиков. И не похоже, чтобы это вызвало у них восторг.
Сняв за три месяца более 18 миллионов долларов со счетов владельцев пластиковых карт, юный представитель «generation пи» купил шестисотый «Мерседес»
… Столь масштабное преступление, совершенное в виртуальном мире, в России расследуется впервые. Группе под руководством 22-летнего москвича «Левитана» всего за три месяца удалось снять со счетов владельцев пластиковых карт в Америке не менее 18 миллионов долларов. Идея преступников была до гениальности незамысловата. Доверенные хакеры, имеющиеся в избытке и в российском компьютерном андеграунде, взламывали базы данных иностранных банков. Их добычей были реестры выпущенных этими банками пластиковых карт. С номерами, данными о владельце и проч. Затем от имени владельцев карт и за их счет с нескольких домашних компьютеров на сайте Интернет-магазина «Политшоп», специально учрежденного для этих целей, заказывались информационные товары, а деньги со счетов владельцев карточек перечислялись на счет «Политшопа» в российском банке. Оттуда их снимали наличными. Яркий представитель «generation пи», «Левитан» на первую же вырученную им крупную сумму купил «Мерседес-600», позже изъятый милицией.
Действовала группа предельно прозрачно, но мошенники рассчитывали вовремя скрыться -- пока протесты обворованных владельцев не докатятся до России. Хотя на деле пострадавшими оказались российские банки. Получив протесты владельцев карточек, американские банки тут же выставляли претензии платежным системам «Visa», «Master Card» и т. д. Те, в свою очередь, возмещали пострадавшим похищенное у них и тут же принудительно снимали такие же суммы у российских банков, со счетов которых деньги уходили на счет «Политшопа». Каким образом сотрудникам спецуправления «Р» МВД РФ удалось выйти на след группы, не разглашается. Но вышло хорошо.
Не хуже, хотя -- формально -- и незаконно, сработало и ФБР, заманившее на свою территорию челябинцев Лешу Иванова и Васю Горшкова, которые предстали перед американским судом в качестве обвиняемых в незаконном проникновении в корпоративные компьютерные сети банков, Интернет-провайдеров и других компаний. Обнаружив дыры в WINDOWS/NT, хакеры проникали в системы предприятий электронной коммерции и других фирм, после чего предлагали администраторам этих фирм свои услуги по компьютерной безопасности. Многие руководители фирм этими услугами пользовались. Улики, полученные ФБР, также свидетельствуют о том, что 20-летний Леша и 25-летний Вася причастны к краже номеров кредитных карточек из банка «Western Union». Чтобы арестовать юных челябинцев, ФБР создало подставную фирму «Inventa» и предложило им взломать корпоративную систему безопасности. Взломали. После этого им предложили трудоустройство в качестве консультантов по компьютерной безопасности. Они приняли предложение и… сели на «крючок». При «собеседовании» ФБР сумело завладеть кодами доступа к персональным компьютерам хакеров и, проникнув в их ПК, обнаружить тысячи номеров кредитных карточек, украденных Васей и Лешей.
ФБР еще нынешней весной выпустило официальный пресс-релиз, в котором было заявлено о существовании организованных хакерских группировок из России и Украины, а после ареста челябинцев представители Бюро назвали их членами российско-украинского тайного преступного сообщества. Мол, Горшков и Иванов -- лишь верхушка айсберга.
-- Знаете, если бы это была верхушка российско-украинской мафии, ребята, задержанные в Штатах, не мыкались бы в поисках работы, -- считает начальник отдела Департамента контрразведывательной защиты экономики государства СБУ Виталий Клевицкий. -- Думаю, они -- одиночки. ФБР делает такие громкие заявления, но ни одного запроса к нам от них не поступило. Во всех известных пока случаях, когда украинские граждане были, например, замечены за рубежом в мошенничестве с пластиковыми картами, речь не шла о группировках. Хотя в одиночку провернуть такое сложно. О недавнем случае, когда в Москве был арестован за такое же преступление наш гражданин, в российской прессе тоже писали, что он терроризировал московский банк на протяжении многих лет. А у него был всего один соучастник в Москве. Роли между ними распределялись так: наш соотечественник, пользуясь тем, что у него открыта виза в Германию, часто ездил туда, воровал там карточки и пересылал самолетом в Москву, где его сообщник делал с них дубликаты и быстро отправлял оригиналы обратно, где они незаметно возвращались владельцам. У украинца было изъято порядка 80 карточек, а сколько успели снять денег, не знаю. Банки предпочитают не разглашать такую информацию.
-- А арестованные недавно в Сингапуре украинцы тоже не входили в кибер-группировку?
-- По нашей оперативной информации, их взяли за скупку ювелирных изделий, а потом уже у них обнаружили кредитки. Банк «Финансы и кредит» обращался к нам по поводу этих людей, но не за помощью, а с информацией. Сумма, которую они успели снять, небольшая. Сейчас этой ситуаций занимается ГУБОП МВД Украины.
Но нужно все же понимать, что принадлежность банка к международным финансовым системам и те взносы, которые банки, входящие в систему, передают в международные фонды, страхуют их деятельность, и далеко не всегда банк несет убытки. Международная платежная система, как правило, их компенсирует. Мы столкнулись с подобной ситуацией в прошлом году, когда недобросовестные граждане Украины, получив в банке карточки, клали на них незначительные суммы и уезжали за рубеж. Пользуясь тем, что при снятии со счета менее 100 долларов его состояние не проверяется, они проводили по 30--60 таких операций. И банк не мог им ничего предъявить, поскольку договором эта операция предусмотрена -- такая вот правовая коллизия.
В прошлом году компьютерные преступления впервые удостоились внимания Конгресса ООН по преступности. Больше всего ООН беспокоит то обстоятельство, что кибер-преступники ускользают, скрывая следы своей деятельности в тех странах, где законодательная база по этим преступлениям недостаточна. Отрадно, что нашу страну можно будет вычеркнуть из списка таких стран -- с 1 сентября вступает в действие новый Уголовный кодекс Украины, в котором электронной преступности посвящен целый раздел.
Но наличие одной только правовой базы явно недостаточно для полной и окончательной победы над кибер-преступностью. Хотя таковая в принципе невозможна, считают и министр иностранных дел Германии Йошка Фишер, и вышедший недавно из тюрьмы хакер N 1 в мире Кевин Михник. А ему-то верить можно. О неуязвимости электронных преступников свидетельствует не только список жертв хакеров, среди которых и «Газпром», и «Western Union», и НАТО, и ЦРУ, и министр юстиции Тайваня. Демонстрируя силу, хакеры взломали сайт Евросоюза, посвященный электронной безопасности, на мониторах которого появилась надпись «Это наш мир, и здесь порядки будем устанавливать мы». Системщикам организации не оставалось ничего, кроме как сделать вид, что не очень-то и хотелось эту систему закрывать.
Для контроля над преступностью в сети готовится к принятию Европейская конвенция, проект которой уже разработан. Пока же межгосударственных соглашений в этой области почти нет, что и позволило, кстати, США в деле Горшкова и Иванова несанкционированно проникнуть в компьютеры, находившиеся на территории России.
-- Таким образом, все спецслужбы мира получили индульгенцию на такие же действия, -- считает Виталий Клевицкий, -- а Россия имеет право на ответный ход. К чему это может привести, страшно подумать.
-- Интересно, а отмечались ли какие-то противоправные действия по отношению к Украине со стороны Штатов?
-- Есть зафиксированный ряд направлений из США на электронные адреса наших банковских и государственных учреждений компьютерных вирусов. И если бы у нас со Штатами было соглашение, можно было бы проследить источник этих вирусов. Сегодня мы знаем хакеров, которые, используя так называемый ………, «ходят» из одного дома в соседний через США. Мы же только фиксируем направление -- «Соединенные Штаты».
Итак, кибер-преступность (впрочем, и любая другая) непобедима, а более или менее реальной задачей может быть только ее ограничение, для чего и создаются правовая база и соответствующие структуры. В США, например, где от деятельности международных хакерских банд уже пострадали около 40 компаний (в 20 штатах) и у пострадавших украдено около миллиона номеров кредиток, создан Национальный центр защиты инфраструктуры (одно из подразделений ФБР). Спецслужбы и МВД России и Украины тоже обзавелись соответствующими подразделениями. Их функции традиционно различны: спецслужбы противостоят преступлениям, угрожающим безопасности государства, раскрытию гостайн и т. д. , милицейские же структуры защищают интересы частных граждан и предприятий.
С несанкционированным проникновением в секретные компьютеры страны у нас все о'кей -- В. Клевицкий говорит, что они к Интернет просто не подключены (надежней защиты не придумаешь!), а посему снять с них информацию можно, лишь завладев дискетой и скопировав ее. Такие случаи были. И тут уже без «человеческого фактора» не обходилось. Впрочем, г-н Клевицкий считает, что подавляющее число преступлений, с которыми его подразделению приходилось иметь дело, совершались с использованием служебного положения. Кстати, и в нашумевшей истории, когда, сняв в Винницком отделении Нацбанка около 80 миллионов гривен, преступники пытались перевести их за рубеж, не обошлось без этого. Сын одного из высокопоставленных банковских служащих на отдыхе в компании, как впоследствии оказалось, очень заинтересованных лиц сообщил им о том, что имеет доступ и знает пароль. Это незамедлительно было использовано. И если бы не четкая работа правоохранительных органов и системы безопасности Нацбанка, плакали бы эти денежки. Кстати, эффективность системы безопасности главного банка страны недавно подтвердилась еще раз. Уволившийся сотрудник Ровенского отделения НБУ, воспользовавшись тем, что с его увольнением не был немедленно изменен пароль, пытался перевести со счетов банка по системе «банк -- клиент» крупную сумму. Хорошо, что вовремя выяснилось, что фирмы, якобы выставившей счет, не существует. А вообще, считает Виталий Клевицкий, 85 процентов преступлений в банковской сфере совершается ее сотрудниками.
Это все относится к фиктивным платежам, а для того чтобы обезопасить себя и клиентов, Нацбанк предлагает свою систему электронных платежей. Наши карточки принципиально отличаются от карточек международных платежных систем тем, что они основаны на микрочипе со встроенными элементами защиты. Существуют и другие способы противостояния мошенничествам с кредитными карточками. «Visa Internazional», владеющая самой крупной в мире системой обслуживания потребительских платежей и 11 млн. пунктов приема кредитных карточек, разворачивает новую систему на основе нейронной сети, уже показавшую себя мощным оружием в борьбе с мошенничеством. Идея, положенная в основу нейронных сетей, проста, как все гениальное. Существуют стереотипы поведения, распространяющиеся и на покупательские привычки. Люди обычно тратят деньги в известных пределах и покупают бесполезные вещи с прогнозируемой частотой. Обнаружив необычное поведение, система сразу предупреждает об этом банк, выдавший кредитку, хотя сама операция при этом не блокируется. Мало ли, а вдруг у вас юбилей и вы хотите встретить его в ванне шампанского «Дом Периньон».
Другое дело -- если по кредитке оплачивается бензин на заправке, а затем очень быстро -- множество дорогих электронных бытовых приборов. Это уже сигнал. Нейронная система, в отличие от других программ идентификации исключительных ситуаций, способна к самотестированию и самообучению. Получив сигнал, банк связывается с клиентом и уточняет, все ли в порядке. Конечно, и эта сложная, основанная на новейших технологиях, система тоже чревата неприятностями.
Несмотря на предпринимаемые усилия и миллионы, вкладываемые в создание более эффективных систем безопасности, мир бессилен против преступников в Интернете. В июне 100 ведущих экспертов в области Интернета собрались в Берлине, чтобы выработать способ борьбы с информационным шпионажем и кражами данных, мошенничеством с пластиковыми картами и детским порно, экстремизмом и терроризмом в Интернете. Главная проблема при предотвращении и расследовании подобных преступлений заключается в общедоступности и глобальном распространении мировой сети. Министр юстиции Германии Херта Доблер-Гмелин предложила правительствам самых богатых стран мира развивать технологии, позволяющие правоохранителям действовать в режиме реального времени. В то же время эксперты опасаются усиления контроля государства за Интернетом, что может нарушить права граждан на конфиденциальность, а самого интернетчика превратить в человека, за которым наблюдает глобальный «Большой брат». Вряд ли в этом не первый год ведущемся споре победят либералы -- угроза кибер-преступности на самом деле достаточно серьезна. Хотя всемирное ужесточение контроля над мировой паутиной тоже ничего не дает. По крайней мере, на встрече в Берлине еще раз прозвучало, что мир со всеми его кибер-спецназами бессилен против таких преступлений.
Важно, чтобы каждый владелец кредитки понял, что все полиции мира не помогут ему так, как он может помочь себе сам, осознавая опасность и не теряя бдительности ни при встрече со старым другом, ни расслабившись под плеск морской волны где-нибудь на Коста-Браво. Конечно, красотка, с которой вы только что познакомились, хороша и вы ей, несомненно, понравились, но это не повод делиться с ней номером или любой другой информацией о счете и самой карточке. Мошенники в последнее время так поднаторели, что им достаточно нескольких минут, чтобы воспользоваться этими сведениями. Если вы так расчувствовались, отдайте лучше сразу ключи от своего дома, сейфа и автомобиля.
Международные мошенники-кредитоманы, кстати, платят неплохие деньги опытным карманникам. Обнаружив пропажу своей кредитки, немедленно сообщите в банк и заблокируйте счет. Виталий Клевицкий советует не доверять официантам и кассирам и в любом состоянии стараться, чтобы все операции с вашей карточкой проводились у вас на глазах. Вам же предлагается внимательно следить за руками кассира и осмотреть его рабочее место. Хотя это не единственный способ снять пинкод -- слоняясь рядом с банкоматом, тоже можно подглядеть, какие цифры вы набираете.
На Западе достаточно популярен и такой вариант -- по телефону вас поздравляют с тем, что, совершив крупную покупку, вы стали претендентом на крупный выигрыш. «Назовите номер своей карточки», -- предлагают счастливцу, и он будет глупцом, если так сделает. Есть достаточное число желающих подслушивать телефонные разговоры в надежде услышать номера кредиток. Разговаривая по телефону, будьте осторожны и никогда не упоминайте всуе эти номера -- за исключением тех случаев, когда инициатором разговора были вы. Кредитная карточка подписывается, и лучше, если вы будете это делать чернилами и сразу же после получения.
Номер кредитки -- это далеко не все, что нужно знать человеку, желающему порезвиться за ваш счет. Сведения, от которых он бы никогда не отказался -- это сроки ее действия, которые тоже следует хранить, как главную буржуинскую тайну. Признайтесь, что вот так напрягаясь и не зная покоя ни днем ни ночью, вы уже не раз подумывали о тех благословенных временах, когда основным платежным средством служила шкура убитого мамонта или глиняный черепок…
P. S. Кстати, Комитет Верховной Рады по вопросам науки и образования рекомендовал рассмотреть и одобрить в первом чтении законопроект об электронных документах и электронном документообороте. То-то будет раздолье для кибер-преступников, если будет принят закон, в котором система безопасности подобного делопроизводства не будет продумана до мелочей.