Анализ криминогенной обстановки и правоприменительной практики в сфере противодействия киберпреступлениям

Введение

В последние несколько лет в средствах массовой информации регулярно появляются сообщения о новых ограблениях банков. Внедрение новых цифровых технологий в кредитно-финансовой сфере привело не только к распространению технологий электронного банкинга, но и к стремительному росту киберпреступности в банковском бизнесе.
Глобальный рост киберпреступлений считается одной из главных постоянных угроз для национальной безопасности в XXI веке и огромной проблемой для мирового сообщества. На сегодняшний день кибератаки достигают порой настолько крупных размеров, что источники по борьбе с этим видом экономических преступлений недостаточны, чтобы им противостоять. Киберпреступность является сложным явлением, затрагивающим различные сферы: экономика, информационные технологии, правосудие, банковская система и др. Проблемы текущих и будущих угроз актуальны во всем мире.
Актуальность данной темы заключается в том, что кибератаки могут уничтожить страну без непосредственного нахождения на ее территории, в силу чего решение данной проблемы требует глобального подхода и четко скоординированных международных усилий.
Объект исследования – киберпреступность.
Предмет исследования – киберпреступления в банковской сфере.
Целью работы является анализ криминогенной обстановки и правоприменительной практики в сфере противодействия киберпреступности.
В работе поставлены следующие задачи:
- проанализировать состояние и тенденции киберпреступности в банковской сфере;
- изучить типовые схемы киберпреступлений в банковской сфере;
-рассмотреть проблемы выявления и расследования киберпреступлений в банковской сфере.

1. Оценка состояния и тенденций киберпреступности в банковской сфере
Под киберпреступностью в финансовой сфере понимаются различного вида финансовые преступления, совершаемые онлайн, т.е. с использованием сети Интернет, с помощью информационных систем и электронных коммуникационных сетей.
В России число совершаемых киберпреступлений неуклонно и динамично растет. За  I полугодие 2018  г. их число выросло на 50%, и составило 80 127 преступлений, в 2017 году было совершено 39 993 киберпреступлений.
Ни одна криминальная деятельность в мире не показывает таких темпов: ежемесячный рост на 4 %.
Согласно данным Департамента по вопросам новых вызовов и угроз МИД России ущерб от преступлений в сфере IT в России составил почти 400 млрд. рублей.  В 2019 году он может возрасти до $2 трлн, а в 2020 году – до $3 трлн. 
Сумма обналиченных денежных средств, похищенныхв 2018 г. составила 1,3 млрд. руб., в 2017 г. – 1,7 млрд. руб.
Таблица 1 - Данные об ущербе от киберпреступлений в РФ за 2017–2018 гг.
Сегмент рынка в России и СНГ Число групп Число успешных
атак (в день) Средняя сумма
одного хищения Объем краж в
день H2 2017 –
H1 2018 H2 2016 –
H1 2017 % роста к
прошлому
периоду


руб.
Хищения в интернет-банкинге у юридических
лиц, с использованием вредоносного програм-много обеспечения (ПО) 3 2 1 250 000 2 500 000 622 500 000 956 160 000 -35
Хищения в интернет-банкинге у физических лиц, с использованием вредоносного ПО 1 1 63 000 63 000 15 687 000 6 424 200 144
Хищения у физических лиц, с Android-троянами 10 300 11 000 3 300 000 821 700 000 348 600 000 136
Целевые атаки на банки 2 - - - 1 630 000 000 2500 000 000 -35
Фишинг 15 950 1 000 950 000 236 550 000 - -
Обналичивание похищенных средств - - - 2 638 350 1 390 449 150 1715 032 890 -19
Итого


6 813 000 4 716 886 150 5 526 217 090 -15

В 2017 году ущерб в результате киберпреступлений в банковской сфере составил свыше 1,35 млрд. рублей.
Злоумышленники атакуют банки разных размеров. Но особый интерес у киберворов вызывают именно средние банки, владеющие достаточно большой долей активов, но в то же время недостаточно инвестирующие в безопасность. При этом атаки на банковских клиентов уходят на второй план, в пользу выведения денежных средств из самих банков.
Сложившаяся ситуация может привести к серьезным последствиям, в сфере кибербезопасности, поскольку кибератаки приводят к ощутимым ухудшениям финансовых показателей, к краже интеллектуальной собственности, а в итоге – к потере конкурентного преимущества и т. д. Это становится возможным изза возможности киберпреступников получить доступ к нужной информации.
Выделим основные тенденции киберпреступлений в финансовой сфере:
- «Программывымогатели»: вредоносные скрипты,  такие, как банковские «трояны» и «вымогатели» остаются наиболее вредоносным программным обеспечением. Его вирусы блокируют компьютеры, или личные файлы пользователей, требуя выкуп за восстановление доступа.
- «Преступлениевкачествеуслуги»: данная модель, набирающая популярность предполагает «подпольные цифровые услуги», предлагаемые профессиональными поставщиками хакерских утилит, для организованных преступных группировок.
- Преступное использование данных. Во многих случаях сведения используются киберпреступниками для получения немедленной финансовой выгоды, но могут использоваться для реализации более сложных схем преступлений: мошенничества, выкупа, либо вымогательства.
- Платежное мошенничество: чип и PINкод, геоблокировка и другие меры безопасности, продолжают помогать в эффективной борьбе с карточным мошенничеством, но, количество атак против банкоматов продолжает расти. Все чаще преступные группы компрометируют платежи, связанные с использованием бесконтактной системы оплаты.
Киберпреступники выбирают легкодоступные схемы, это зависит от того, какие вредоносные программы у них имеются. Например, в атаках на банкоматы хакеры атакуют его программное обеспечение.
Одна из причин существенного роста таких атак – низкий уровень защищенности устройств. Ситуацию осложняет то обстоятельство, что они не только сами активно взламывают банкоматы, но также свободно продают вредоносное программное обеспечение, с помощью которого возможно дистанционно взламывать банкоматы и совершать похищения. По оценкам экспертов, продажа хакерских продуктов составляет рынок с оборотами в год в сотни млн.долларов США.
Начиная с 2016 года, количество целевых атак на организации финансовокредитной сферы растет быстрыми темпами. В последние года используются для компрометации информационные системы, предназначенные для проведения тестирования на проникновение. Среди них можно выделить прежде всего, Metasploit Framework, и основанные на Metasploit – Empire Cobalt Strike, Armitage,. Среди них наиболее активна группировка Cobalt, специализация которой – кибератаки в финансовой сфере. Этой группе удалось в 2015-2016 г.г. похитить со счетов российских банков более 1,8 млрд. рублей.
Успешной также была ее атака на банк с выводом денег за рубеж, с помощью международной системы SWIFT, в 2017 году.
В то же время, анализируя способы совершения различных атак, можно обоснованно предполагать наличие иных преступных групп, использующих похожие инструменты. Наиболее распространенными правонарушениями в банковской сфере являются следующие (рисунок 1).

Рисунок 1 – Правонарушения в банковской сфере

В ноябре 2018 хакеры начали распространять фальшивое приложение «Сбербанк-онлайн», в которое внедрен троянский вирус.
Программа ориентирована на владельцев телефонов с платформой Android. При введении пользователем личной информации, она тут же оказывалась у хакеров. В результате, жертвой злоумышленника стала жительница г.Пскова, установившая приложение «Мобильный банк», потерявшая в этой махинации 104 тыс.руб.
Во всем мире жертвы киберпреступности потеряли $172 млрд., в среднем по $142 каждый человек, круглосуточно происходит ликвидация последствий этого вида преступности. Каждое двадцатое деяние является киберпреступлением. Большая их часть приходится на Ставропольский край, Мурманскую, Саратовскую области, Татарстан, Москву.
Делая выводы о тенденциях киберпреступности, можно говорить о том, что киберпреступность в банковской сфере является постоянной международной угрозой, и имеет возможность действовать за пределами национальных границ, приобретая, таким образом, глобальные формы.
Информационные и коммуникационные технологии, сами по себе, предоставляют новые возможности для нарушения закона, путем создания неограниченного потенциала для совершения различных видов преступлений.
На сегодняшний день банки выстроили достаточно эффективные барьеры для защиты от внешних атак, однако основная проблема состоит в том, что они не готовы противостоять нарушителю во внутренней сети.
Зная это, преступники легко обходят системы защиты сетевого периметра с помощью фишинга – простого и эффективного метода, который доставляет вредоносное программное обеспечение в корпоративную сеть.
Злоумышленники внимательно следят за последними новостями, новыми уязвимостями и быстро модифицируют свои инструменты. Так, в 2017 году хакеры из группировки Cobalt, в расчете на то, что банки не успели установить соответствующие обновления безопасности, использовали уязвимости в Microsoft Office CVE-2017-0199, и CVE-2017-11882,

.
Внутри сети хакеры могут свободно перемещаться незамеченными с помощью известных уязвимостей и легитимного программного обеспечения, не вызывающего подозрений у администраторов. Пользуясь недостатками защиты корпоративной сети, преступники за короткое время получают полный контроль над всей инфраструктурой банка.
16 января 2019 года российские банки подверглись массовой хакерской атаке со стороны Silence, отправлявшей фишинговые рассылки с российских серверов. Об опасных письмах стало известно от подразделения регулятора, отвечающего за кибербезопасность - ФинЦЕРТ.
Группа хакеров пыталась разослать вредоносное ПО по банкам от имени вымышленных кредитных организаций – банков «БанкУралпром», «Урал Развитие», «Финансовая перспектива», ICA, CCR, ЮКО, а также якобы от организаторов финансового форума iFIN-2019. Рассылка Silence была выделена по нескольким параметрам.
Во-первых, охват. Рассылка фишинговых писем происходила в течение нескольких дней до 18 января в Сбербанк, Газпромбанк, Райффайзенбанк и Московский кредитный банк. На средствах защиты зафиксированы и успешно заблокированы 1,5 тыс. вредоносных писем, из рассылки.
Во-вторых, в атаке использовалась качественная социальная инженерия, что для Silence не характерно. Обычно эта группировка использует типовые фишинговые уловки и очень мало модифицирует«социальный» вектор рассылки, однако на этот раз текст вредоносного письма был крайне правдоподобен. В-третьих, в организации атаки были задействованы серверные мощности с IP-адресами в российской зоне интернета, в частности, и домены из зоны .ru (fpbank.ru, bankurs.ru, ccrbank.ru).
В настоящее время в Госдуме рассматривается законопроект, дающий право Центробанку самостоятельно блокировать сайты, имеющие отношение к фишингу. Законопроект позволит ускорить реагирование на атаки подобного рода.
Однако для эффективной борьбы законопроект нуждается в доработке. В текущей версии блокировка опасного ресурса возможна в течение нескольких дней. При фишинговой рассылке наибольшее количество опасных писем открывается в первые часы. Для эффективной защиты необходима возможность блокировки в течение нескольких часов. Также в законопроекте предусмотрена блокировка опасных сайтов, в то время как для фишинговых рассылок сайт вообще не нужен, достаточно создать почту и зарегистрировать домен. Поэтому проект необходимо дополнить возможностью блокировки самих доменов.


2. Типовые схемы киберпреступлений в банковской сфере
Типовая схема целевой атаки на кредитнофинансовую организацию выглядит следующим образом:
1 Производится массовая рассылка электронных писем, содержащих вредоносные вложения, поступающие, например, от имени Банка России или FinCERT. Успех данной атаки обеспечивает человеческий фактор: ввиду непредусмотрительности, сотрудники банка открывают письма, пришедшие из подозрительных источников, при этом осознанно игнорируя механизмы защиты, не используя оповещения антивируса, или вовсе отключая соответствующие настройки, что позволяет злоумышленникам загрузить в систему банка вредоносное программное обеспечение.
2 В случае запуска на компьютере вредоносного вложения из письма, проявившего неосторожность, происходит скрытное внедрение программ, в большинстве случаев – загрузчика.
3 После его скачивания на компьютере устанавливается компонент Beacon – основной инструмент из набора Cobalt Strike, в результате чего у атакующего появляется возможность удаленного доступа, к уже зараженному компьютеру.
4 Далее у атакующего стоит задача исследовать доступные с зараженного компьютера сегменты сети и установить доступ к контроллеру домена сети, для последующего получения паролей администраторов. Для этого могут быть использованы возможности специальных инструментов, например, Mimikatz.
5 Получив администраторский пароль и доступ к контроллеру домена, преступник ищет в сети интересующие сервера и компьютеры. Прежде всего, те, с которых есть доступ в подсеть, где находятся банкоматы или иные сегменты сети, например в сегмент процессинга платежных карт.
6 Затем на банкоматах подключают программное обеспечение, взаимодействующее, предположительно, через программный интерфейс, и обеспечивающее выдачу денежных средств по удаленной команде.
Получив контроль над банкоматами в процесс вовлекаются соучастники для получения денежных средств, задача которых – обеспечить присутствие около банкоматов в назначенное время. После получения денежных средств, программное обеспечение с банкоматов удаляется.
7 Махинации с использованием платежных карт
Соучастники оформляют на подставных лиц доступ к процессингу платежных карт атакованной организации. После чего лица, получившие денежные средства, снимают их в банкоматах непосредственно после того, как лимиты и карт балансы будут повышены в системе процессинга.
В процессе получения денег соучастниками оператор может при необходимости продолжать поднимать лимиты по снятию или балансы карт.
Таким способом в 2018 году в ПАО Бинбанке было совершено крупное групповое кибермошенничество, которое стало самым крупным в истории Ульяновской области. При помощи сотрудника банка, выступившего организатором, безработный житель г. Ульяновска получил доступ к компьютерной информации банка, незаконно увеличив лимит денежных средств на своей платёжной пластиковой карте, и снял с неё более 25 млн. рублей. После увеличения лимита карты своего приятеля, к делу подключились еще несколько их друзей. Вся группа отправилась в Москву. Там безработным гражданином были обналичены деньги с нескольких банкоматов и тут же потрачены на закупку золота, ювелирных украшений, дорогой одежды и шести иномарок. Перегнав «Ауди», «Вольво» и 4 «Мерседеса»  из Москвы в Ульяновск, они тут же их продали, считая, что таким образом деньги «отмыты». Преступники не учли, что факт покупки и продажи безработным шести иномарок является подозрительным. Также снятие такой крупной суммы с ульяновской карты было замечено московской службой безопасности Бинбанка, и они оперативно обратились к в прокуратуру. Таким образом, факт преступления уже был установлен.
8 Когда доступ к компьютерным средствам сегмента платежной системы Банка или системы переводов SWIFT получен, на заранее подготовленные счета осуществлятся платежи. Далее денежные средства со счетов переводятся и обналичиваются по стандартным для компьютерной преступности схемам. Первым банком, пострадавшим от кибератаки через систему SWIFT с выводом средств в $1 млн., оказался подконтрольный Внешэкономбанку дочерний банк «Глобэкс».
Большое количество атак за последний год отмечалось на юридические лица – банковских клиентов, использующих бухгалтерские системы. Основная характерная особенность атак – автоматическая подмена платежных поручений, на этапе их передачи из бухгалтерской системы в систему дистанционного банковского обслуживания.
В банковской практике некоторые схемы разработать, а тем более реализовать достаточно сложно, без предварительного сговора среди высшего менеджмента банка и доверенного специалиста, предположительно в компьютерной службе.
Наиболее высокий уровень риска легализации (отмывания) доходов у клиентов, использующих технологии электронного банкинга, и иные новейшие технологии без прямого контакта с банком.
Популярна схема киберпреступлений, связанных с легализацией (отмыванием) доходов, полученных преступным путем (рисунок 2)
В банковской сфере при проведении финансовых операций индикаторами подозрительности могут быть следующие факторы и/или их сочетание:
- попытка входа с устройства, имеющего запрещенный или новый IP-адрес;
- попытка использования просроченных первичных или старых ключей после появления новых;

2091690142875РАЗМЕЩЕНИЕ «грязных» денег в финансовой системе с изменением их формы (валюты, номинала, вида счета и т.п.)
00РАЗМЕЩЕНИЕ «грязных» денег в финансовой системе с изменением их формы (валюты, номинала, вида счета и т.п.)
-108585171450«Грязные» деньги от предикатных преступлений
КИБЕРПРЕСТУПЛЕНИЯ

00«Грязные» деньги от предикатных преступлений
КИБЕРПРЕСТУПЛЕНИЯ

432054066675


РАССЛОЕНИЕ Отделение преступных доходов от источника их происхождения (проведение множества финансовых операций между кредитными организациями)
00


РАССЛОЕНИЕ Отделение преступных доходов от источника их происхождения (проведение множества финансовых операций между кредитными организациями)

5387685170192004583430127000
382397013970000148082027305000


558165184784002091690299084
ИНТЕГРАЦИЯ Получение возможности вновь использовать деньги в реальном секторе экономики для приобретения финансовых и материальных активов
00
ИНТЕГРАЦИЯ Получение возможности вновь использовать деньги в реальном секторе экономики для приобретения финансовых и материальных активов

431672936195005225415114300

ФИНАНСИРОВАНИЕ
164274427432000 НОВЫХ
ПРЕСТУПЛЕНИЙ


Рисунок 2 – Схема легализации преступных доходов

- использование в банковских операциях учетных записей пользователей или IP-адресов, в отношении которых мониторингом были выявлены факты причастности к подозрительным/мошенническим операциям;
- сложность операции или необычные условия, например, слишком частые переводы за небольшой период времени, или множество различных источников поступления денежных средств, а также в нетипичное для пользователя время;
- отсутствие информации у пользователя электронного средства платежа о характере деятельности организации, которую он представляет;
- отсутствие сведений о деятельности клиента;
- отсутствие сведений или объяснений о необходимости предоставления той или иной банковской услуги;
- привлечение к осуществлению операций лиц молодого возраста;
- проведение операций с использованием утерянных документов;
- открытие банковского счета для зачисления денежных средств в результате несанкционированного списания, незадолго до проведения таких операций;
- попытки снятия с банковского счета наличных денежных средств в день их зачисления;
- желание клиента получить несколько банковских карт при отсутствии такой необходимости для его деятельности;
- зачисление денежных средств физических лиц на банковские счета с последующим снятием наличных средств в банкомате, в том числе других банков;
- операции клиента не соответствуют его предыдущим операциям, характерным для него;
- использование клиентом новых платежных систем для осуществления денежных переводов;
- осуществление нетипичных трансграничных денежных переводов, не соответствующих масштабу и характеру деятельности клиента