CC BY
106
© В.Г. Любан, 2018 УДК 343 ББК 67.52
ПРОБЛЕМНЫЕ АСПЕКТЫ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ И ДЕЯТЕЛЬНОСТИ ОПЕРАТОРОВ СОТОВОЙ СВЯЗИ В БОРЬБЕ С ПРЕСТУПЛЕНИЯМИ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Владислав Григорьевич Любан,
старший преподаватель кафедры оперативно-разыскной деятельности и специальной техники Московского университета МВД России имени В.Я. Кикотя, кандидат юридических наук
E-mail: lvg17@mail.ru
Научная специальность 12.00.12 — криминалистика; судебно-экспертная деятельность; оперативно-розыскная деятельность Citation-индекс в электронной библиотеке НИИОН
Аннотация. Исследуются проблемные аспекты банковской деятельности и деятельности операторов сотовой связи, которые способствуют совершению преступлений в сфере информационных технологий, активно используются преступниками и на которые органы внутренних могут и должны оказывать профилактическое воздействие.
Ключевые слова: преступления в сфере информационных технологий; кражи и мошенничества в сфере информационных технологий; банковские услуги; операторы сотовой связи; Интернет-банк; Сбербанк-онлайн; Мобильный банк; анонимные SIM-карты.
Для цитирования: Любан В.Г. Проблемные аспекты банковской деятельности и деятельности операторов сотовой связи в борьбе с преступлениями в сфере информационных технологий. Вестник экономической безопасности. 2018;(1):243-8.
PROBLEMATIC ASPECTS OF BANKING ACTIVITY AND ACTIVITY OF CELLULAR OPERATORS IN COMBATING CRIMES IN THE FIELD OF INFORMATION TECHNOLOGIES
Vladislav G. Lyuban,
Senior Lecturer of the Department of Operational Investigative Activities
and special equipment of the Moscow University of the Ministry of the Interior of Russia named after V.Ya. Kikot, Candidate of Legal Sciences
Abstract. The article is devoted to the study of problem aspects of banking activity and the activity of mobile communication operators, which contribute to the commission of crimes in the field of information technologies, are actively used by criminals and to which the internal organs can and should have a preventive effect.
Keywords: crimes in the field of information technology; theft and fraud in the field of information technology; Banking services; cellular operators; Internet-bank; Sberbank-Online; Mobile Bank; anonymous SIM-cards.
Направление борьбы с преступлениями в сфере информационных технологий (далее по тексту — ПИТ) в последнее время становится одним из приоритетных в деятельности органов внутренних дел. По этой причине, следует обратить внимание на некоторые важные проблемные аспекты, направленные на их предупреждение.
Актуальность вопроса борьбы с ПИТ отражена в статистических сведениях. Так, если в 2015 г было зарегистрировано 43 816 преступлений в сфере информационных технологий, то в 2016 г. уже — 65 949, что превысило АППГ на 50,5%. В их числе
кражи (ст. 158 УК) составили — 15%, а мошенничества (ст. 159 УК) — 49%. За 2016 год было возбуждено 9 762 преступления в сфере информационных технологий по ст. 158 УК РФ (+ 15,5% к АППГ) и 32 875 — по ст. 159 УК РФ (+ 143,5% к АППГ) [1]. Для сравнения всего в России в 2016 году было зарегистрировано 209 000 преступлений по ст. 159— 159.6 УК, раскрываемость которых составила 26,2% [2].
Раскрытие краж и мошенничеств в сфере информационных технологий в основной своей массе ложится на плечи подразделений уголовного розы-
ска и на этом поприще им приходится испытывать большие трудности. По словам практических сотрудников из числа руководителей данных подразделений, в этой сфере чрезвычайно высока латент-ность, а реальные цифры могут в несколько раз превышать официальную статистику.
Анализ способов совершения «телефонных» мошенничеств, SMS-фрода, мошенничеств на торговых интернет-площадках бесплатных объявлений и кардинга, позволил выявить ряд аспектов в банковской деятельности и в деятельности операторов сотовой связи, которые способствуют их совершению, активно используются преступниками и на которые органы внутренних могут и должны оказывать профилактическое воздействие.
Так, в сфере банковской деятельности можно выделить следующие проблемные аспекты:
1) Использование сервисов удаленной регистрации Интернет-банка.
Как показывает анализ совершенных краж и мошенничеств, направленных на хищение средств с банковских платежных карт (далее по тексту — БПК) клиентов Сбербанка, большая доля этих преступлений связана с использованием сервисной услуги «Удаленная регистрация Сбербанк-онлайн». На различных интернет-форумах содержатся сотни гневных отзывов обманутых клиентов, которые свидетельствуют о применении к ним одного из способов, с задействованием данной сервисной услуги [3]. Несмотря на это, она продолжает функционировать до сих пор.
Механизм преступной схемы следующий:
• злоумышленники в Интернете открывают официальную страницу сервиса «Удаленная регистрация Сбербанк-онлайн» [4] и вводят туда номер БПК, с которой предполагают похитить денежные средства;
• владельцу БПК на привязанный к ней телефон приходит цифровой пятизначный SMS-пароль. который преступники получают одним из трех способов: путем изготовления дубликата SIM-карты, путем заражения телефона компьютерным вирусом или с помощью социальной инженерии;
• преступники в течении двух минут осуществляют перерегистрацию Интернет-банка потерпевшего, установив новый логин и пароль;
• осуществив вход в Интернет-банк потерпевшего, преступники похищают его денежные средства, переводя их на подконтрольные себе БПК, банковские счета и балансы мобильных телефонных номеров.
Используя лазейкку с удаленной регистрацией Интернет-банка, мошенникам не требуется иметь информацию о данных картхолдера, о сроке действия БПК, о CVV2 (CVC2) коде, о паспортных данных клиента, о кодовом слове, выбираемом в момент регистрации БПК и известном только банку и владельцу карты. Преступнику необходимо знать лишь номер БПК и номер привязанного к ней телефона. Причем эту связку «номер карты — номер телефона» они без труда могут найти в свободном доступе в Интернете на торговых площадках бесплатных объявлений, таких как «avito.ru», «irr.ru», «auto.ru», «am.ru» и других, где авторы объявлений часто сами выкладывают данную информацию для потенциальных клиентов.
Понятно, что сервис «Удаленная регистрация Сбербанк-онлайн» создавался, в первую очередь, для удобства клиентов и если раньше для регистрации личного кабинета в системе Сбербанк-онлайн приходилось идти в отделение банка или к ближайшему устройству самообслуживания, то теперь пройти регистрацию можно не выходя из дома всего за несколько минут. И в целом, понятно желание Сбербанка идти в ногу со временем, не заставляя клиентов терять время, к тому же оно вполне оправдано для первичной регистрации клиентов в системе Сбербанк-онлайн, получивших БПК не в отделениях банка. Но главная проблема и основная претензия к этой услуге заключаются в том, что она позволяет проводить перерегистрацию уже зарегистрированных пользователей. В случае мошеннической атаки на телефон владельца БПК приходит всего одна SMS с паролем подтверждения, в которой не говорится о попытке перерегистрации Интернет-банка, поэтому уже зарегистрированный в нем человек, может не осознать характер мошеннических действий. Кроме того, SMS не содержит дополнительных предупреждений по поводу производимой перерегистрации, что упрощает преступникам задачу введения в заблуждение потенциальных жертв.
Справедливо возникает вопрос о целесообразности использования банками подобных сервисных
интернет-услуг, которые не отвечают требованиям безопасности своих клиентов и активно используются преступниками.
2) Особенность работы автоматизированных систем самообслуживания клиентов через Интернет, позволяющих при входе в Интернет-банк (Мобильный банк) видеть на одной странице все БПК, банковские счета и банковские вклады клиента и управлять ими.
Удобная в ряде случаев, эта функция часто играет на руку преступникам и выступает в роли т.н. «back door» (дословно — черного хода, т.е. лазейки, оставленной разработчиком). Преступники получают возможность, преодолев систему безопасности только одной БПК потерпевшего и войдя в Интернет-банк, получить доступ ко всем его счетам и вкладам.
При этом «увести» деньги с вклада, на котором, как правило, имеется внушительная сумма, становится приоритетом для жуликов и не составляет им труда, при наличии такового у потерпевшего. Для этого применяются методы социальной инженерии и сначала «для отвода глаз» преступники зачисляют деньги на БПК самого потерпевшего. Потом мошенники перезванивают ему и под предлогом произошедшего сбоя системы просят вернуть поступившие клиенту деньги назад в банк, передав «оператору» приходящие на телефон пароли. Расчет у них на то, что, зачислив крупную сумму на БПК человека, он начнет недоумевать, станет верить в произошедший системный сбой и будет следовать инструкциям лжеоператоров банка. В целом назначение данной функции нам понятно, но малопонятно, зачем предоставлять клиенту доступ к долгосрочным вкладам через Интернет-банк (Мобильный банк), если клиент уже доверил их банку на длительный срок?
В целях предупреждения хищений с вкладов банки (и в первую очередь Сбербанк России) могли бы предоставить клиентам возможность заводить отдельный Интернет-банк для вкладов. А также для таких случаев вполне могло бы действовать правило — если клиент захочет изменить условия вклада, то он может лично посетить отделение банка.
3) Возможность подключить (привязать) к одной банковской платежной карте несколько телефонных номеров для доступа к SMS-сервису «Мо-
бильный банк», на все из которых будут приходить SMS-сообщения с паролями подтверждения различных операций (в т.ч. транзакций).
Подключить дополнительный телефонный номер клиент может разными способами: в отделении банка через операциониста, по телефону через сотрудника колл-центра, самостоятельно с банкомата или терминала самообслуживания. Например, к Мобильному банку одной БПК Сбербанк России сегодня позволяет «привязать» не более 8 телефонных номеров, зарегистрированных в России (такое же количество БПК может быть «привязано» к одному телефонному номеру [5]). Однако подключаемый к Мобильному банку телефонный номер может быть оформлен не только на владельца БПК, а на совершенно любого человека (в т.ч. мошенника).
Преступники активно используют это обстоятельство, убеждая потерпевших под разными предлогами подойти к банкомату (терминалу) и ввести определенную комбинацию цифр, а иногда объясняют, что для успешного перевода средств необходимо сделать номер их телефона доверенным перед банком. Введенный таким образом в заблуждение человек сам подключает к Мобильному банку телефон мошенников, которые благодаря этому похищают денежные средства с БПК и вкладов потерпевшего. Как показывает практика, в подобных случаях банки не несут перед клиентом материальной ответственности за сохранность его финансовых средств, по причине самостоятельно проведенных им операций.
В связи с этим, думается, что в сложившихся условиях позволять иметь более одного подключенного к платежной карте телефонного номера — своего рода «медвежья услуга» банков своим клиентам. Решение этой проблемы видится нами в предварительном прописывании подключаемых телефонных номеров в договоре клиента с банком при оформлении БПК, вклада или счета, что не станет серьезным обременением для обеих сторон, если учитывать предотвращаемые риски.
4) Отсутствие строгих сроков хранения на банкоматах видеозаписей, которые сами по себе являются не только важной мерой профилактики возможных инцидентов (сдерживающим фактором), но и ценным источником оперативно-розыскной и криминалистической информации в процессе раскрытия и расследования преступлений.
Например, для банкоматов Сбербанка России сегодня этот срок составляет от 0 до 60 дней. Другими словами, сохранность видеоинформации на этих банкоматах просто не гарантируется. Она может быть, а может и отсутствовать. При этом тенденция снижения техзащищенности банкоматов средствами видеофиксации повсеместно нарастает во всей банковской отрасли и связано это не только со сложностями хранения больших объемов информации, но и экономической нерентабельностью. Как известно из открытых источников, российские банки уже не первый год снижают расходы на охрану банкоматов. За первые 6 месяцев 2017 г. банки сократили эти затраты на 9%, а за АППГ этот показатель составил 8,6%. Со слов замначальника главного управления безопасности и защиты информации ЦБ РФ Артема Сычева, сегодня банки предпочитают страховать банкоматы, снижая расходы на охрану [6]. Данное обстоятельство играет на руку преступникам, затрудняет раскрытие и расследование ПИТ и на этом основании требует активного обсуждения со специалистами в банковской сфере.
В сфере деятельности операторов сотовой связи нами выделяются следующие проблемные аспекты:
1) Упрощенная процедура оформления и выдачи операторами сотовой связи дубликатов идентификационных модулей (SIM-карт).
В последнее время участились случаи совершения преступлений, сопровождающихся обходом технологии двухфакторной аутентификации (т.н. «3-D Secure») [7] с целью установления контроля над Мобильным банком потерпевших, путем оформления дубликатов SIM-карт, привязанных к их БПК. Как правило, для этого мошенники используют «инсайдеров» — т.е. коррумпированных сотрудников салонов и офисов сотовой связи, а также поддельные доверенности. Очевидно, что органам внутренних дел вряд ли удастся повлиять на организацию работы сотовых компаний по отбору и проверке персонала, однако обязать сотовые компании оперативно предоставлять информацию банкам о совершенной замене SIM-карт, кажется вполне реалистичной задачей. Это необходимо для того, чтобы банк, получив подобный сигнал, имел основания считать транзакции с этих номеров потенциально мошенническими и тщательней их перепроверял, а в случае необходимости мог и приостановить. Со-
блюсти при этом конституционные права граждан (на неприкосновенность частной жизни, личную и семейную тайну) и требования ФЗ № 152 «О персональных данных» не составит труда, если операторы сотовой связи будут представлять банкам обезличенные персональные данные, например, только информацию о дате состоявшейся замены, причине замены и телефонном номере абонента. В качестве дополнительной профилактической меры, можно предложить банкам ввести запрет на проведение операций через Интернет-банк и Мобильный банк в течении нескольких суток после замены SIM-карты. а в случае такой необходимости, рекомендовать клиентам обращаться в отделение банка.
2) Предусмотренная операторами сотовой связи возможность зачисления крупных сумм денежных средств на баланс номеров мобильных телефонов.
Известны случаи, когда преступники, используя данное обстоятельство, с помощью банковского трояна или социальной инженерии получали контроль над Мобильным банком потерпевшего и переводили сотни тысяч рублей с его БПК на балансы разных телефонных номеров, оформленных на подставных лиц. Для дальнейшего выведения денег преступники используют услуги сотовых операторов по переводу средств с баланса телефонного номера на БПК, на банковский счет или на другой телефон. Подобные услуги сегодня есть в арсенале всех сотовых операторов и называются «Мобильные платежи» (Мегафон), «Денежные переводы» (МТС), «Мобильный перевод» (Билайн) и т.д.
Надо сказать, некоторые ограничения на перевод денежных средств у операторов все же имеются. Например, в МТС возможны разовые платежи до 15 000 руб., а в сутки допускается не более пяти платежей. В Мегафоне ограничение на все переводы (на телефон, на счет, на карту) сейчас составляет 40 000 руб. в месяц, которые можно совершить и за один день. Однако, имеющиеся ограничения на суммы переводов не создают препятствий преступникам и вместо того чтобы сразу перевести всю сумму на какой-то номер, они переводят ее частями на разные телефонные номера.
Таким образом, сегодня наблюдаются признаки перехода сотовых операторов в сферу банковских
услуг, т.к. они выпускают свои БПК, выдают микрозаймы, а сам телефонный абонентский номер стал нечто средним между БПК и банковским счетом, ограниченными по объему зачисляемых средств и по функционалу представляемых услуг. Телефонный номер абонента привязан к определенному внутреннему финансовому лицевому счету, на нем можно держать деньги, с него можно оплачивать услуги, на него можно получать денежные переводы и с него можно отправлять переводы. В связи с тем, что данные инструменты используются для легализации (отмывания) денежных средств, полагаем, сотовые операторы должны ограничить разумной суммой размер средств на счетах мобильных номеров, достаточной только для оплаты услуг связи, а банковские услуги оставить банкам.
3) Заинтересованность операторов сотовой связи в распространении анонимных идентификационных модулей (SIM-карт).
Можно констатировать отсутствие до сих пор адекватной законодательной и общественной реакции на данный факт, несмотря на то, что за последнее время в целях борьбы с анонимностью в Интернете был принят целый ряд законов:
• 31 июля 2014 года Постановлением Правительства РФ №758 были введены правила о запрете анонимного использования Wi-Fi в общественных местах [8];
• 6 июля 2016 года Федеральным законом № 374-ФЗ были приняты так называемые поправки Яровой-Озерова, обязывающие операторов связи и провайдеров Интернета хранить не только информацию о фактах приема, передачи, доставки и (или) обработки различной проходящей через них информации, но и весь передаваемый и получаемый трафик [9];
• 29 июля 2017 года Федеральным законом № 276-ФЗ были внесены изменения, которые вводят запрет на использование программно-аппаратных средств (анонимайзеров, VPN, Tor-браузера и др.), препятствующих выполнению требований Роскомнадзора по блокировке запрещенных ресурсов, а провайдеров и операторов связи обязывают выявлять и ограничивать доступ в Интернет абонентам, использующим подобные программно-аппаратные средства [10].
Но ситуация такова, что ужесточение санкций и введение самых строгих правил в отношении абонентов сотовой связи и пользователей Интернета окажется безрезультатным в условиях, когда на улицах бесплатно раздаются анонимные SIM-карты. являющиеся, как было указано выше, по сути, банковским платежным инструментом. Используя такую SIM-карту, злоумышленники с минимальным для себя риском могут отправить сотни SMS-сообщений или электронных писем с угрозой терактов, вложенными вредоносными компьютерными программами, криминальным спамом или просто осуществить звонки, преследуя мошеннические цели. По всей видимости, сегодня это мало беспокоит операторов связи, но должно беспокоить органы внутренних дел, которым еще предстоит выяснить, как SIM-карты, которые должны распространяться через дилерские сети, офисы и салоны связи, проходя оформление перед регистрацией в сети, тысячами оказываются на улице в руках у случайных людей и, как следствие, у криминала.
Очевидно, что находящийся с 22 мая 2017 года на рассмотрении в Государственной Думе законопроект № 181342-7, предполагающий введение административной ответственности за распространение неуполномоченными лицами идентификационных модулей, давно перезрел и даже в случае его принятия уже вряд ли достигнет ожидаемого эффекта [11]. По нашему мнению, законодатель должен обязать операторов сотовой связи распространять идентификационные модули только через своих специалистов в салонах и офисах связи, заставив их отказаться от порочной практики реализации SIM-карт через третьих лиц. Аналогичного подхода необходимо придерживаться в вопросах государственного регулирования обращения БПК, распространять которые следует только через банковские учреждения, т.к. сегодня широко распространилась практика оформления и выдачи БПК в магазинах, АЗС, салонах сотовой связи и других местах.
Злоумышленники владеют информацией о перечисленных обстоятельствах и используют их в своих преступных планах. Поэтому, с целью противодействия преступлениям в сфере информационных технологий, рассмотренные проблемные аспекты банковской деятельности и деятельности операторов сотовой связи требуют широкого обсуждения и
могут быть решены, в случае поддержки изложенных в статье инициатив.
Литература
1. Аналитический обзор Следственного департамента МВД России практики расследования преступлений в сфере информационных технологий по итогам 2016 г
2. Общие сведения о состоянии преступности в России // Состояние преступности в России за январь—декабрь 2016 гг. М.: ГИАЦ МВД России, 2017.
3. URL: https://forums.drom.ru/garazh/ t1152249437.html; https://pikabu.ru/story/vnimanie_ moshenniki_sberbank_onlayn_2933920; http:// irecommend.ru/content/ostorozhno-moshenniki-moi-otzyv-o-tom-kak-ya-chut-ne-stala-zhertvoi-moshennichestva-i-chto-t
4. URL: https://online.sberbank.ru/CSAFront/ async/page/registration.do; https://www.youtube.com/ watch?v=Opa7rXsArqM.
5. URL: http://banki-v.ru/karty/kak-privyazat-kartu-sberbanka-k-telefonu/.
6. URL: http://www.vestifinance.ru/articles/92172.
7. 3-D Secure добавляет еще один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций (См.: URL: https://ru.wikipedia.org/wiki/3-D_Secure).
8. Постановление Правительства РФ от 31.07.2014 г. № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей».
9. ФЗ от 06.07.2016 г. № 374-Ф3 «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности».
10. Статья 15.8 ФЗ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
11. Законопроект № 181342-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления административной ответственности за распространение неуполномоченным лицом идентификационных модулей, а также за непредставление или несвоевременное представление оператору связи сведений, предусмотренных правилами оказания услуг связи)» (URL: http://asozd2.duma.gov.ru/ main.nsf/(Spravka)?OpenAgent&RN=181342-7).
Психология
В ДЕЯТЕЛЬНОСТИ
СОТРУДНИКОВ
ОРГАНОВ
ВНУТРЕННИХ
ДЕЛ
Психология в деятельности сотрудников органов внутренних дел: учеб. пособие для студентов вузов, обучающихся по направлениям подготовки «Правовое обеспечение национальной безопасности» и «Правоохранительная деятельность» / [В.Л. Цветков и др.]; под ред. И.А. Калиниченко. М.: ЮНИТИ-ДАНА: Закон и право, 2017. 207 с.
Рассматриваются проблемы психологии профессиональной деятельности для сотрудников полиции. Даются психологическая характеристика следственной деятельности, профессиографическое описание деятельности участкового уполномоченного полиции.
Анализируются психологические особенности предварительного расследования. Уделяется внимание криминальной психологии и особенностям судопроизводства по уголовным делам. Самостоятельная глава посвящена судебно-психологической экспертизе.
Для курсантов, адъюнктов, аспирантов вузов, а также всех тех, кто интересуется проблемами психологического обеспечения правоохранительной деятельности и юридической психологии.
