Для кибератаки может быть использован даже холодильник

- Ваше подразделение создано полтора года назад как отдельный департамент: вы определили, какие направления кибербезопасности точно являются вашими?

- Основная наша функция – это обеспечение государственной политики в сфере борьбы с киберпреступностью. Наша компетенция – все преступления, которые совершаются в киберпространстве. И хотя есть определенный перечень направлений работы киберполиции, однако практика показывает, что и общая уголовная преступность уже совершается с использованием элементов киберпреступления. Мы принимали участие в задержании преступников, которые воровали сумочки в машинах, у прохожих (карманные воры), потому что их основная цель была завладеть банковскими картами. Подчеркну: не деньгами, а банковскими картами – для того, чтобы потом использовать их при покупке в интернет-магазинах, легализации украденного.

Вряд ли преступление можно квалифицировать только как общеуголовное, когда вор получает доступ к банковской карте, которую похищали вместе с телефоном, одновременно имея доступ к онлайн-банкингу, когда при этом увеличивают лимиты по кредиту и переводят эти лимиты уже на дроповские (поддельные - авт.) свои карты. Это общекриминальная преступность, но воры заранее осознают, что они будут в дальнейшем использовать похищенное в киберпреступлениях. Поэтому мы выполняем свои функции, а также помогаем другим подразделениям криминальной полиции раскрывать преступления.

- А какая статистика, можете ли вы чем-то похвастаться?

- В прошлом году было более 4 тыс. преступлений, и около 300-400 преступлений мы сопровождаем, помогая другим службам, а уже за этот квартал у нас 1000 преступлений совершено, и 300, которые мы сопровождаем. 1300 только за этот квартал. Идет рост количества преступлений, но и раскрытие идет в каких-то периодах на 70-75 процентов. Киберпреступления, как правило, не очевидны, поэтому они долгие в расследовании. Например, когда мы выявляем людей, которые совершили преступление в прошлом году, основная проблема заключается в том, чтобы установить их местонахождение. Потому что Интернет позволяет анонимизировать себя, скрыть место пребывания, чтобы избежать отслеживания длительное время, потому что серверы, которые используются для анонимизации, находятся в других государствах. Процедура такова, что мы должны через международные правовые поручения пройти весь процессуальный путь для того, чтобы получить эту информацию. Впрочем постепенно у нас улучшается взаимодействие с международными партнерами, и мы можем получать информацию быстрее: но для того, чтобы привлечь человека к уголовной ответственности и осудить, нам все равно приходится проходить весь полностью круг процессуальных действий.

- Вот пришла к вам бабушка, написала заявление о том, что у нее «вытянули» 10 тыс. грн с карточки, дальше что вы делаете?

- Проводим все комплексы немедленных оперативно-розыскных мероприятий, в дальнейшем – в рамках уголовного производства уже осуществляем следственные действия. Если человек обращается на протяжении хотя бы суток к нам, мы на 99 процентов обеспечиваем сохранность похищенных денег, даже советуем это людям, предпринимателям, юридическим лицам, у которых даже похищают с расчетных счетов. Если там на протяжении 4-5 часов нам об этом сообщают, то можем заблокировать движение средств, так как банки имеют определенное время для проверки, для мониторинга, их сохранение.

- Мы знаем три вида банкинг-мошенничества – это фишинг (мошенничество через сайты), вишинг (выманивание реквизитов карточек по телефону) и скимминг (встраивание в банкомат «устройств-воров», которые считывают данные карт). Правильно?

- Это основные, но их множество. Я бы классифицировал основные преступления в ИТ-сфере таким образом: вмешательство в компьютерные сети для получения информации, в частности, персональных данных и их дальнейшая перепродажа на черных форумах-рынках. Далее, финансовая сфера, куда относится мошенничество с банковским картами, и другими финансовыми потоками – то ли это на банковском счете, то ли на банковской карточке, или на других электронных кошельках, это уже не важно. Далее, еще одно направление: создание и распространение незаконного противоправного контента, в том числе детская порнография. Еще одно наше направление – помощь подразделениям наркопреступности выявлять оборот наркотиков в Интернете, или, с помощью уголовного розыска, – это оборот оружия и взрывчатки, а также различного рода объявления, которые касаются заказных тяжких преступлений. И вот четвертое – это помощь криминальной полиции в выявлении общеуголовных преступлений, сюда относится как раз это мошенничество. Среди перечисленных видов преступлений 45-50 процентов преступлений – это именно мошенничество.

- А все же, расскажите подробнее о банковском мошенничестве. Как чаще выводят средства: через социальную инженерию или скимминг?

- Это совершенно разные сферы и совсем разные группы этим занимаются. Скиммеристы занимаются фактически получением информации с банковских карточек, или дампом. Если раньше преступники действовали классически: техническое устройство устанавливалось на банкомат для считывания банковской карточки, то через небольшой промежуток времени они уже настолько усовершенствовались, что «продвинутым» скиммеристам не нужно устанавливать эти технические устройства и фактически подпадать под большие риски задержания прохожими, сотрудниками безопасности банка, полицией. Это все делается уже удаленно, путем вирусования вредоносным программным обеспечением посттерминалов, которые находятся в магазинах, и копированием дампов этих карточек. То есть, настолько уже продвинулись. Это и преступники-новички, которые не имеют большого опыта преступного, но хотят начать свой преступный бизнес – на рынках, на форумах покупают техническое устройство скиммер.

- 73 скиммера было в прошлом году выявлено на банкоматах – по данным банковской ассоциации.

- Это лишь то, что они выявляют.

- А само устройство – что-то очень модное, или его просто на ближайшем базаре на Куреневке можно купить?

- Нет, это заказывается на специальных форумах, на обычных базарах могут комплектующие купить, но необходимо все это скомпоновать, и самое главное – замаскировать под тот или иной вид банкомата и под тот или иной банк, потому что каждый банкомат каждого банка имеет свою отдельную раскраску, имеет свои отдельные индивидуальные признаки.

- А эта подпольная экономика, она в Украине тоже существует? Эти подпольные форумы, где делаются скиммеры, у нас работают?

- Мы установили на территории Украины почти полный цикл сбора и изготовления скиммеров, и уже первая часть операции прошла. Мы задержали группу скиммеристов (возможно, слышали – во Львове как раз два киевских скиммериста?), это была одна из тех групп, которые использовали как раз отечественную сборку скиммеров. А в основном они покупаются в Интернете на азиатском рынке, комплектующие приходят из разных каналов для того, чтобы их не остановили на границе, здесь проводится уже окончательная сборка и их использование.

Возвращаясь к вашему вопросу о других формах мошенничества. Фишинг – это программный комплекс, он относится ко многим преступлениям. Его можно использовать по-разному. Например, создается сайт, подобный брендовым раскрученным ресурсам, просто под другим доменом-именем, но с тем же контентом для получения финансовых данных, информации, а также распространения вредоносного программного обеспечения. Фишинг – это рассылка информации от имени банка. Фишинг – это просто такое условное слово, которое позволяет идентифицировать подмену оригинальных ресурсов на поддельные для получения любой информации – от финансовой до личной, а также для заражения техники тем или иным вредоносным программным обеспечением.

- В банковской ассоциации прочитала про банкинг-мошенничество: они пишут (я перевела в данные по единому курсу) о том, что в прошлом году было украдено 12,5 миллиона долларов у банков. Вы подтверждаете эту информацию?

- У нас немного разнятся суммы в связи с тем, что мы фактически лишь плюсуем и вносим статистику в те суммы, о которых пишут пострадавшие, которые к нам обратились. Но в большинстве случаев пострадавшие к нам не обращаются, поскольку им на начальном этапе деньги возмещает банк, и банк не всегда в дальнейшем к нам обращается, поскольку они покрываются страховками тех или иных вкладов. Мы не подтверждаем, мы можем сказать, что заявленные суммы реальные – более того, это минимальные суммы убытков. Однако мы вынуждены констатировать официальную статистику, которая есть по уголовным процессам, она значительно ниже, но она тоже высокая, если связана с другими общеуголовными преступлениями. Банковская ассоциация владеет тоже не всей информацией. Она обнародует информацию украинских банков, а если принять к сведению то, что киберпреступники в основном охотятся на финансовую информацию и финансовые данные иностранных государств (США, стран Европы и Канады), то если учесть их сумму убытков, то они будут очень большие и в десятки раз будут отличаться от тех сумм, которые предоставляет полиция или банковская, та или иная ассоциация.

- На вашем сайте есть сведения, что вы противодействуете вредному программному обеспечению, которое «запирает, блокирует компьютер». Пишете, что присоединились к международной инициативе, призываете не выкупать свои данные и предлагаете обращаться – мол, ваши специалисты разблокируют компьютер?

- Немножко не так. На базе Европола был создан ресурс, который с 4 апреля, насколько я знаю, уже украинизирован и дает вам возможность попробовать бесплатно получить дешифровальное программное обеспечение и самому разблокировать компьютер, заблокированный преступниками. То есть вы не платите, или не идете на какие-то уступки преступнику, который требует от вас это сделать. Вы сами его дешифровываете. И это очень здоровая инициатива: правоохранительные органы, коммерческие компании различных государств, которые между собой сотрудничают, тратят свои усилия на создание именно таких дешифровальных программ, и выкладывают их бесплатно. Это фактически площадка для белых хакеров, которые помогают гражданам любого государства и не дают поощрять создателей этого вредоносного ПО, платя им выкуп. Этот ресурс даже позволяет не только расшифровать уже заблокированный компьютер, а и проверить свой компьютер – не содержит ли он вредоносное программное обеспечение.

- А в Украине уже кто-то им воспользовался или нет?

- Мы не ведем такой статистики, и не так давно запустили эту услугу, чтобы официально запросить такую статистику. Я думаю, на конец полугодия мы обязательно будем иметь такие данные. Я вам лишь могу подтвердить, что за период только в этом году к нам обращались более 300 граждан с такими проблемами.

- Что заперли компьютер?

- Да, что у них заблокирован компьютер, и у них требуют деньги. На некоторых этапах наши работники предоставляли консультации и помощь, разблокировали его. А также сообщали о том, что существует такой ресурс, где вы можете разблокировать. Потому что наши сотрудники сами используют данные с этого ресурса для того, чтобы разблокировать и обнаружить. И я думаю, что если трем сотням людей мы это рассказали, то народное или, как говорят, сарафанное радио донесет до других.

- Растут темпы такой компьютерной преступности, киберпреступности?

- Конечно. По нашим данным, людей, пострадавших от ransomware (так официально называется вредоносное программное обеспечение, которое требует выкуп) – в десятки раз больше. Потому что к нам обращаются те люди, которые боялись или боятся потерять ту информацию, которая у них хранится на компьютере. В большинстве случаев, если на компьютере отсутствует информация, которая представляет какой-то интерес, то они не будут обращаться. Они просто осуществляют переустановку операционной системы и дальше пользуются.

- Вопрос о суицидальных группах подростков. О «синих китах». Я слежу за этой темой с того времени, когда она началась в России. Украина принимает меры относительно этого, все школы проводят собрания, мы под запись отчитываемся – осмотрели ли руки-ноги детей. Но у меня впечатление, что публично скрывается эта проблема.

- Нет.

- Сколько у нас было жертв «синих китов»?

- Относительно жертв, которые являются следствием деятельности таких ресурсов в социальных сетях, в этом году у нас зафиксирован только один факт.

- Я видела сюжеты по телевидению о четырех попытках в Украине.

- Нет, я вам официально заявляю. Был один случай – это когда девочка выпрыгнула с девятого этажа в городе Славутич. Она выжила, слава Богу. Она отказывается давать показания, что это «синие киты», но анализ ее девайсов, аккаунтов, а у нее было аж шесть создано, подтверждает это. Определимся с терминологией. «Синие киты» – это название обобщенное, чтобы вы поняли – это все эти социальные ресурсы в соцсетях, которые имеют суицидальный характер. К одной из таких она принадлежала и играла в такие игры, что привело к тому, что она прыгнула с крыши девятиэтажного здания. А предупреждений таких преступлений у нас, ну, не четыре – гораздо больше. У нас каждый день их происходит от одного до двух.

Но не все так однозначно. Дети порой не имеют намерения совершить в отношении себя серьезное телесное повреждение или совершить суицид. Они, угрожая этим маме или близким, хотят просто привлечь внимание – для того, чтобы добиться того, что они хотят. И вот так происходит. Часто мы приезжаем и начинаем осматривать технику, ребенок ничего такого не имеет. Но иногда, зная эту информацию из СМИ, зная как надо себя повести, делает пару надрезов и затем появляется на людях. Однако с момента, когда это все началось, мы смогли предупредить действительно более двадцати случаев, когда подростки собирались совершить такое самоубийство. Это дети от 14 до 16 лет, основная масса, и это девочки.

- Сейчас говорят, что вошла в моду другая суицидальная игра «Беги или умри»: то есть детей провоцируют перебегать перед машиной. Я слышала, что 365 детей получили травмы из-за того, что они играли в эту группу, перебегая улицу перед машиной.

- Когда я говорю о суицидальных группах, я обобщаю все группы, которые заманивают к себе, каждый раз под каким-то другим рекламным трюком.

Относительно 365 детей – это не так. Был доклад превентивной службы о ДТП с участием детей. Это общая цифра на то состояние. Говорить, что они были все участниками этой игры, нельзя. Это просто была объявлена цифра детей, которые попали за тот период в ДТП. Тогда была волна интереса к суицидальным группам в социальных сетях, и пресса так восприняла тот факт.

- Говорили, что появилась еще одна разновидность группы, когда детей призывают превратиться в огненную фею, открыть комфорки.

- Еще раз объясню: все группы были одновременно созданы, фактически появились в одно время, как и «синие киты». Просто самим названием «синие киты» охватили все суицидальные группы. Там любые есть – соблюдение определенных ролей тех или иных героев фильмов, мультсериалов, их настолько много... Это от больной фантазии тех администраторов создают такие группы.

- Вы знаете, я когда исследовала это в России, там некоторые аналитики считали, что эти администраторы: Ева Райх, Филипп Лис, Мирон Сетх, когда их обнаружили, побежали и покаялись российской разведке, российским спецслужбам, и им вроде бы разрешили существовать. У нас была такая идея, что ФСБ вроде взяла их под защиту.

- Понимаете, данное утверждение имеет право на жизнь. Почему? Потому что значительное большинство уже настоящих администраторов, которых мы выявляем, они действительно администрируются с территории Российской Федерации. Но считать 100-процентно, что это целенаправленная спецоперация российских спецслужб, не могу, ее следует исследовать; нам тоже достоверно известно, что для правоохранительных органов Российской Федерации это очень большая проблема. Там созданы целые специальные подразделения именно по борьбе с этим злом в социальных сетях. И взаимодействия у нас с Российской Федерацией нет. Мы не можем поддержать связь из-за событий, которые происходят на востоке нашего государства. У нас проблема остается, что мы не можем привлечь к уголовной ответственности как раз настоящих администраторов, которые сейчас находятся на территории Российской Федерации. Но, всех администраторов, которые находятся на территории Украины, которые находятся на территории других государств – наших партнеров, мы их выявляем.

- А уже кого-то нашли?

- Мы очень много уже провели обысков.

- А кого-то арестовали?

- Пока мы не осуществляем арестов в связи с тем, что статья предусматривает доведение до самоубийства. А даже покушение на самоубийство фактически не доказано. Ну, мы только доказали, что есть администрации, которые якобы ведут такие суицидальные группы. Украинских администраторов мы повыявляли, нескольких мы ведем, планируем некоторых задерживать, потому что они повлекли за собой очень тяжелые последствия. Но, вы понимаете, не все дети идут до конца и готовы действовать по правилам, которые им диктуют. Большинство детей, попадающих под влияние, – это дети с суицидальными наклонностями. Если бы не эта группа, а другие какие-то обстоятельства, которые побуждали бы к самоубийству, они бы также подверглись воздействию. Это дети из проблемных, неполных семей, психически больные дети. К счастью, у нас нет таких случаев, хотя когда случаются попытки самоубийства, совершенные детьми, мы включаемся – для того, чтобы проверить сейчас, не было ли влияния как раз социальных сетей на решение ребенка. Поэтому, по любой попытке самоубийства несовершеннолетнего ребенка мы выезжаем и проводим комплекс всех мероприятий по проверке наличия таких негативных оснований, которые могли бы служить для совершения самоубийства, применением социальных сетей.

- Скажите, на одной конференции я слышала, что сейчас умные устройства атакуют друг друга: например, интернет-холодильник или интернет-пылесос могут атаковать онлайн-банкинг. Так, один из украинских телеканалов атаковал смарт-телевизор, слышали о таком?

- Любое устройство, которое будет наделено цифровым интеллектом, имеет свое программное обеспечение, может быть использовано для любых преступных атак. Это называется взять его под контроль с помощью вредоносных программ обеспечения, создать такую бот-сеть и на собственное усмотрение пользователя этой бот-сети осуществлять любые атаки. Но, не все могут делать устройства. Холодильник – частично может использоваться, например, для анонимизации. Но в связи с тем, что у смарт-устройств ограниченный ресурс, то злоумышленники могут его использовать на минимальном уровне. Но любое устройство, которое, я еще раз говорю, имеет в себе возможность использовать программное обеспечение, может быть использовано для любых противоправных целей.

- Скажите, какую структуру в киберпреступности занимает детская порнография?

- Это один из элементов, этим занимается отдел по борьбе с противоправным контентом. Подобный контент здесь и распространяется, и производится.

- В Украине?

- Да. У нас даже такие факты происходят, когда мамы сами фактически в режиме онлайн оказывали такие услуги детской порнографии для иностранных туристов. И на сайте у нас опубликовывали такие факты, где мы выявляли мам, которые сами предоставляли такие онлайн-порноуслуги, в частности, несовершеннолетнего ребенка там – 4-5 лет заставляли показывать свои половые органы дядям, извращенным на подобном.

- Какая самая острая проблема киберпреступности в Украине?

- Давайте, я скажу в целом. Это то, что вы сами сказали – это фактически отсутствие такой цифровой грамотности. Вы понимаете, почему в школах сейчас начинают учить детей элементарным, хотя бы азам, хотя скажу, что не совсем тем, что нужны, фактически, но начинают учить. Раньше наше поколение, старшее, никто этому не учил, и поэтому, занимая определенные должности в государстве, на государственных предприятиях, где используется, будем уже говорить, современная компьютерная техника, а люди элементарно не владеют техникой безопасности в киберпространстве. Поэтому – это самая первая, самая важная вот такая наша угроза. Потому что, зная элементарные основы такой кибербезопасности, поверьте мне, мы не подвергались бы такой интернет - и киберугрозе, которой сейчас подвергаемся. Те наши граждане, которые в данном направлении работают, являются одними из ведущих в мире. Но их очень мало. У нас много разработчиков программного обеспечения, специалистов в кибербезопасности, белых хакеров и так далее. Фактически украинцев с таким потенциалом очень много! Их приглашают за границу, их переманивают из Украины зарубежные специалисты, и им предлагают очень большие заработные платы. Основными разработчиками таких популярных программ тоже являются украинцы, которые в Украине их разрабатывают для иностранных компаний.

- У вас персонал (личный состав, как правильно) англоязычный, работает?

- В основном да, основное требование. Межличностное и межведомственное сотрудничество много значат, киберпространство очень большое, у нас постоянный обмен информацией.

- А вы в подпольном вебе наблюдаете за процессом?

- Конечно, если бы мы там не осуществляли бы мониторинг, мы очень многого не знали бы. Это работа всех киберполицейских во всем мире – контроль черного Интернета. Потому что фактически там происходят переписка, договоренности киберпреступников.

- Скажите, я вот смотрела фильм «Хакер». Так там вот как все происходило: крадется карточка, из нее берутся данные, наносимые на другой пластик, потом за эти карты что-то дорогое покупается в магазине... Вы не смотрели этот фильм?

- Смотрел. Там все воспроизведено достоверно, просто оно более экранизировано, более упрощенно, но сама сущность тех преступлений – она такая и есть.

- И что – люди покупают, даже фальшивой или украденной карточкой, дорогие брендовые вещи?

- В Украине, например, это преступление не такой распространенное, потому что у нас не так развиты интернет-магазины. У нас, в связи с такой большой мошеннической атакой преступников, есть определенные ограничения по переводу интернет-банковских средств. Банки следят тоже за всеми. У нас не принято покупать дорогие вещи в интернет-магазинах. Из-за этого в Украине, слава Богу, такое направление преступности не очень распространено. Но в мире они возможны, они совершаются. Поэтому основная такая работа киберпреступников, в том числе из числа граждан Украины, нацелена именно на получение банковской информации, банковских карт американцев, европейцев. Они используют их потом для покупки. Понимаете, вопрос же в том, что когда он покупает этот товар, ему этот товар не нужен, это просто способ легализовать эти средства. Он этот товар на одном ресурсе купил за украденные средства, а на другом он его продал и легализовал свои средства. Немного дешевле, но прибыльно.

- А у нас просто тупо воруют?

- У нас – да. У нас воруют дампы. Это данные, находящиеся на магнитной ленте, или в чипе, наносят их на белый пластик. В магазинах в Украине или в другом государстве их легализируют, покупая тот или иной товар, или через банкомат, снимая наличные.

- И у нас делают эти карты?

- Ну конечно! У нас этим всегда занимались наши ребята и особенно иностранные студенты, которые сюда приезжают.

- Это в Одессе?

- Не только в Одессе, в Виннице у нас есть вузы, потом в Харькове, где учатся иностранные студенты. Когда приходит украинец и верифицирует в магазине карточкой другого государства, то на него обращают внимание. Ну когда приходит иностранец с иностранной банковской карточкой, то не подлежит сомнению, что это его, он не является подозрительным лицом. Поэтому наши киберпреступники и используют данные граждан – там определенный процент, потому что они тоже студенты, чтобы они помогали им.

- Воруют, в основном, у банков или персонально у кого-то?

- У любого. Если есть доступ к банковскому счету любого субъекта, физического лица или какой-то юридической компании, есть доступ – крадут. Дело в соблюдении пользователями определенных правил удаленного интернет-банкинга. Потому что у 80 процентов преступлений, связанных с удаленным похищением средств со счетов, «успех» кражи связан с халатным отношением, с неправильным использованием как раз онлайн-банкинга, компьютера, с помощью которого осуществляется управление счетами дистанционно. Ключ хранится на рабочем столе, компьютер используется в общей сети Интернет: лучше, чтобы он был подключен только к ограниченным IP-адресам того банка, другие не смогут подойти. А когда он использует его для просмотра общеизвестных любых ресурсов в общем доступе сети Интернет, он открывает все общие порты, которые позволяют установить вредоносное программное обеспечение и использовать ключи доступа к вашему же счету, и при этом же используя ваш компьютер удаленно.

- Есть что-то, чем вы гордитесь, как руководитель Киберполиции?

- У нас где-то 1 раз в месяц бывают международные операции, в Тайланде задерживаем наших граждан еще чаще. Одну группу задержали за кардерство и скиммерство, а вторую группу – за легализацию украденного скиммерами с европейских и американских средств. Киберполицейские во всем мире фактически уже так негласно объединились и работают в режиме онлайн. Потому что преступления, как раз киберпреступления, и совершаются в режиме онлайн – с одной точки мира атакуют другую и, если мы не работали бы так синхронно и так слаженно, то было бы очень долго. И мы тесно сотрудничаем.

- А я слышала, что во время международных задержаний вам просто международные партнеры указывают, с какой точки взять и куда переместить конкретного преступника.

- Нет. Киберпреступник, если он живет в Украине, не работает по Украине: серверы, через которые он осуществляет административное управление с вредоносным программным обеспечением и бот-сетями, ресурсы, через которые он отмывает деньги и электронные кошельки, также находится в других государствах. Поэтому, когда я говорю о международных операциях, – это ситуация, когда мы привлекаем те государства для обезвреживания тех групп и получения тех информаций. Мы собираемся, обсуждаем. Наши киберпреступники атакуют другие страны, и мы часто являемся площадкой, откуда это делается. Процесс идет длительный, а вот прекратить, выявить преступника и предотвратить – это уже мы с каждым годом делаем все быстрее, быстрее и быстрее. Так что у нас, если мы на этапе создания сотрудничали с невысоким количеством зарубежных партнеров, то сегодня оно уже достигает более сотни. Но скажу одно, что киберпространство – это цифровое пространство, поэтому любая деятельность в нем фиксируется. Поэтому нет такого, что он считает, что он использовал определенные анонимизаторы для сокрытия своей личности, что к нему не придут. Рано или поздно придут.