CC BY
47
УДК 343.9
DOI: 10.24411/2587-9820-2020-10059 Поддубный Илья Васильевич,
адъюнкт Орловского юридического института МВД России имени В. В. Лукьянова
К ВОПРОСУ
ОБ ИСПОЛЬЗОВАНИИ ЗЛОУМЫШЛЕННИКАМИ ПРОГРАММ УДАЛЕННОГО ДОСТУПА И ВРЕДОНОСНОГО ПО КАК СРЕДСТВ СОВЕРШЕНИЯ ХИЩЕНИЙ С БАНКОВСКИХ КАРТ ГРАЖДАН
Аннотация. В статье определяется актуальность преступлений в современной России, в частности хищений с банковских счетов граждан, совершаемых с использованием программ удаленного доступа и вредоносного ПО. Анализируется и дается краткая характеристика основным приемам и методам, используемым преступниками для заражения устройства «жертвы» или установки программ удаленного доступа. Автором также дается определение термина «социальная инженерия» и описывается применение данного метода в преступной деятельности. Приводятся научные точки зрения по вопросам, связанным с хищениями посредствам вирусов и троянских программ. Автором дается краткая характеристика основным возможностям современных вирусов и программ удаленного доступа. Также уделяется внимание использованию такого метода, как «фишинг», являющегося довольно распространённым инструментом, применяемым злоумышленниами при заражении устройства «жертвы». Отдельно подчеркивается необходимость тесного взаимодействия правоохранительных органов со службами безопасности финансово кредитных учреждений, а также компаниями, занимающимися разработками в области кибербезопасности.
Ключевые слова: сеть Интернет, банковский счет, хищение, программа удаленного доступа, вирус, троянская программа, фишинг, социальная инженерия, информационные технологии.
Poddubny Ilya Vasilyevich,
Associate Oryol law Institute of the MIA the Russia named after V. V. Lukyanov
THE USE OF REMOTE ACCESS SERVER AND MALWARE AS MEANS OF THEFT FROM BANK CARDS
OF CITIZENS
Abstract. The article determines the relevance of crimes in modern Russia, in particular theft from citizens' bank accounts committed using remote access pro-
grams and malware. The basic techniques and methods used by criminals to infect a "victim" device or install remote access programs are analyzed and briefly described. The author also defines the term "social engineering" and describes the application of this method in criminal activity. Scientific points of view on issues related to theft through viruses and trojans are given. The author gives a brief description of the main features of modern viruses and remote access programs. Attention is also paid to the use of such a method as phishing, which is a fairly common tool used by cybercriminals to infect a victim's device. The need for close cooperation between law enforcement agencies and security services of financially credit institutions, as well as companies involved in cyber security development, is emphasized separately.
Keywords: Internet, bank account, theft, remote access program, virus, trojan, phishing, social engineering, information technology.
В настоящее время сеть Интернет для жизни современных граждан играет важную, чуть ли не ключевую роль. Благодаря глобальной сети люди по всему миру имеют возможность беспрепятственно общаться, получать образование, совершать покупки одежды, бытовой техники и пищи, не выходя из дома. Как справедливо отмечают С. Я. Казанцев и О. Э. Згадзай, Интернет сегодня все больше трансформируется в глобальную социальную сеть, где каждый может быть не только потребителем информации, но и её поставщиком. Интернет превращается в некую альтернативу привычной жизнедеятельности общества, вбирая в себя весь её социально-экономический груз. Он стал областью быстро разрастающегося электронного бизнеса, сферой купли-продажи товаров и услуг, международной рыночной площадкой, в пределах которой вращаются колоссальные деньги. А где деньги, как известно, там и мошенники. Причем мошенники новой генерации — компьютерной: технически грамотные, хорошо оснащенные, хитроумные и зачастую недосягаемые для правоохранительных органов [1].
На одном из совещаний министр внутренних дел Российской Федерации В. А. Колокольцев подчеркнул, что рост киберпреступности закономерен в связи с активным распространением информационных технологий. Количество преступлений, совершаемых в киберпространстве, растет пропорционально числу пользователей компьютерных сетей. По оценкам Интерпола, темпы роста преступности с использованием Интернета являются самыми быстрыми на планете1.
В данном случае уместно указать на мнение В. Ф. Васюкова и А. Н. Колычевой, которые справедливо отмечают, что развитие компьютерных технологий и их совершенствование позволило им проникнуть практически во все виды человеческой деятельности, что, в свою очередь, при-
1 В Иркутске Владимир Колокольцев провел заседание объединенной коллегии министерств внутренних дел Союзного государства России и Белоруссии [Электронный ресурс]. — URL: https://xn--b1aew.xn--p1ai/document/1053381 (дата обращения 26.02.2020).
100
вело к росту преступлений, совершённых с использованием компьютерной информации [2].
Согласно статистике, в 2018 г. мошенники украли с карт россиян 1,3 млрд руб. — на 44 % больше, чем годом ранее. Об этом говорится в отчете центра мониторинга и противодействия компьютерным атакам Fincert — структуры Банка России1.
Также стоит отметить, что 26.02.2020 на проходившем заседании коллегии МВД России министр внутренних дел Российской Федерации В. А. Колокольцев обратил внимание, что в ряде служб центрального аппарата Министерства и на местах созданы специализированные подразделения по борьбе с киберпреступностью. Теперь это направление является профильным более чем для 3 тыс. 200 сотрудников .
В настоящее время международные компании, специализирующиеся на предотвращении кибератак, стали сообщать о новом всплеске мошенничества, направленного на пользователей приложений для мобильного банкинга.
В течение полугода ежемесячно системой Secure Bank в среднем фиксируется более 1 тыс. попыток вывода денежных средств со счетов физических лиц с помощью схемы, в которой используются программы для удаленного доступа. Среднемесячная сумма ущерба по данному типу мошенничества для крупного банка может составлять от 6 до 10 млн руб.3.
Наибольшее распространение у мошенников получила легальная программа для делегирования доступа TeamViewer, которая позволяет подключиться постороннему лицу к смартфону. Сами по себе приложения с удаленным доступом (например, TeamViewer) не являются вредоносными. С ними часто работают службы технической поддержки, когда, например, у сотрудника сломался рабочий компьютер.
Рассмотрим наиболее распространенные методы получения доступа к мобильному банку жертвы с помощью TeamViewer:
1. Преступник, представившись сотрудником службы безопасности банка, сообщает жертве по телефону или СМС о фиксации подозрительной операции или попытки входа в личный кабинет третьим лицом. Рассмотрим примерный алгоритм данного метода: на телефон «жертвы» отправляется ложное СМС якобы от банка о списании средств. Через некоторое время звонит злоумышленник, представляется сотрудником банка и сообщает о том, что системой безопасности была зафиксирована попытка списания денежных средств, при этом уточняя, получал ли гражданин СМС от банка. Жертва подтверждает получение сообщения, и мошенник тут же лжёт, что на его смартфоне обнаружена вредоносная активность, а для того, чтобы её удалить,
1 Потери россиян от карточных мошенников выросли почти в полтора раза [Электронный ресурс]. — URL: https://www.vedomosti.ru (дата обращения: 12.02.2020).
2 Заседание коллегии МВД России [Электронный ресурс]. — URL: http://krem-lin.ru/events/president/news/62860 (дата обращения 26.02.2020).
3 Удаленка по собственному желанию [Электронный ресурс]. — URL: https://www.group-ib.ru/blog/teamviewerfraud (дата обращения 26.02.2020).
101
нужно установить программу удаленного доступа, которой, в частности, чаще всего будет являться TeamViewer.
2. Злоумышленник сообщает, что службе безопасности банка, в целях предотвращения взлома мобильного банка гражданина, необходимо решить некоторую техническую проблему. Для этого жертве необходимо установить на свое устройство специальную программу, с помощью которой сотрудник безопасности сможет обезопасить пользователя и оставить в сохранности его денежные средства.
Как в первом, так и во втором случае жертва устанавливает на свой телефон программу удаленного доступа, посредствам которой злоумышленник может действовать от имени пользователя и, получив доступ к приложению мобильного банка, осуществить вывод денежных средств с банковского счета «жертвы».
Стоит отметить, что мошенники чаще всего являются опытными психологами и успешно ведут диалог с «жертвой», тем самым убеждая их в совершении конкретного действия, в частности установки программы удаленного доступа. В данном случае мы наблюдаем применение навыков социальной инженерии. Социальная инженерия — метод получения необходимого доступа к информации, основанный на особенностях психологии лю-дей;1 злонамеренное введение в заблуждение путем обмана или злоупотребления доверием.
Целью злоумышленников в ходе телефонного звонка является установление доверительных отношений с «жертвой» за короткое время. Зачастую преступники используют ГР-телефонию, возможности которой позволяют мошенникам подменять собственный номер телефона на номер, схожий с телефоном банка. Также для установления доверия злоумышленники в ходе телефонного разговора могут сообщить «жертве» историю его транзакций, информацию о его личности, месте жительства и регистрации и т. д. (базы с такой информацией продаются на форумах и магазинах «Даркнета»).
В настоящее время имеющаяся многоуровневая антифрод-система банков (система автоматизированного выявления мошеннических действий) пытается успешно противодействовать таким атакам, но сложность обнаружения мошеннических действий состоит в том, что «жертва» сама соглашается установить программу удаленного доступа на свой смартфон, после чего отличить его действия от действий преступника, выдающего себя за реального сотрудника банка, достаточно сложно.
Универсальный способ защиты от телефонных мошенников, убеждающих клиента установить программу удаленного доступа, сообщить одноразовый пароль или просто что-то выведать, — при любом звонке из банка положить трубку и перезвонить самостоятельно по банковскому телефону, указанному на карте.
1 Социальная инженерия — как не стать жертвой [Электронный ресурс]. — URL: https://efsol.ru/articles/social-engineering.html (дата обращения 26.02.2020).
Также стоит отметить, что по сегодняшний день не теряют своей актуальности хищения, посредствам заражения ПК или смартфона «жертвы» вредоносным ПО. Такое заражение может быть направлено как на получение личных логинов и паролей пользователя, так и на получение непосредственного доступа к банковскому счету «жертвы». В данном случае нельзя не согласиться с мнением А. Н. Визгунова, который указывает, что троянские программы позволяют злоумышленнику получить пароли доступа, вводимые с клавиатуры [3].
Как справедливо утверждает Е. А. Ягупова, хищение данных с помощью вирусов (троянских программ) — весьма опасный вид технически совершённого мошенничества, когда смартфон или компьютер «заражается» вирусной программой. Это настолько умный «цифровой вредитель», что может не только испортить данные на компьютере держателя карты или «утащить» ценную информацию, но и действовать от имени хозяина телефона [4].
Зачастую троянские программы устанавливаются в наиболее популярные игровые приложения, пользующиеся наибольшей популярностью у пользователей и в связи с чем являющиеся наиболее скачиваемыми. Работа троянских программ и вирусов в основном запрограммирована в двух направлениях: копирование официального сайта банка и его дублирование, или же считывание кодов набора пользователя данных о логине и пароле с официального сайта банка. Также стоит отметить, что одновременно с совершенствованием антивирусных систем происходит и создание новых троянских программ и вирусов, адаптированных для работы «в новых условиях».
Также одним из распространенных способов «заражения» можно выделить так называемый фишинг, который подразумевает рассылку в СМС или на электронную почту сообщений, идентичных сообщениям от банка. Рассылки в основном осуществляются посредством «спуфинга», который представляет собой изменение адреса отправителя, который отображается у получателя письма. В письме будет содержаться ссылка, перейдя по которой, пользователь «заразит» свой телефон. Перейти по этой ссылке «жертве» предлагается под разными предлогами.
Ярким примером может послужить массовая рассылка в некоторых префектурах Японии электронных писем от имени центров общественного здравоохранения. Данные письма были замаскированы под официальные уведомления, имеющие определенный файл, содержащий подробную информацию о профилактических мерах против коронавирусной инфекции. Сильные опасения относительно новой инфекции побуждали людей открыть файлы из рассылки. В реальности же внутри лежал стиллер (от анг. Tosteel, воровать) — определенный класс троянов (вирусов), функции которых позволяют полностью похищать сохраненные в системе пароли и отправлять их злоумышленнику, вследствие чего преступник получал всю необходимую информацию для последующего хищения денежных средств.
Проводя анализ данной преступности, можно сделать вывод о том, что пользователи операционной системы Android и Windows меньше защищены, чем люди, использующие устройства на операционной системе MacOS и iOS.
Эксперты объясняют: дело не в том, что операционная система Apple сильнее защищена. Вирусы существуют и для них. В частности, они нацелены на устройства с джейлбрейком (jailbreak), где отключены встроенные средства защиты и используются права администратора. Но поскольку доля продуктов MacOS и iOS на мировом рынке ниже, чем у Windows и Android, то хакерам выгоднее разрабатывать вредоносное ПО массовые поражения именно для последних. Для понимания масштаба проблемы: операционная система Android установлена на семи из десяти смартфонов в России.
Одним из примеров может служить опасный троян, разработанный для мобильных устройств на базе Android, атаковавший клиентов международных банков, пользователей мобильных криптокошельков и крупных ресурсов электронной коммерции. «Вредонос» получил имя Gustuff Исходя из анализа Group-IB, вредоносную программу Gustuff писали профессионалы — троян учитывает все современные реалии и обладает богатым набором возможностей. Например, полностью автоматизированные функции позволяют ему выводить фидуциарные деньги и криптовалюту со счетов пользователей.
По словам специалистов, Group-IB, Gustuff распространяется стандартным способом, который уже давно применяется злоумышленниками для заражения Android-устройств, — через СМС-сообщения, содержащие ссылки на загрузку вредоносного файла APK. Троян также отметился одной из уникальных функций — в Group-IB её назвали «автозаливом» в легитимные мобильные банковские приложения и криптокошельки. Именно реализация такой возможности позволяет Gustuff ускорить и масштабировать кражу денег. Для «автозалива» вредоносная программа использует сервис операционной системы Android, известный как Accessibility Service (его и ранее использовали различные вредоносы). В частности, этот сервис для людей с ограниченными возможностями используется для симуляции действий пользователя. Другими словами, троян может нажимать на любые кнопки, а также менять значения текстовых полей в банковских приложениях — всё зависит от того, что ему прикажет оператор. Более того, у Gustuff были обнаружены возможности отображения фейковых PUSH-уведомлений с иконками легитимных мобильных приложений. При нажатии на такие окна пользователь попадает на фишинговые страницы, которые имитируют легитимные ресурсы кредитных организаций1.
Подводя итог вышеизложенному, необходимо отметить, что «кибер-мошенники» с каждым днем становятся умнее и хитрее, постоянно совершенствуют методику хищений с банковских счетов граждан, систематически
1 Новый Android-троян Gustuff опустошает счета и выводит криптовалюту [Электронный ресурс]. — URL: https://www.anti-malware.ru/news/2019-03-28-1447/29277 (дата обращения 18.02.2020).
внедряют все новые технические решения, способствующие осуществлению своей преступной деятельности. Безусловно, финансово кредитные учреждения стараются максимально обезопасить своих клиентов, развивая и улучшая технологии защиты, что, однако, не может абсолютно гарантировать безопасность пользователей. В связи с этим сегодня перед правоохранительными органами стоит важная задача по противодействию таким противоправным действиям, которое будет невозможно без систематической разработки и внедрения новых тактических приемов и методов борьбы с данным видом преступной деятельности, повышением уровня специальных знаний в области компьютерных технологий, а также тесного взаимодействия со службами безопасности финансово кредитных учреждений и компаниями, занимающимися разработками в области кибербезопасности. Как справедливо отмечают В. Ф. Васюков и А. Н. Колычева, раскрытие и расследование преступлений, связанных с использованием ресурсов сети Интернет, в большинстве случаев сопряжено со специальными знаниями в сфере сетевых технологий и компьютерной информации [5]. Клиентам же банков, в свою очередь, необходимо повышать свою информационную грамотность и соблюдать правила безопасного использования банковской картой.
БИБЛИОГРАФИЧЕСКИЕ ССЫЛКИ
1. Казанцев С. Я., Згадзай О. Э. Экономическая преступность в it-сфере. Новые угрозы и необходимые ответы [Электронный ресурс]. — URL: https://cyberleninka.ru (дата обращения: 26.02.2020).
2. Колычева А. Н., Васюков В. Ф. Отдельные аспекты судебной компьютерной экспертизы, назначаемой при расследовании преступлений, совершенных с использованием сети Интернет / А. Н. Колычева, В. Ф. Васюков. [Электронный ресурс]. — URL: https://elibrary.ru/item.asp?id=41446135 (дата обращения 12.02.2020).
3. Визгунов А. Н. Уровень защищенности от несанкционированного доступа как ключевой показатель качества системы дистанционного банковского обслуживания / А. Н. Визгунов // Бизнес-информатика. — №2(12). — С. 38.
4. Ягупов Е. А. Палий М. В. Мошенничество с банковскими картами и методы их противодействия в России / Е. А. Ягупов, М. В. Палий // Символ науки. — 2017. — № 01-1/2. — С. 86
5. Колычева А. Н., Васюков В. Ф. Отдельные аспекты судебной компьютерной экспертизы, назначаемой при расследовании преступлений, совершенных с использованием сети интернет / А. Н. Колычева, В. Ф. Васюков [Электронный ресурс]. — URL: https://elibrary.ru/item.asp?id=41446135 (дата обращения 12.02.2020).
