Текст книги "Кибербезопасность в условиях электронного банкинга. Практическое пособие"

Задачей нальщиков являются вывод и обналичивание похищенных денежных средств. Сам процесс иногда называют «заналивание» или «сналивание». Деятельность нальщиков не связана с непосредственным использованием вредоносных программ и ботнетов и является более рискованной, так как требует проведения транзакций похищенных денежных средств, а на завершающем этапе – их получения в наличной форме или траты на что-либо.

Для такой деятельности нальщикам необходимы навыки использования многочисленных платежных инструментов, включая ЭСП, а главное – возможность постоянно получать и предоставлять заливщикам реквизиты счетов («реки») для перевода похищаемых денежных средств. Таковыми являются реквизиты банковских счетов юридических и физических лиц, в том числе с привязанными банковскими картами, различных электронных кошельков операторов электронных денежных средств, телефонные сотовые номера для зачисления денежных средств на их балансовые счета, данные физических лиц – получателей переводов в пунктах междугородних и международных переводов.

Счета, банковские карты и иные необходимые платежные инструменты (их общее наименование на жаргоне – «материал») нальщик получает различными способами самостоятельно либо приобретает

у специализирующихся на этом продавцов – селлеров (продавец банковских карт на жаргоне называется «кардселлер»). Банковские счета и карты физических лиц, а также некоторые типы персонифицированных электронных кошельков приобретаются у владельцев, открывающих и продающих их за небольшую плату. Так, например, за банковский счет с привязанной картой нальщик или селлер может заплатить лицу, открывающему счет, 1000–2000 руб. Если в дальнейшем такая карта перепродается кардселлером, то ее цена уже может достигать 5000–7000 руб.

В некоторых случаях счета и карты открываются на имена случайных лиц без их ведома с помощью заинтересованных сотрудников кредитных организаций. SIM-карты мобильных телефонов, заранее зарегистрированные на подставных лиц или на корпоративных клиентов, приобретаются оптом у агентов/субагентов операторов сотовой связи. Наиболее сложным и дорогостоящим является приобретение подставного юридического лица с целью получения банковского счета для крупных «корпоративных» заливов. Такие фирмы регистрируются на случайных лиц за небольшую плату или приобретаются в виде готовых пакетов документов у лиц и организаций, профессионально занимающихся регистрацией так называемых однодневок.

В общем смысле нальщик – это организатор комплексной деятельности по выводу и обналичиванию похищенных денежных средств. Он должен не только предоставить заливщику реквизиты, на которые будет произведен залив, но и незамедлительно после поступления переведенных (похищенных) денежных средств совершить с ними дальнейшие операции, направленные на вывод их из-под возможной блокировки при выявлении хищения. Это необходимо, так как сведения о счетах, на которые переводятся похищаемые денежные средства, доступны потерпевшему посредством имеющихся ЭСП (разумеется, если они не уничтожены и не утрачен доступ к ним) и сотрудникам оператора по переводу денежных средств, клиентом которого является потерпевший. Соответственно, при выявлении факта несанкционированного перевода обычно незамедлительно производится попытка блокировки денежных средств у того оператора (операторов), на счет (счета) клиента которого они были переведены. Это не всегда возможно по ряду причин, однако нальщик в любом случае старается как можно быстрее перевести денежные средства с «засвеченных» счетов на следующие в цепочке. Таким образом, разрывается связь между хищением и выводом денежных средств.

Последовательность и длительность операций с денежными средствами зависят от обстоятельств и суммы конкретного залива, типа банковского счета или электронного кошелька, правил работы оператора по переводу денежных средств и т. п. Цепочка счетов редко бывает длиннее 2–3 этапов, однако в некоторых сложных случаях и (или) при особо крупных суммах похищенные средства могут разделяться на множество частей и довольно долго переводиться по многочисленным счетам различных типов.

На завершающем этапе в большинстве случаев хищений денежные средства переводятся в форму наличных денег, отчего криминальная профессия нальщика и получила такое наименование. В наиболее распространенном типовом случае денежные средства в конце цепочки транзакций оказываются на банковском счете (счетах), к которому (которым) привязана банковская карта, и затем снимаются в обычных банкоматах. В других схемах требуется получение денежных средств в отделениях кредитных организаций, пунктах обмена электронных денежных средств либо пунктах получения и выдачи денежных переводов. Такие действия являются весьма рискованными, так как могут завершиться задержанием получающих денежные средства лиц и привлечением их к уголовной ответственности, поэтому многие нальщики используют для этого специально привлеченных физических лиц – дропов.

Следует отметить, что нальщик существенно отличается от так называемого обнальщика, занимающегося обналичиванием денежных средств в интересах коммерческих организаций («серый обнал», «серка»). В то время как обнальщик работает, хотя и по незаконным схемам, с денежными средствами, имеющими легальное происхождение, нальщик по заливам занимается выводом похищенных денежных средств («черных», «темных» денег, «грязи»). Редкие попытки обнальщиков заниматься обналичиванием «грязи» или попытки нальщиков работать через обнальщиков оканчиваются в основном неудачами из-за существенной разницы в методах и характере деятельности.

Взаимодействие заливщика и нальщика может строиться по различным схемам в диапазоне от систематической совместной деятельности знакомых между собой лиц до случайных разовых сделок, договоренность о которых достигается при общении в интернете. Вознаграждение нальщику выплачивается в виде процента от суммы обналиченного залива, который нальщик оставляет себе. Остальное он обычно должен передать заливщику. Это тонкий момент в отношениях сторон, так как далеко не каждый залив удается обналичить: причинами могут быть как объективные обстоятельства, так и ошибки заливщика или нальщика. В результате возникают споры об ответственности и о выплате компенсации за причиненный ущерб. Кроме того, сторонние нальщики часто обманывают заливщиков, присваивая все денежные средства и сообщая, что вывести их по тем или иным причинам не получилось («банк заблокировал», «дропа задержали» и т. п.). С другой стороны, ошибки в действиях заливщика могут приводить к утрате дорогостоящего «материала» нальщика. Например, в результате неправильного оформления платежа могут быть заблокированы счета дорогостоящей и долго оформлявшейся фирмы-однодневки. Поэтому хороший заливщик всегда ищет хорошего нальщика, и наоборот.

Для взаимного снижения рисков стороны могут прибегать к услугам так называемых гарантов (фактически «эскроу-агентов», англ. Escrow Agent), которые в большом количестве присутствуют на профильных ресурсах в сети. При хищениях больших сумм с той же целью снижения риска заливщик может привлекать нескольких не связанных между собой нальщиков. Точно так же и нальщик, подготавливающийся к приему крупного залива, может привлечь к его «заналиванию» других нальщиков по принципу своеобразного субподряда.

Любопытно, что на начальном этапе развития криминальной индустрии количество нальщиков было совсем небольшим и их вознаграждение достигало 80–90 % от сумм заливов. Постепенно, по мере увеличения числа представленных на рынке нальщиков, объемы их вознаграждения падали, и к настоящему времени, насколько можно судить по объявлениям на профильных веб-сайтах, картина изменилась. Теперь нальщик получает только 30–40 % (а иногда и еще меньше – вплоть до 10–20 %) от залива, и это считается хорошим вознаграждением. Для повышения эффективности своей деятельности, наибольшего охвата «клиентской базы» и улучшения качества предоставляемых услуг некоторые нальщики объединяются в организованные группы. Другие по-прежнему действуют в одиночку, иногда даже не прибегая к услугам дропов.

Дропов, как уже было сказано, часто задействуют нальщики на последнем этапе хищения – для непосредственного снятия наличных денег. Термин происходит от английского drop — «бросать, сбрасывать» – и возник в сфере товарного кардинга. Это разновидность хищений, в процессе которых по данным чужих банковских карт в магазинах с дистанционной формой продажи приобретаются различные ликвидные товары. Заказанные таким образом товары «сбрасываются» (доставляются) заранее подобранным физическим лицам, которые затем передают товары кардерам. Дропы могут быть наняты и знать о преступном характере своей деятельности (таких называют «неразводные») либо быть вовлечены в нее обманом – обычно под видом оказания легальных услуг или участия в легальной деятельности (таких называют «разводные»). На практике часто употребляют в одинаковом смысле термины «дроп» и «дроппер», что неправильно, так как последний означает разновидность вредоносных компьютерных программ.

В случае хищений денежных средств термин «дроп» может иметь разные значения. Чаще всего так называется лицо, участвующее в преступной деятельности, которое снимает денежные средства в банкомате, отделении банка, пункте приема и выдачи переводов. Кроме того, так могут быть названы лица, которые оформляют на себя банковские карты и продают их за небольшие суммы нальщикам или кардселлерам. Иногда дропом может быть названо лицо, на которое оформлены какие-либо счета или карты без его ведома. Лицо, организующее деятельность дропов в интересах нальщиков, называется на жаргоне дро-поводом. Грань между нальщиками и дроповодами довольно условна. Иногда встречается термин «дроп-проект» или «дроп-сервис», означающий организованную деятельность по привлечению и использованию дропов, осуществляемую в интересах широкого круга заливщиков и нальщиков.

Сами дропы в большинстве случаев не осведомлены о характере преступной деятельности, в которой принимают участие, не знают подробностей совершенных хищений и участников преступных групп. Как правило, дроп бывает знаком только с нальщиком (дроповодом) и получает сравнительно небольшую плату за свои услуги на сдельной основе. Лишь в редких случаях преступные группы используют постоянных неразводных дропов. Привлечение дропа к уголовной ответственности всегда весьма затруднительно. С точки зрения преступной группы, дропы – это «расходный материал». При этом поиск и наем дропов не являются сложной задачей. Множество лиц, относящихся к малообеспеченным слоям населения (особенно в регионах), нетрудоустроенной молодежи, ранее судимых, а также лиц, злоупотребляющих алкоголем и наркотиками, охотно соглашаются на легкий и быстрый заработок такого рода. Как было отмечено на одном из профильных ресурсов, «Россия – страна дропов».

Кодеры (вендоры троянов), ботнетчики, заливщики, нальщики (и в некоторых случаях дропы) – основные участники преступной деятельности. Именно они обычно составляют ядро преступных групп. Однако это представители еще не всех специальностей, участие которых необходимо для успешного функционирования ботнетов и совершения хищений денежных средств. Носители следующих криминальных специальностей обычно в состав преступных групп не входят и оказывают услуги широкому спектру компьютерных преступников различной специализации, а не только работающим «по заливам».

Хостинг (от англ. host — принимающий гостей) – услуга по предоставлению вычислительных мощностей для размещения информации на сервере, постоянно находящемся в интернете. Оказанием таких услуг для размещения в сети веб-сайтов и иных ресурсов занимается большое количество легальных организаций во всем мире. Однако такие ресурсы, как центры управления ботнетами, опасно размещать на легальных хостингах, так как при выявлении их вредоносной деятельности поступают жалобы из разных источников, что может быстро привести к отказу в обслуживании и утрате ресурса, если хостинг легальный.

Услуги размещения для различного рода нелегальных ресурсов оказывают так называемые абузоустойчивые (от англ. abuse — жалоба) хостинги, поддерживаемые как организациями, так и частными лицами. Главное преимущество услуг подобных хостингов по сравнению с легальными – невосприимчивость их владельцев к любым жалобам и запросам о предоставлении информации со стороны государственных органов, коммерческих организаций или частных лиц. Владелец такого хостинга не требует раскрытия личности от своих анонимных клиентов, не ведет статистику доступа к серверам и трафика, не выдает информацию сотрудникам спецслужб и, разумеется, не предоставляет возможностей для организации оперативно-разыскных мероприятий. В некоторых случаях, как уже было отмечено выше, абузоустойчивый хостер предлагает ботнетчикам дополнительные услуги типа администрирования серверов, управления IP-адресами и доменными именами.

Серверы абузоустойчивых хостингов обычно находятся в странах, власти которых не осуществляют тщательного контроля интернета, или реальное местонахождение серверов скрывается различными техническими способами. Основные клиенты – ботнетчики всех видов, спамеры, распространители порнографических материалов, пиратских программ, фильмов и музыки, запрещенных медикаментов и т. п. Стоимость такого хостинга значительно выше стоимости легального хостинга. Например, аренда одинаковых по техническим характеристикам серверов может стоить $50 в месяц у легального хостера и $500 в месяц у абузоустойчивого хостера. В случае размещения центров управления ботнетами на основе банковских троянов такие расходы полностью себя оправдывают.

Услуги анонимных хостингов обычно предлагаются на тех же сетевых площадках, что и остальные криминальные товары (услуги). Здесь необходимо отметить, что на практике встречаются, конечно, и случаи размещения центров управления ботнетами на легальных хостингах при условии, что доступ ботов к ним обеспечивается не напрямую, а через промежуточные серверы, размещенные в иных местах.

Сетевой трафик в общепринятом значении – это количество посещений (буквально – физически подключившихся компьютеров и устройств пользователей) того или иного ресурса в интернете. Трафик обладает ценностью, и для его генерации используются различные способы и средства, как явные, так и скрытые, приводящие посетителей на нужный ресурс. В сети существуют биржи трафика, где он продается или обменивается. Основной способ монетизации трафика в сети – направление его для накрутки рейтингов веб-сайтов, для увеличения показов рекламных материалов, в партнерские программы, на порносайты и т. п. Такой трафик обычно называют белым.

Применительно к распространению вредоносных программ покупка или перенаправление трафика – способ получения новых заражений и увеличения числа ботов в ботнетах. Субъекты такого черного трафика – обычные пользователи – незаметно направляются на ресурсы, где при помощи специальных вредоносных программ или кодов (эксплойтов) осуществляются проникновение в системы и установка вредоносных программ. В отличие от случая с белым трафиком, когда пользователь, хотя и при помощи неких технических приемов, открыто приводится на нужный ресурс (буквально может его увидеть), в случае с черным трафиком пользователь, как правило, не замечает, что его компьютер соединялся с ресурсом, распространяющим вредоносные программы.

Специалист, занимающийся получением, агрегацией или перепродажей трафика для криминальных целей, называется на жаргоне трафером. Источниками трафика для него являются: взломанные (скомпрометированные) легальные веб-сайты, с которых происходит незаметное для посетителей перенаправление (так называемая drive-by загрузка) на связки эксплойтов; сайты-ловушки (дорвеи, сателлиты); рассылки спама; другие ранее установленные вредоносные программы. Эксплуатация уязвимостей на популярных веб-сайтах является наиболее ценным источником трафика, так как позволяет получить целевой трафик (например, если используются бухгалтерские или банковские веб-сайты). После того как веб-сайт каким-либо образом взломан, в исходный код его страниц встраивается вредоносный код, который вместе с содержимым страниц выдает посетителям вредоносные компоненты.

Трафик обычно измеряется в тысячах и классифицируется по стране происхождения, типу (компьютерный или мобильный, например на платформе Android) и тематике. Наиболее ценная тематика трафика для банковских ботнетов – финансовая и коммерческая. Такой трафик поступает со взломанных веб-сайтов соответствующей направленности, посетители которых с большей вероятностью пользуются ЭСП. Еще одна характеристика трафика – его уникальность. Продавец трафика может «отгружать» его в одни руки или нескольким заказчикам. В последнем случае эффективность получаемых ботов значительно снижается, так как на них может оказаться несколько различных вредоносных программ.

Необходимо также отметить, что покупка трафика – не единственный способ пополнения ботнетов и, следовательно, использование услуг траферов не является обязательным. Владельцы крупных ботнетов иногда самостоятельно занимаются генерацией трафика, взламывая веб-сайты, реквизиты доступа к которым поступают в центры управления от ботов. Еще один способ увеличения числа ботов – «покупка загрузок». Под этим термином понимается оплата установки вредоносных программ на компьютеры и устройства, предварительно зараженные специальными программами. Продажей загрузок обычно занимаются владельцы ботнетов, построенных на основе небольших вредоносных программ – лоадеров. Покупка загрузок считается малоэффективным способом наполнения ботнета, так как с целью извлечения максимальной прибыли загрузки обычно продаются сразу нескольким клиентам и устанавливаемые таким образом вредоносные программы имеют минимальный срок жизни. Кроме того, при покупке загрузок не может быть обеспечена необходимая целевая тематика.

Что касается трафика, то он должен быть направлен на заражение вредоносными программами. Заражение производится посредством так называемых эксплойтов (сокр. «сплойты»), разработка и поставка которых являются отдельным важным направлением преступной деятельности в сфере компьютерной информации.

Эксплойты или сплойты – небольшие вредоносные компьютерные программы, фрагменты программного кода или же последовательности команд, использующие уязвимости в программном обеспечении для проникновения на компьютеры или мобильные устройства с вредоносными целями, прежде всего для установки на них других вредоносных программ. Такое проникновение на жаргоне называется пробивом.

Эксплуатируемые уязвимости содержатся в операционных системах компьютеров и мобильных устройств, программах-браузерах, многочисленных прикладных программах и т. п. Поиск таких уязвимостей и написание кодов для их эффективного использования являются отдельной сложной задачей, которой занимается большое количество специалистов и любителей по всему миру. Информация о выявляемых уязвимостях чаще всего публикуется в открытых источниках, но иногда продается за весьма крупные суммы в узком кругу заинтересованных лиц, в том числе разработчикам эксплойтов.

Поскольку каждый компьютер или мобильное устройство имеет свой индивидуальный набор программ, заранее неизвестно, какие именно уязвимости у него имеются и могут быть успешно использованы. Для увеличения вероятности пробива эксплойты объединяются в пакеты – так называемые связки эксплойтов (сплойтов), или сплойт-паки.

Подбор эксплойтов, их объединение в связки и предоставление их на платной основе для целей распространения вредоносных программ являются отдельной криминальной специальностью. Подобная деятельность ведется как многофункциональный сервис: клиенту продается или сдается в аренду сама связка (набор эксплойтов) и предоставляется специальный веб-интерфейс для контроля работы связки (административная панель, «админка»). В этом интерфейсе клиент может настраивать раздачу вредоносных программ и контролировать статистику работы связки. Эксплойты в коммерческих связках постоянно контролируются, зачищаются (перешифровываются – «криптуются») и обновляются для поддержания их эффективности. Хорошим показателем считается пробив не менее 10–20 % от поступившего трафика, однако, если в связке имеются эксплойты, направленные на недавно выявленные и еще не закрытые уязвимости, уровень пробива может достигать 80–90 %.

В наиболее распространенном случае со связки на пробитые компьютеры доставляется специальная небольшая вредоносная программа-загрузчик (лоадер), которая затем запускается и устанавливает основную вредоносную троянскую программу. Однако факт пробива защиты целевого компьютера или устройства еще не означает успешной установки вредоносной программы в систему, так как эта установка может не состояться по техническим причинам, в том числе и в результате работы антивирусных программ. В связи с этим имеет значение итоговый параметр «отстука ботов со связки», показывающий процент успешных установок в общем числе пробитых компьютеров. Нормальным считается «отстук» на уровне 60–80 %. Впрочем, за этот показатель поставщик связки эксплойтов уже ответственности не несет, так как устанавливаемая вредоносная программа предоставляется заказчиком.

Аренда коммерческой связки у поставщика или приобретение ее с последующей технической поддержкой – наиболее удобный вариант для ботнетчиков. По данным аналитиков компании «Группа информационной безопасности»[83]83
  Рынок преступлений в области высоких технологий: состояние и тенденции 2013 года. Аналитический обзор ООО «Группа информационной безопасности», 2013 г. URL: http://www.group-ib.ru/list/1008-analytics/?view=article&id= 1155.


[Закрыть], до 2013 г. активно использовались следующие связки эксплойтов, имеющие российское происхождение: Nuclear, Black Hole (только до октября 2013 г.[84]84
  В октябре 2013 г. разработчик связки эксплойтов Black Hole, 27-летний программист-самоучка из г. Тольятти, известный под сетевым псевдонимом Paunch, был задержан сотрудниками УЭБиПК ГУ МВД России по г. Москве и Следственного департамента МВД России.


[Закрыть]), Styx, Liberty RedKit, связка «от Крыса», связка «от Гранда». Другие известные и актуальные в настоящее время связки: Sweet Orange, RIG, Neutrino Exploit Kit и ряд иных.

Кроме того, в сети доступны бесплатные (или бывшие платные, выложенные в публичный доступ) связки, эффективность которых невысока. Наиболее же продвинутые преступные группы работают со своими собственными («приватными») связками эксплойтов.