Твитнуть
Интервью
Гендиректор Group-IB: хакеры становятся членами традиционных ОПГ
- За последние несколько лет, по данным МВД, хакерам удалось увести у клиентов российских банков миллионы долларов. В чем проблема? Что не так в российской банковской системе?
- Нужно понимать, что абсолютно неуязвимой защиты просто не существует. Компьютерные злоумышленники в состоянии взломать практически любую систему. Кроме того, бывают случаи, когда банки сами используют не самые надежные системы.
Например, иногда банки предоставляют клиентам для работы в системе ДБО только логин-пароль и электронно-цифровую подпись (ЭЦП). В таком случае злоумышленник может провести операцию из любого региона, предварительно скопировав незащищенную ЭЦП.
В ответ некоторые банки начали внедрять так называемые токены, с которых ЭЦП извлечь практически невозможно. Однако практика показывает, что USB-токены часто оставляют подключенными к компьютеру, даже когда бухгалтер не работает с системой интернет-банкинга. В таком случае злоумышленники могут удаленно подключиться к компьютеру и провести операцию непосредственно с него. Так они обходят защитную систему, с помощью которой банк отслеживает IP-адреса клиентов для пресечения подозрительных операций, например, проведенных территориально из другого региона. В описанном же случае все выглядит вполне легально: IP-адрес соответствующий, токен правильный, сомнений ничего не вызывает.
Еще более сложная система для защиты использует одноразовые пароли, которые распечатываются банком или присылаются клиенту по SMS. Юридические лица обычно используют пароли на бумаге. Физические - часто пользуются системой SMS-паролей.
- А как обходят систему одноразовых паролей?
- Грубо говоря, злоумышленники подменяют платежное поручение. То есть бухгалтер создает платежное поручение и указывает необходимые реквизиты. Однако за считанные мгновения перед вводом одноразового пароля мошенники изменяют некоторые данные. В тот момент, когда пользователь нажимает кнопку "подписать", реквизиты меняются - и платеж уходит на счет хакеров.
Кибепреступники также могут использовать и другой способ. Мошенники "рисуют" в браузере фальшивое окно для ввода одноразового пароля. Ничего не подозревающий бухгалтер вводит его. Пароль долго обрабатывается, после браузер сообщает, что время ожидания истекло и необходимо ввести следующий одноразовый пароль, так как предыдущая операция не прошла. Бухгалтер вводит следующий пароль, и у злоумышленников в распоряжении уже два актуальных одноразовых пароля, которые должны быть использованы по порядку - первый - для того чтобы войти в систему, второй - чтобы непосредственно отправить платежное поручение.
В этой схеме неважно, приходит ли пароль через SMS, или вы его на бумаге печатаете - вы все равно эти данные вводите сами.
Выбираемая хакерами схема часто зависит от того, какие вредоносные программы находятся в их распоряжении. Не всякое программное обеспечение позволяет осуществлять подмену реквизитов или создавать в браузере ложные окна. Тогда киберпреступники пытаются выуживать пароли методами социальной инженерии.
Нам приходилось сталкиваться со случаями, когда особо дерзкие мошенники звонили пользователям, представлялись сотрудниками службы поддержки банка, просили сообщить пароль и таким образом получали интересующую их информацию.
- Хакер получил все нужные пароли. Что происходит дальше?
-Если сумма украденного составляет не более 1-1,5 миллиона рублей, то деньги выводят сразу на пластиковые карты так называемых дропов (специально нанятых владельцев банковских карт, которые занимаются обналичиванием похищенных денег). Обычно в течение 15 минут после того, как деньги поступили на карточные счета, дропы обналичивают их через банкоматы и затем отдают своим нанимателям.
Если суммы крупнее, используются более сложные схемы обналичивания. Они применяются обычно при хищении средств в объеме от миллиона до пяти. В этом случае деньги предварительно переводят на счет юридического лица. Дальше сумму могут раздробить и распределить по другим счетам, чтобы сильнее запутать следы.
Минимум 50% суммы оставляют себе "обнальщики" - те, кто занимается процессом обналичивания.
- Как нанимают дропов?
-Дропы бывают "разводные" и "неразводные". "Разводные" знают о том, что они дропы, и могут обмануть своих нанимателей, скрывшись с деньгами. Поэтому обнальщики если и держат "разводных", то только "своих", так сказать, проверенных.
(А я всегда считал, что разводные идут в "слепую"
)
"Неразводные" о своем нелегальном статусе в явном виде не знают. Для их найма могут создаваться целые сайты по подбору персонала, где пользователям просто предлагают за процент в определенное время снимать деньги.
Именно дропы обычно первыми попадаются полиции, но какой с них спрос? Никакого.
- МВД недавно сообщила о закрытии бот-сети размером в шесть миллионов зараженных компьютеров. Все «финансовые» бот-сети столь велики?
- Хищения из систем ДБО - это тот случай, когда размер бот-сети вообще не имеет значения. Хакер может контролировать сеть из 50 тысяч зараженных компьютеров - ботов, но только на паре из них будет установлен клиент-банк. Киберпреступники, атакующие системы ДБО, обычно покупают таргетированный трафик с высокой конверсией. В такой бот-сети может быть всего тысяча ботов, из которых большая часть - с системой интернет-банкинга.
Та же банда Carberp (крупнейшая банда, похитившая около 150 миллионов долларов, ее деятельность была пресечена в марте этого года - ред.) старалась взламывать бухгалтерские сайты и через них распространять вредоносные программы. Причина понятна: обыватели на столь специализированные сайты не заходят. Примерно так же работают атаки на простых пользователей - взламываются часто посещаемые сайты банковской тематики. Так что миллионы ботов еще ни о чем не говорят. Важно качество трафика и конверсия. Все как в обычном бизнесе.
- Есть ли у киберпреступников "любимые" электронные деньги? Если не в наличности, то где хакеры хранят свои деньги?
- У хакеров есть несколько платежных систем, которыми они активно пользуются. Основная - Liberty Reserve.
Организация существует с начала 2000-х, но сама система начала активно работать с 2006 года, вскоре после того, как eGold закрылась. Система зарегистрирована в Коста-Рике, в ней есть возможность привязать к счету пластиковую карточку за небольшую сумму около 40 долларов. Пластиковая карта обслуживается одним ливанским банком, который тоже в оффшорной зоне - налог на прибыль составляет 0%.
В LR серьезная система безопасности: за все время существования платежной системы не было ничего серьезней фишинга. При этом у них очень простое пользовательское соглашение, без всяких мелких шрифтов и всего с несколькими условиями: ты сам отвечаешь за свой пароль, никаких возвратов платежей, система отвечает только за сохранность денег и их транзакции. LR берет 1% от суммы, но не более 2,99 доллара. Комиссия в 3 доллара даже с миллиона долларов - выгодно, правда?
Зарубежные и российские хакеры эту систему очень любят, русские называют ее "люба". LR они используют в основном для оплаты услуг друг другу, в том числе потому, что система не блокирует транзакции. LR все равно, за что ты платишь, и что ты там указываешь в комментариях.
Еще одна причина популярности - анонимность. Не было еще такого случая, чтобы владельцы LR выдавали информацию о платежных поручениях властям. Никто не знает, сколько там денег. Почти никто не знает, кто ею управляет.
Что же до ситуации с полным отсутствием возвратов, то позиция у системы такая - LR не банк, этой системе не важна репутация у пользователей. Их главная репутация - это анонимность и надежность транзакций.
- Как ловить таких преступников, если им удается достичь такой степени анонимности?
- Есть два подхода. Первый - подход полиции - искать дропов и через них уже выходить на того, кто обналичил, и того, кто собственно и совершил кражу. Однако дроп-сервисов в России много, и они по большому счету заменяемы. К тому же, когда речь заходит о крупных хищениях, ни один киберпреступник не работает с одним дроп-сервисом. Их всегда несколько, потому что ежедневно мошенникам приходится "обрабатывать" десятки платежных поручений - крупные суммы нужно дробить на мелкие, а это большой объем работы.
Ведь владельцы бот-сетей нанимают заливщиков, которые контролируют состояние счета жертвы, переводы и прочую финансовую информацию, не по доброте душеной, а потому что один человек уже не в состоянии проводить хищения такого объема. Это целая схема, и если раскручивать этот клубок, начиная с дропов, то найдешь не организатора, а лишь промежуточные звенья преступной цепочки.
Мы же всегда отталкиваемся от того, что нужно искать организатора, который все это устроил - владельца бот-сети, киберпреступника, который проводит сами хищения. Найдешь его - найдешь всех остальных. Это уже второй способ. По нашим наблюдениям, костяк любой киберпреступной группы состоит из одного, максимум двух человек. Вот их и надо ловить в первую очередь.
- А кто вообще эти люди в жизни?
- Обычные молодые люди, программисты. Часто трудоустроены. Еще чаще - безработные. (ВОТ ОТСЮДА МНЕ ОЧЕНЬ НРАВИТСЯ
)
Они покупают хорошие машины за 3-5 миллиона рублей, квартиры и прочие дорогие вещи, много путешествуют. Вот, например, создатель сети Carberp не все время находился в Москве. С его задержанием были проблемы, поскольку он на похищенные деньги катался по всему миру и ни в чем себе не отказывал. Теперь ему не до путешествий.
Интервью выложено не полностью, больше 16000 символов не пролезает.(
Огромная просьба к администрации обратить внимание, чтобы не резать статьи.
РИА Новости.
- За последние несколько лет, по данным МВД, хакерам удалось увести у клиентов российских банков миллионы долларов. В чем проблема? Что не так в российской банковской системе?
- Нужно понимать, что абсолютно неуязвимой защиты просто не существует. Компьютерные злоумышленники в состоянии взломать практически любую систему. Кроме того, бывают случаи, когда банки сами используют не самые надежные системы.
Например, иногда банки предоставляют клиентам для работы в системе ДБО только логин-пароль и электронно-цифровую подпись (ЭЦП). В таком случае злоумышленник может провести операцию из любого региона, предварительно скопировав незащищенную ЭЦП.
В ответ некоторые банки начали внедрять так называемые токены, с которых ЭЦП извлечь практически невозможно. Однако практика показывает, что USB-токены часто оставляют подключенными к компьютеру, даже когда бухгалтер не работает с системой интернет-банкинга. В таком случае злоумышленники могут удаленно подключиться к компьютеру и провести операцию непосредственно с него. Так они обходят защитную систему, с помощью которой банк отслеживает IP-адреса клиентов для пресечения подозрительных операций, например, проведенных территориально из другого региона. В описанном же случае все выглядит вполне легально: IP-адрес соответствующий, токен правильный, сомнений ничего не вызывает.
Еще более сложная система для защиты использует одноразовые пароли, которые распечатываются банком или присылаются клиенту по SMS. Юридические лица обычно используют пароли на бумаге. Физические - часто пользуются системой SMS-паролей.
- А как обходят систему одноразовых паролей?
- Грубо говоря, злоумышленники подменяют платежное поручение. То есть бухгалтер создает платежное поручение и указывает необходимые реквизиты. Однако за считанные мгновения перед вводом одноразового пароля мошенники изменяют некоторые данные. В тот момент, когда пользователь нажимает кнопку "подписать", реквизиты меняются - и платеж уходит на счет хакеров.
Кибепреступники также могут использовать и другой способ. Мошенники "рисуют" в браузере фальшивое окно для ввода одноразового пароля. Ничего не подозревающий бухгалтер вводит его. Пароль долго обрабатывается, после браузер сообщает, что время ожидания истекло и необходимо ввести следующий одноразовый пароль, так как предыдущая операция не прошла. Бухгалтер вводит следующий пароль, и у злоумышленников в распоряжении уже два актуальных одноразовых пароля, которые должны быть использованы по порядку - первый - для того чтобы войти в систему, второй - чтобы непосредственно отправить платежное поручение.
В этой схеме неважно, приходит ли пароль через SMS, или вы его на бумаге печатаете - вы все равно эти данные вводите сами.
Выбираемая хакерами схема часто зависит от того, какие вредоносные программы находятся в их распоряжении. Не всякое программное обеспечение позволяет осуществлять подмену реквизитов или создавать в браузере ложные окна. Тогда киберпреступники пытаются выуживать пароли методами социальной инженерии.
Нам приходилось сталкиваться со случаями, когда особо дерзкие мошенники звонили пользователям, представлялись сотрудниками службы поддержки банка, просили сообщить пароль и таким образом получали интересующую их информацию.
- Хакер получил все нужные пароли. Что происходит дальше?
-Если сумма украденного составляет не более 1-1,5 миллиона рублей, то деньги выводят сразу на пластиковые карты так называемых дропов (специально нанятых владельцев банковских карт, которые занимаются обналичиванием похищенных денег). Обычно в течение 15 минут после того, как деньги поступили на карточные счета, дропы обналичивают их через банкоматы и затем отдают своим нанимателям.
Если суммы крупнее, используются более сложные схемы обналичивания. Они применяются обычно при хищении средств в объеме от миллиона до пяти. В этом случае деньги предварительно переводят на счет юридического лица. Дальше сумму могут раздробить и распределить по другим счетам, чтобы сильнее запутать следы.
Минимум 50% суммы оставляют себе "обнальщики" - те, кто занимается процессом обналичивания.
- Как нанимают дропов?
-Дропы бывают "разводные" и "неразводные". "Разводные" знают о том, что они дропы, и могут обмануть своих нанимателей, скрывшись с деньгами. Поэтому обнальщики если и держат "разводных", то только "своих", так сказать, проверенных.
(А я всегда считал, что разводные идут в "слепую"
)"Неразводные" о своем нелегальном статусе в явном виде не знают. Для их найма могут создаваться целые сайты по подбору персонала, где пользователям просто предлагают за процент в определенное время снимать деньги.
Именно дропы обычно первыми попадаются полиции, но какой с них спрос? Никакого.
- МВД недавно сообщила о закрытии бот-сети размером в шесть миллионов зараженных компьютеров. Все «финансовые» бот-сети столь велики?
- Хищения из систем ДБО - это тот случай, когда размер бот-сети вообще не имеет значения. Хакер может контролировать сеть из 50 тысяч зараженных компьютеров - ботов, но только на паре из них будет установлен клиент-банк. Киберпреступники, атакующие системы ДБО, обычно покупают таргетированный трафик с высокой конверсией. В такой бот-сети может быть всего тысяча ботов, из которых большая часть - с системой интернет-банкинга.
Та же банда Carberp (крупнейшая банда, похитившая около 150 миллионов долларов, ее деятельность была пресечена в марте этого года - ред.) старалась взламывать бухгалтерские сайты и через них распространять вредоносные программы. Причина понятна: обыватели на столь специализированные сайты не заходят. Примерно так же работают атаки на простых пользователей - взламываются часто посещаемые сайты банковской тематики. Так что миллионы ботов еще ни о чем не говорят. Важно качество трафика и конверсия. Все как в обычном бизнесе.
- Есть ли у киберпреступников "любимые" электронные деньги? Если не в наличности, то где хакеры хранят свои деньги?
- У хакеров есть несколько платежных систем, которыми они активно пользуются. Основная - Liberty Reserve.
Организация существует с начала 2000-х, но сама система начала активно работать с 2006 года, вскоре после того, как eGold закрылась. Система зарегистрирована в Коста-Рике, в ней есть возможность привязать к счету пластиковую карточку за небольшую сумму около 40 долларов. Пластиковая карта обслуживается одним ливанским банком, который тоже в оффшорной зоне - налог на прибыль составляет 0%.
В LR серьезная система безопасности: за все время существования платежной системы не было ничего серьезней фишинга. При этом у них очень простое пользовательское соглашение, без всяких мелких шрифтов и всего с несколькими условиями: ты сам отвечаешь за свой пароль, никаких возвратов платежей, система отвечает только за сохранность денег и их транзакции. LR берет 1% от суммы, но не более 2,99 доллара. Комиссия в 3 доллара даже с миллиона долларов - выгодно, правда?
Зарубежные и российские хакеры эту систему очень любят, русские называют ее "люба". LR они используют в основном для оплаты услуг друг другу, в том числе потому, что система не блокирует транзакции. LR все равно, за что ты платишь, и что ты там указываешь в комментариях.
Еще одна причина популярности - анонимность. Не было еще такого случая, чтобы владельцы LR выдавали информацию о платежных поручениях властям. Никто не знает, сколько там денег. Почти никто не знает, кто ею управляет.
Что же до ситуации с полным отсутствием возвратов, то позиция у системы такая - LR не банк, этой системе не важна репутация у пользователей. Их главная репутация - это анонимность и надежность транзакций.
- Как ловить таких преступников, если им удается достичь такой степени анонимности?
- Есть два подхода. Первый - подход полиции - искать дропов и через них уже выходить на того, кто обналичил, и того, кто собственно и совершил кражу. Однако дроп-сервисов в России много, и они по большому счету заменяемы. К тому же, когда речь заходит о крупных хищениях, ни один киберпреступник не работает с одним дроп-сервисом. Их всегда несколько, потому что ежедневно мошенникам приходится "обрабатывать" десятки платежных поручений - крупные суммы нужно дробить на мелкие, а это большой объем работы.
Ведь владельцы бот-сетей нанимают заливщиков, которые контролируют состояние счета жертвы, переводы и прочую финансовую информацию, не по доброте душеной, а потому что один человек уже не в состоянии проводить хищения такого объема. Это целая схема, и если раскручивать этот клубок, начиная с дропов, то найдешь не организатора, а лишь промежуточные звенья преступной цепочки.
Мы же всегда отталкиваемся от того, что нужно искать организатора, который все это устроил - владельца бот-сети, киберпреступника, который проводит сами хищения. Найдешь его - найдешь всех остальных. Это уже второй способ. По нашим наблюдениям, костяк любой киберпреступной группы состоит из одного, максимум двух человек. Вот их и надо ловить в первую очередь.
- А кто вообще эти люди в жизни?
- Обычные молодые люди, программисты. Часто трудоустроены. Еще чаще - безработные. (ВОТ ОТСЮДА МНЕ ОЧЕНЬ НРАВИТСЯ
)Они покупают хорошие машины за 3-5 миллиона рублей, квартиры и прочие дорогие вещи, много путешествуют. Вот, например, создатель сети Carberp не все время находился в Москве. С его задержанием были проблемы, поскольку он на похищенные деньги катался по всему миру и ни в чем себе не отказывал. Теперь ему не до путешествий.
Интервью выложено не полностью, больше 16000 символов не пролезает.(
Огромная просьба к администрации обратить внимание, чтобы не резать статьи.
РИА Новости.
Комментарий