Количество киберпреступлений в мире растет с каждым годом. При этом в последние годы "тренды" в разработке новых вредоносных программ задают хакерские группы, деятельность которых направлена на саботаж или шпионаж, а не на воровство денег у банков. О том, почему "безопасники" нередко отстают от киберпреступников, почему русское слово в коде вируса не является доказательством причастности России к атаке, и как защитить себя в интернете, в интервью РИА Новости рассказал Илья Сачков - основатель компании Group-IB, эксперт в области расследования киберпреступлений.

2018 год подошел к концу. Можете подвести итоги: выросло ли число киберпреступлений и случаев мошенничеств? С чем это может быть связано?

Традиционно мы анализируем период в 12 месяцев, чтобы представить данные по ущербу от высокотехнологичных преступлений в рамках ежегодной конференции CyberCrimeCon в октябре. За период 2017–2018 годов точные цифры убытков на территории России от финансовых преступлений, связанных с атаками на интернет-банкинг, платежные системы и целевыми атаками на банки, составили 2,9 миллиарда рублей. В среднем в России каждый месяц киберограблениям подвергались 1-2 банка. Средний ущерб от одного успешного ограбления составляет 132 миллиона рублей.

Видов компьютерных преступлений очень много: взлом систем, кардинг, DDoS-атаки, вымогательства, мошенничество... Мы занимаемся самыми серьезными из них, которые приводят к наибольшим потерям. Часто они связаны с атаками на критическую инфраструктуру или же это финансово-мотивированное преступление, например, взлом и кража денег из банка. Также нас привлекают масштабные кейсы, такие, как эпидемии вирусов-шифровальщиков.

Атак становится больше, потому что вся классическая, некомпьютерная преступность, так или иначе, уходит в интернет, диджитализируется. И этому способствует множество факторов, в том числе экономических. Среди них – появление большого количества криптовалют, которые позволяют значительно упростить и замаскировать крупные переводы денежных средств из страны в страну. Хотя на законодательном уровне пока нет ясности, что это за инструмент, и как с ним работать. Этим пользуются злоумышленники.

К примеру, если в России взять сайт bestchange.ru (бесплатный интернет-сервис, помогающий находить обменные пункты с наиболее выгодными обменными курсами – ред.), то многие удивятся, узнав, что там можно за несколько секунд перевести криптовалюту на любую свою карточку и обратно, или перевести несколько миллионов долларов в другую страну, не будучи замеченным.

Теперь классическая преступность начинает инвестировать в разные технологии, связанные с криптовалютами.

Но главным, что происходило в 2018 году, по-прежнему остаются целевые атаки на банки. Именно на этот вид киберпреступлений приходится наибольший ущерб. Что это такое? Расскажу предысторию. У преступников есть три мотивации. Первая – финансовая. Она самая распространенная и является одной из ключевых. Практически все преступления происходят ради наживы. Вторая мотивация – это информация, шпионаж. Но в пропорции общего количества преступлений это минимум. Третья мотивация – это терроризм. Когда действия злоумышленников могут привести к остановке работы объектов критической инфраструктуры.

2018 год показал, что увеличилось количество крупных преступных групп, действующих на территории России, которые атакуют банки. Это Cobalt, MoneyTaker, Silence с участием русскоговорящих хакеров, северокорейская Lazarus, а также BlackEnergy.

Их задача – украсть деньги не у клиента банка, а проникнуть в банк, дойти до процессинга или других систем банка и вывести деньги оттуда. Зачастую Центробанк после этого думает, что банк сам у себя украл деньги. Начинается разбирательство, в ходе которого выясняется, что где-то банк действительно пытался вывести деньги, а где-то действовали компьютерные преступники. А иногда оба варианта одновременно.

Это интересно, потому что, не вдаваясь в технические подробности, очевидно, что киберпреступность тратит немалые деньги на эти разработки и старается вербовать инженеров, которые могли бы создавать инновационные продукты, выбери они легальный путь заработков. Но встав на другую сторону, они, по сути, создают кибероружие, способное, как в декабрьском примере 2015 года, создать блэкаут для нескольких городов (в конце декабря 2015 года, атака на украинские энергосети повлекла за собой массовое отключение электроэнергии. В результате без электричества осталась немалая часть западной Украины, а именно Ивано-Франковская область, включая столицу Прикарпатья – Ивано-Франковск. Инцидент приписывается группировке BlackEnergy). Но в этом отношении в России и даже в Швейцарии чувствуется общая рыночная расслабленность.

Если вернуться к тем технологиям, которые используют преступники, то обучение людей, которые занимаются информационной безопасностью на местах, сильно отстает от методов атаки нападающих. И это вызывает большое беспокойство.

Также есть психологическая проблема людей, которые отвечают за защиту. Они не могут признаться себе, что иногда отстают в плане технических знаний от атакующих. Кибергруппировки – это организованная преступность. И если посмотреть на полицейскую доктрину США, для них киберпреступность является приоритетом. На это выделяются большие деньги, в том числе, в области образования.

Конечно, русские хакеры, вмешательство в выборы…

Даже не обязательно русские или русскоязычные. Любые хакеры. Они понимают, что никакой цифровой экономики не может быть без защиты от такого типа преступлений.

Вы консультируете много российских государственных структур. Есть ли у нас какая-то образовательная программа на этом направлении?

В МГТУ им. Н. Э. Баумана Group-IB работает с кафедрой, которая обучает в том числе сотрудников Следственного Комитета РФ. В России мы работаем с Академией Управления МВД. В мире мы обучаем и проводим тренинги для Интерпола, в Европейском Союзе – для Европола. Надеюсь, в этом году начнется программа обучения по линии ОБСЕ. Но этого пока все равно недостаточно.

Если говорить о России, то специальности людей, которых обучают кибербезопасности, были нужны 15 лет назад. Я не говорю, что они плохие. Но количество студентов, которые готовы противостоять этим угрозам, – менее 50 человек каждый год. И это подтвердят наши коллеги из других компаний. Все остальные могут быть менеджерами по безопасности в банках, в каких-то государственных институтах, заниматься бумагами. Но серьезная инженерная работа, киберкриминалистика, качественный реверсинг, трэтхантинг (ThreatHunting) – сложные и новые профессии – этого пока нигде нет.

Но в России всегда был самый высокий уровень подготовки людей, в том числе, в области математики. Как и у Китая.

А он такой же высокий и остается. Но нужно менять программу. Еще один пример – количество олимпиадников. Министерство образования каждый год говорит: "вот, мы выиграли Олимпиаду". А давайте посмотрим, сколько людей выигрывали Олимпиады 20 лет назад? Их было значительно больше.

Не так давно Греф публично усомнился в необходимости математических школ как таковых. На мой взгляд, это неверное высказывание. У нас люди, которые работают в сфере IT, практически все вышли из физико-математических школ. Если мы их закроем, что будет?

Возвращаясь к компьютерной преступности, сегодня сильно возрастает количество не сложных преступлений, подготовка которых не требует специальных знаний. Это фишинговые сайты – просто поддельные сайты, которые выманивают у вас информацию, в том числе, для кражи денег. Это продажа контрафактных товаров, чаще всего не существующих. Например, "купи айфон за полцены".

В первой декаде января 2019 года количество заблокированных фишинговых сайтов возросло в 2,5 раза по сравнению с тем же периодом предыдущего года. Было выявлено и заблокировано 1149 финансовых фишинговых ресурсов. А год назад их было всего 705.

Мы ожидаем, что будет рост количества подобных ресурсов по продаже каких-то товаров в связи с праздниками. Это будет 23 февраля и 8 марта. Еще будет проходить Зимняя универсиада-2019, когда тоже, скорее всего, будет всплеск активности.

Во время ЧМ-2018 вы фиксировали такой рост?

Во время ЧМ было, естественно, много контрафактной продукции. Потому что она дорогая, а туристов приехало много. Продавали много подделок, в том числе ненастоящие билеты. Перед ЧМ-2018 мы зафиксировали волну регистраций доменов, нелегально эксплуатирующих тематику ХХI Чемпионата мира по футболу FIFA 2018. За три месяца число таких доменов увеличилось на 13,5% и на май 2018 года составляло 42 000. Относительно мая 2017 года рост этого показателя составил порядка 40%. Опасной тенденцией стало также использование официальной рекламы для продвижения мошеннических сайтов в топ-выдаче поисковиков, а также интенсивное задействование групп в социальных сетях: суммарно их охват составляет 1 миллион подписчиков.

А как обычным гражданам защитить себя? Понять, что это фэйковый сайт или сайт, который продает контрафакт?

Есть несколько советов. Во-первых, лучше сделать отдельный счет для покупок в интернете. Большинство банков сейчас предлагает в виде бесплатной функции выделение виртуальной карты, на которую вы переводите ту сумму, которая нужна для покупки. Почему это надо? Потому что даже если вы попали на сайт злоумышленников, максимум, что вы потеряете, это будут деньги с этой карточки. И то, вы потом можете попробовать вернуть эти деньги у банка.

Во-вторых, это известность сайта. Если вы не знаете такого бренда, цена сильно не похожа на настоящую, этого магазина не существует в таких агрегаторах, как, к примеру, Яндекс-маркет, если это свежесозданный домен, то я бы не рекомендовал делать покупку на этом сайте. У хорошего сайта должен быть сертификат, в виде зеленого замочка вверху страницы. Нажмите на него, посмотрите, какого числа он выдан и на имя какой организации. Если организация, на имя которой выдан сертификат, не совпадает с названием магазина, то это плохой сайт.

Также большинство нормальных магазинов предлагают оплатить товар курьеру при получении. Я лично все покупки осуществляю именно этим способом.

Что касается звонков на телефон, то если вам звонят от имени банка, магазина и просят какие-то данные вашей карточки, вы должны сразу повесить трубку и перезвонить по номеру колл-центра вашего банка, который указан на обратной стороне карточки. Вы говорите: "Здравствуйте, мне сейчас звонили от имени вашего банка и просили сделать то-то и то-то". И оператор вам скажет, это был настоящий звонок, или нет.

Не бойтесь повесить трубку. Оператору из банка вы не должны называть номер своей карты, только, может быть, последние четыре цифры. И вы не должны называть ему CVV, то есть код безопасности на обратной стороне. Пин-код же нужен только при работе с банкоматами.

Мошенники, которые занимаются такого рода преступлениями, являются профессионалами. Они могут вас запугивать, говорить, что сейчас заблокируют вашу карту, или с нее снимется значительная сумма. Не бойтесь повесить трубку, позвонить в ваш банк и удостовериться, что вы разговаривали с настоящими представителями банка.

Так что советы такие: виртуальная карта, проверить историю сайта, посмотреть на отзывы, попробовать выбрать товар с оплатой на месте и с возможностью осмотра товара. Это полезно, потому что вам могут прислать не совсем то, что вы заказывали.

Но таких преступлений будет больше, это факт. Всегда, когда будет какая-то распродажа – черная пятница, праздники, Новый год – под эти даты обычно мошенники активизируются, понимая, что будет много покупок.

Но не нужно думать после этого, что делать покупки в интернете вообще небезопасно. Все безопасно, если не кликать на все веселые баннеры, а понять, что ты хочешь купить, зайти на агрегатор, сравнить цены. Чудес не бывает. Нельзя купить что-то, что будет на 50% дешевле самой низкой цены, указанной в агрегаторах, вроде Яндекс-маркета. И если сайт живет всего несколько дней, то понятно, что его сделали мошенники под быстрый улов. Отсутствие отзывов о сайте тоже вызывает вопросы. Если вы сомневаетесь, то позовите родственника или друга и вместе с ним проделайте все эти операции.

К примеру, среди моих знакомых, в последние годы ни у кого не возникало проблем с покупками в интернете просто благодаря этим правилам.

Хотелось бы вернуться к международной тематике. Ранее вы говорили, что несколько хакерских группировок собирают информацию о гражданах РФ, которая может стать поводом для введения против них санкций США и других стран. Что это за группировки? По каким параметрам подбираются российские граждане, которые попадают в эти списки?

Детали мы рассказать не можем, потому что мы хотим, чтобы завершилось расследование. Если злоумышленникам делать подсказки через прессу, это может помешать расследованию. Я могу сказать следующее. Судя по тому, что злоумышленники в пострадавшей организации не искали ничего, кроме людей с большими финансовыми потоками, и не воровали у них деньги, причем речь идет об окологосударственных людях, мы пришли к выводу, что данные собираются для пополнения санкционных списков, либо для чего-то похожего. По идее, имея такой доступ, злоумышленники могли легко украсть деньги в этом банке и у отдельных вкладчиков, а также оставить какие-нибудь закладки на будущее.

Когда расследование будет завершено, будут названы и страны, и люди, которые это делают.

На какой стадии сейчас находится расследование?

– Сейчас идет некий переломный момент, который похож на середину, после чего начнется бумажная работа.

Пострадали государственные организации или банки?

– Это были российские частные банки, а также некоторые банки постсоветского пространства.

А санкции вообще как-то повлияли на киберпреступления?

В принципе, напряженный политический климат увеличил количество нефинансово мотивированных атак, где целью является сбор разной информации. Это может быть военная информация, это могут быть чертежи, разработки, экономические и финансовые модели, планы контрактов, а также планы возможного саботажа. То есть планы возможного воздействия на критическую инфраструктуру. До этого преступникам это было не нужно, потому что на этом не заработаешь денег, но это привлечет внимание людей, которые занимаются расследованием в области терроризма. И это также возможность получить срок по террористической статье. Но такие атаки сейчас появились.

Санкции еще развязали руки финансово-мотивированной преступности. Они стали выбирать страны, которые находятся в максимальной конфронтации. То есть, это Украина и Россия, Россия и США, Россия и Англия, Индия и Пакистан, Израиль и Ливан. Такие преступления совершаются в странах, которые находятся между собой в конфликте, потому что полицейские организации в них очень плохо взаимодействуют.

Таким образом, политическая неразбериха и политические сложности помогают росту международной преступности.

С другой стороны, еще сложно выявить конкретную страну, из которой было совершено нападение. Человек может сидеть в одном государстве, но атака будет проводиться из другой страны.

Абсолютно точно. Проблема атрибуции компьютерного преступления – это очень серьезная проблема. Очень много компаний, журналистов, иногда государств, обвиняют другие страны в атаках, исходя из очень неточных данных. Когда, к примеру, оставили в коде русское слово, или, что еще смешнее, исходя из графика работы Москвы с 9 до 6. Это не является компьютерно-криминалистическим доказательством. А на базе этого некоторые страны обвиняют другие государства в компьютерной атаке. Это, во-первых, непрофессионально, а во-вторых, не смешно. Потому что в доктрине США кибератака приравнена к акту военной агрессии, и это может спровоцировать войну.

Поэтому я бы всем рекомендовал, надеюсь, это произойдет на базе ООН, ввести определенный протокол проведения правильного сбора принадлежности к кибератаке в момент компьютерных атак между различными государствами. Такой протокол взаимодействия должен быть создан на базе ООН. И если у одной страны есть подозрение в кибератаке со стороны другого государства, то не должно быть взаимных обвинений, а должна быть сформирована комиссия, и по определенным правилам проведено расследование. И если страна действительно виновата, на нее должен быть наложен жесткий штраф. Потому что использование кибероружия, даже с точки зрения шпионажа, опасно. Если такое оружие – компьютерный код – попадет в руки кибертеррористов, то последствия могут быть необратимыми.