Почему киберпреступления – угроза национальной безопасности
Главные жертвы – граждане – меньше всего защищены от воздействия мошенников
Ситуация с киберпреступностью и кражей денег у населения по телефону с каждым годом лишь ухудшается – власти уже официально признают ее национальной проблемой. Злоумышленники действуют на опережение и находятся на несколько шагов впереди тех, кто им противодействует: законодательство не поспевает за новыми угрозами в сфере высоких технологий и схемами краж денег «сотрудниками безопасности банка». Масштабы киберпреступности достигли таких размеров, что позволяют называть их угрозой национальной безопасности, признавал в мае представитель Генпрокуратуры Андрей Некрасов. При этом раскрывается не более 25% из таких преступлений, отмечал он.
Сейчас каждое четвертое преступление совершается с использованием IT-технологий, следует из статистики МВД за январь – октябрь 2021 г. Такого уровня киберпреступность достигла в прошлом году: Генпрокуратура зафиксировала полмиллиона таких случаев. За пять лет их число увеличилось в 12,5 раза. А за семь лет – в 20 раз и продолжает расти, заявлял представитель Следственного комитета Константин Комарда в начале года. Это только по официальной статистике: уровень скрытой киберпреступности в России не оценивают. По данным Национального отделения ФБР США по компьютерным преступлениям, от 85 до 97% киберпреступлений остаются невыявленными.
Проблемы статистики
В России нет единой статистики по числу случаев кибермошенничества и размеру ущерба в отношении компаний и граждан.
В 2021 г. потери российской экономики от деятельности хакеров составят 6 трлн руб., следует из расчетов PositiveTechnologies. Количество инцидентов на промышленных предприятиях практически удвоилось по сравнению с прошлым годом. Чаще всего злоумышленники атакуют госучреждения (на них приходится 19% от общего числа атак), затем идут промышленность (12%), медицинские (9%), финансовые и IT-организации (по 7%). В 2021 г. с целенаправленными атаками на конкретную компанию, когда злоумышленники проводят разведку и подбирают инструменты для нападения, исходя из системы безопасности жертвы, столкнулись 35% организаций в России, подсчитали в «Лаборатории Касперского». Дороже всего для бизнеса обходятся случаи, связанные с утечками данных из внутренних систем, утечками, вызванными атаками вредоносных программ, утверждают эксперты компании. Также в списке – неправомерное использование сотрудниками IT-ресурсов, несоблюдение внутренних политик информационной безопасности и DDoS-атаки. По данным IBM Security, в среднем каждая утечка обходится компаниям в $4,24 млн.
Как атакуют мошенники
Три самых популярных метода атаки мошенников на граждан выглядят так, рассказывает главный эксперт «Лаборатории Касперского» Сергей Голованов: телефонное мошенничество (самый простой и дешевый в реализации метод), мошенничество в интернете (когда злоумышленники копируют сайт банка) и самый сложный и одновременно эффективный способ – вредоносные программы (например, пользователь скачивает файл из непроверенного источника или посещает страницу, на которой отображается зараженный вредоносным кодом баннер). Телефонные мошенники подменяют номера и используют IP-телефонию (телефонная связь, которая работает через интернет), потому что ее организация и использование обходится недорого, рассказал «Ведомостям» директор по росту компании Bi.Zone Рустэм Хайретдинов: с помощью VPN и прокси-серверов можно скрыть местонахождение и обеспечить анонимность и главное – работать из любой страны, где есть доступ в интернет.
Основной вектор атак на юридических лиц – фишинг через электронную почту, рассказал «Ведомостям» бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. На них приходится 90–95% всех атак. В письме может содержаться ссылка на вредоносное программное обеспечение. Другие векторы атак: на каналы удаленного доступа, через корпоративный WiFi или зараженные сайты, а также DDoS-атаки.
По данным ЦБ, из 7,9 млрд руб., похищенных у граждан за январь – сентябрь, 3,7 млрд руб. украдено с помощью телефонного мошенничества, 4,1 млрд – через онлайн-банк (доля социальной инженерии в этих методах краж составила 77,8%, или 3,2 млрд руб.). На втором месте по размеру ущерба – обман при оплате товаров и услуг в интернете – 2,6 млрд руб. (42,5%, или 1,12 млрд руб.). На третьем – кражи с помощью банкоматов и терминалов – 1,2 млрд руб. (20%, или 240 млн руб.). Ущерб от операций без согласия в онлайн-банке для юрлиц составил 1,2 млрд руб. (76,8%, или 920 млн руб.).
В III квартале доля преступлений с использованием социнженерии снизилась до 41% (1,31 млрд руб.) с 47% (1,41 млрд руб.) во II квартале, следует из данных ЦБ. По факту ситуация не улучшилась – некоторые случаи мошенничества с социальной инженерией пока не попадают напрямую в статистику регулятора, говорил 2 декабря первый замглавы департамента информационной безопасности ЦБ Артем Сычев. Например, не попадают в статистику ЦБ схемы, когда мошенники убеждают гражданина оформить на себя несколько кредитов в разных банках и перевести им полученные деньги – это не прямые платежи. Для борьбы с кредитными мошенниками ЦБ предлагает обязать банки передавать данные в кредитные бюро в режиме реального времени – тогда следующий банк, к которому обратится гражданин еще за одним кредитом, увидит только что выданную ссуду.
По данным Сбербанка, телефонные мошенники ежемесячно крадут со счетов россиян от 3,5 млрд до 5 млрд руб. Ущерб за весь 2020 год банк оценивает более чем в 60 млрд руб. У ЦБ суммы хищений в разы скромнее: потери граждан и компаний в 2020 г. там оценивали в 10 млрд руб. (6 млрд руб. – у граждан), а за январь – сентябрь этого года – уже в 9,2 млрд руб. (почти 8 млрд руб. – у граждан), статистика формируется на основе данных банков. МВД пользуется статистикой на основе возбужденных уголовных дел, заявлял осенью замначальника Главного управления экономической безопасности и противодействия коррупции МВД Владислав Горкавцев. За восемь месяцев 2021 г. возбуждено 385 000 дел в сфере кибермошенничества.
Собираемые ведомствами данные часто не совпадают и не отражают объективную картину по нескольким причинам, объясняет тренер по компьютерной криминалистике Group-IB Сергей Золотухин: жертвы программы вымогателей не заявляют об атаках и выплате выкупа, банки (по крайней мере раньше) могли скрыть инцидент с целенаправленной хакерской атакой, жертвы мошенников не всегда пишут заявление в полицию.
Отличаются и методики подсчета: одна организация может посчитать массовую фишинговую рассылку за одну атаку, а другая – за несколько отдельных и оба этих подхода будут корректными, добавляет руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева. ЦБ фиксирует только «верхушку айсберга» и многие схемы остаются вне зоны внимания регулятора, так как мошенники чаще стали использовать длинные цепочки, отследить которые очень сложно, говорит руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. Реальные потери (которые считает ЦБ) составят не менее 25 млрд руб. и скоро приблизятся к 30 млрд руб., прогнозирует глава департамента противодействия мошенничеству центра прикладных систем безопасности компании «Инфосистемы джет» Алексей Сизов.
Объективная статистика важна для расстановки приоритетов, говорит руководитель центра мониторинга и реагирования на инциденты компании «Инфосистемы джет» Алексей Мальнев: в информационной безопасности подчас больше половины рисков можно либо осознанно принять, либо устранить недорогими мерами, например с помощью повышения осведомленности людей. А отсутствие объективной картины может привести к нерациональной трате средств и созданию неэффективной системы защиты.
Нет единого центра
Власти создали несколько центров по противостоянию киберпреступности. Один находится под руководством ФСБ – ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России). Другой создал Банк России – ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере). В структуре МВД киберпреступлениями занимается Управление «К». Также в ведомстве созданы дополнительные спецподразделения по раскрытию и расследованию преступлений в сфере высоких технологий.
Банки и компании в сфере кибербезопасности самостоятельно формируют собственные базы злоумышленников, расследуют инциденты. Сбербанк (у него есть собственная компания в сфере кибербезопасности Bi.Zone) собирает «библиотеку голосов» телефонных мошенников, с помощью которой отслеживает звонки клиентам и блокирует списание средств со счетов, рассказывал в сентябре заместитель председателя правления банка Станислав Кузнецов. По его словам, когда в банке узнают, что кому-то звонил мошенник, call-центр перезванивает на номер звонящего: если он попадает на мошенника, «роботы автоматически останавливают или блокируют возможную операцию со счета на счет». Системе не важно, является ли злоумышленник клиентом банка или нет. «Если клиент, то это упрощает работу полиции», – говорит представитель Сбербанка.
Для победы над киберпреступниками необходим единый центр, считают эксперты. Он должен быть создан на основе государственно-частного партнерства, полагает Золотухин из Group-IB: такая форма взаимодействия позволит использовать самые передовые технологии и обеспечит их безотлагательное применение в реальной жизни. Координация позволяет подавлять и предотвращать крупные инциденты, подчас за счет контратаки самих киберпреступных группировок и их инфраструктуры, указывает Мальнев. С необходимостью единого центра согласны и в «Лаборатории Касперского»: единый центр позволит объединить телекоммуникационные компании, банки, компании по информационной безопасности, регуляторов, чтобы эффективнее бороться с киберпреступностью, считает главный эксперт компании Сергей Голованов. Если бы возможно было совместить собираемые разными компаниями и ведомствами данные в едином центре, можно было бы улучшить анализ и прогноз ситуации с киберпреступностью. По мнению Голованова, это позволило бы лучше понимать, какие меры помогают, а какие нет.
Международные атаки
Консалтинговая компания Accenture в марте 2019 г. представила девятое ежегодное исследование ущерба для бизнеса от киберпреступлений с разбивкой по отдельным странам. Так, киберпреступления в 2018 г. обошлись компаниям США в среднем в $27,4 млн (рост по сравнению с 2017 г. на 29%), компаниям Японии – в $13,6 млн (+30%), Германии – в $13,1 млн (+18%), Великобритании – в $11,5 млн (+31%) и Франции – в $9,7 млн (+23%).
В декабре 2020 г. известный производитель антивирусного ПО McAfee представил свою оценку мирового ущерба от киберпреступлений: за 2020 г. он почти достиг $1 трлн, в то время как в 2013 г. составлял $300 млрд.
По данным компании Specops Software, представленным в мае 2021 г. и основанным на статистике Центра стратегических и международных исследований (CSIS), в период с 2006 по 2020 г. больше всего существенных кибератак произошло в США – 156 случаев. В Великобритании в тот же период зафиксировано 47 случаев, в Индии – 23 случая, в Германии – 21 случай. Существенной считается кибератака на правительственное учреждение, оборонное предприятие или высокотехнологичную компанию, а также атака, ущерб от которой превысил $1 млн.
Национальное бедствие
В основном у граждан крадут деньги самым простым способом – когда так называемые социальные инженеры под психологическим давлением вынуждают жертву назвать конфиденциальные банковские данные. Национальное бедствие России – это именно телефонное мошенничество, говорил весной Кузнецов из Сбербанка. Проблема с этим методом хищений в том, что банки не возвращают гражданам похищенные деньги – разглашение данных третьим лицам снимает ответственность с банков. За девять месяцев гражданам и юрлицам вернули всего 680 млн руб., или 7,4% от украденного, – сумма возвращенных денег падает с 2019 г.
ЦБ надеется решать проблему с возвратом: банки получат право списывать средства по истечении одного-двух рабочих дней, если видят признаки мошенничества, сообщил РБК. Сомнительные операции будут сверяться с базой о переводах без согласия клиентов, причем как банком-отправителем, так и банком-получателем. Предполагается, что размер суммы возмещения определит регулятор: методология расчета не раскрывается, но ЦБ отмечает, что она будет посчитана, исходя из целевого возврата денежных средств гражданам в среднем в 80–90% всех случаев социальной инженерии.
Кража денег с помощью фишинга – вторая наряду с социнженерией проблема, она предполагает заманивание посетителя на мошеннический ресурс, где тот опять же совершает действие или вводит информацию.
Самые популярные способы социнженеров – это звонки от «банков» о якобы попытке вывода денег и необходимости срочно остановить операцию, сообщения об ошибочном переводе с просьбой снять деньги в банкомате и переложить их на «безопасный счет». В «Лаборатории Касперского» отметили, что с мая они наблюдают изменения в действиях мошенников – они стали представляться сотрудниками госорганизаций, силовых ведомств. Подобные изменения также заметили в InfoWatch, «Инфосистемах джет» и Group-IB. Но «сотрудник безопасности банка» никуда не делся, говорит Голованов: теперь мошенник звонит и представляется участковым, рассказывает легенду о попытке украсть деньги со счета и необходимости привлечь злоумышленника к ответственности, для чего нужно ответить на вопросы. А когда клиент соглашается, мошенник переводит его на своего коллегу – «из службы безопасности банка». Жертва так просто уже не отделается, так как уверена, что до этого разговаривала с правоохранителем, отмечает эксперт.
После кредита – квартира
Социальная инженерия в 2021 г. приобрела новый виток развития: граждане стали настолько доверять мошенникам, что не просто оформляют на себя несколько кредитов, а закладывают и продают собственные квартиры. Наличие таких схем мошенничества выявили в Сбербанке, МВД, ЦБ, Group-IB и Zecurion.
«Сначала [мошенники] крали деньги с карт, потом стали брать кредит, и новая тема – это воздействие на гражданина таким образом, чтобы он вместе с кредитами еще закладывал и продавал недвижимость», – рассказал на прошлой неделе на форуме AntiFraud Russia начальник управления противодействия кибермошенничеству Сбербанка Сергей Велигодский. Тенденцию подтвердил начальник управления уголовного розыска МВД России Филипп Немов: «Человек под воздействием социальной инженерии закладывает квартиру, продает квартиру и, соответственно, оказывается в тяжелейшей жизненной ситуации». В ведомстве уже завели несколько уголовных дел по данному виду мошенничества.
В ЦБ отмечают такие случаи с конца лета, сказал «Ведомостям» представитель регулятора, но они не носят массовый характер, так как в этой схеме задействовано много сторон.
Руководитель отдела исследований цифровых рисков Group-IB Яков Кравцов отметил, что те истории, о которых известно, начинались с обычного звонка телефонных мошенников «службы безопасности» банка или «полиции». Но передача квартиры не происходит за один звонок, пояснил руководитель аналитического центра Zecurion Владимир Ульянов. По его словам, это более сложная схема, потому что тут важно установить контакт, прощупать потенциальную жертву и понять, насколько она ведется на уловки. Поэтому спустя какое-то время мошенники снова звонят и уже сообщают о проблемах, связанных с собственностью жертвы. Если человек снова верит мошенникам, то может остаться без собственности.
Киберпреступления активно используют все технологии, которые окружают человека: это и интернет вещей, и промышленные технологии, политическая сфера, медицина, полагает руководитель центра мониторинга и реагирования на инциденты компании «Инфосистемы джет» Алексей Мальнев. А технологии продолжают развиваться, поэтому угрозы лишь будут расти. Информационная безопасность всегда шла вслед за угрозами, отставая от них на 1–2 шага, говорит он: IT-системы имеют множество дыр и уязвимостей, потому что их разработчики в первую очередь думают о выполнении бизнес-задач, а безопасность не всегда стоит в приоритете.
Сбербанк передает данные о 100 000 номеров в месяц в адрес операторов, но толку от этого мало – у мошенников этих номеров «как у дураков фантиков», говорил осенью начальник управления противодействия кибермошенничеству банка Сергей Велигодский. Госбанк пошел другим путем, объединив усилия с операторами: они выявляют мошеннические звонки и об этих фактах информируют банк. В сутки банк получает около 8 млн таких сообщений. Похожая антифрод-платформа есть у «Тинькофф банка». Принцип ее работы в том, что банк и мобильные операторы обмениваются данными в режиме реального времени для выявления подозрительных звонков. В случае чего банк может приостановить нетипичные операции по карте после подозрительного звонка клиенту до выяснения обстоятельств.
Что дальше
Россия летом 2021 г. внесла в ООН проект конвенции о борьбе с киберпреступностью, которая охватывает 23 вида киберпреступлений. Конвенция описывает порядок взаимодействия государств в вопросах выдачи киберпреступников и оказания правовой помощи по уголовным делам, включая выявление, арест, конфискацию и возврат активов. Для контроля за выполнением конвенции предлагается создать международную техническую комиссию под эгидой ООН. Интернет не имеет границ и основные сложности начинаются, когда пострадавший в одной стране, а злоумышленник – в другой, говорит Голованов. Но даже создание единого центра по борьбе с киберугрозами не решит проблему полностью, полагает он: можно снизить потери от действий киберпреступников до минимальных, бороться быстрее и эффективнее и привлекать к ответственности.
Законодательное противоборство киберпреступности сконцентрировалось вокруг нескольких направлений: борьба с подменой номеров; отключение от обслуживания мобильных номеров, используемых заключенными в местах лишения свободы; усиление наказания за киберпреступления; наказание банков за мошенничество в отношении их клиентов; ужесточение контроля за оборотом персональных данных. Ситуацию с кибермошенничеством упустили в 2018 г., когда злоумышленники нащупали возможности IP-телефонии для кражи денег у граждан и научились подменять номера телефонов, говорил осенью Велигодский. Неоднократные попытки решить проблему телефонного мошенничества показывают, что нормативная база отстала на 10 лет от технологических реалий, отмечал он: жить с этой проблемой придется долго.
В социнженерии эксперты не ждут улучшения ситуации в ближайшее время. Будут появляться новые мошеннические схемы, считает директор по развитию направления «Киберграмотность населения» компании «Ростелеком-Солар» Олег Седов: на горизонте нескольких лет появится больше историй, связанных с мошенничеством в сфере авторских прав и интеллектуальной собственности в цифровом пространстве. По мнению Арсентьева, в 2022 г. можно ждать взрывного роста мошенничества с дипфейками: преступники будут стараться с помощью технологий искусственного интеллекта имитировать голос и лицо человека.