Текст книги "Кибербезопасность в условиях электронного банкинга. Практическое пособие"

4.3. Совершение типового хищения денежных средств с использованием вредоносных компьютерных программ

Возможность украсть создает вора.

Фрэнсис Бэкон, английский государственный деятель, философ

Рассмотрим типовой случай организации преступной деятельности от момента ее начала до совершения результативного хищения денежных средств. Предлагаемая модель преступной группы базируется на изучении материалов ряда уголовных дел, возбужденных на основании результатов оперативно-разыскной деятельности, представлявшихся в следственные органы Управлением «К» БСТМ МВД России.

Итак, первым вопросом, подлежащим разрешению организатором (или организаторами) подобной группы, является создание или приобретение специализированной банковской троянской программы либо установление взаимодействия с лицом (лицами), уже обладающим (обладающими) такой программой.

Самостоятельная разработка банковской троянской программы организатором преступной деятельности является редким случаем, так как требует незаурядного таланта, навыков программирования и больших временных и финансовых затрат. Если и встречаются такие «таланты», то ими обычно создаются и лично используются узкоспециализированные вредоносные программы, нацеленные на одну-две определенные системы переводов денежных средств. Как уже было сказано, банковские трояны являются сложными многофункциональными компьютерными программами и разрабатываются квалифицированными программистами, чаще всего объединенными в коллективы. Разработка троянов такими коллективами напоминает работу фирм-разработчиков, создающих легальное программное обеспечение. Они могут обеспечивать покупателям долговременную поддержку, предоставляя регулярные обновления вредоносной программы, услуги по настройке и поддержанию центра управления ботнетом и любые иные сопутствующие услуги.

Чаще всего организаторы преступных групп обращаются к имеющимся на рынке предложениям со стороны вендоров вредоносных программ и приобретают тот или иной комплект. Поставщики могут предоставить заказчику троян в виде скомпилированного и сконфигурированного под его нужды исполняемого файла, готового к распространению, с услугой последующего периодического обновления (для сокрытия от антивирусных программ). Более платежеспособный заказчик получает в свое распоряжение программу-компилятор/конфигуратор, при помощи которой он может самостоятельно «пересобирать» распространяемый исполняемый файл. Троян и сопутствующие компоненты могут стоить от $500 до 50 000 в зависимости от типа трояна, условий продажи и обслуживания.

Организатор, не имеющий достаточных средств для покупки современного банковского трояна, может воспользоваться имеющимися в свободном доступе в интернете исходными кодами троянов типа «Зевс», SpyEye, «Карберп» и др. Компиляторы для этих троянов также доступны. Однако эффективность бесплатных, устаревших и не имеющих технической поддержки программ невелика, так как они гораздо лучше обнаруживаются антивирусными программами и имеют устаревший функционал. Тем не менее, для начального этапа деятельности их использование иногда оказывается единственным возможным вариантом.

Следующий вопрос, подлежащий разрешению при организации преступной деятельности, – создание и настройка центра управления ботнетом. Если приобретается коммерческий троян с поддержкой, решение обычно предлагается поставщиком за дополнительную оплату. На сервере покупателя устанавливается программное обеспечение, настраиваются веб-интерфейс и базы данных. В конфигурации поставляемого трояна прописываются настройки, требуемые для взаимодействия с центром управления. Для старых троянских программ, распространяющихся в сети свободно и бесплатно, также доступны различные скрипты и программы, необходимые для создания центров управления ботнетами.

Хостинг для размещения управляющего сервера организатор обычно должен приобретать самостоятельно – желательно у поставщиков абузоустойчивого хостинга. Стоимость обычно составляет от $200 до 500 и более за аренду одного физического сервера в месяц. В некоторых случаях хостинг предоставляется заказчику поставщиками трояна, опять же за дополнительную плату.

Если квалификации, возможностей или желания для самостоятельного создания и поддержания работоспособности ботнета у организатора преступной деятельности недостаточно, ботнет с уже настроенным центром управления и определенным количеством ботов может быть куплен или взят в аренду. Соответствующие предложения постоянно присутствуют на тематических веб-сайтах. Однако качество передаваемых таким образом готовых ботнетов обычно низкое, в то время как риск обмана со стороны продавцов, наоборот, высок.

Криминальной индустрией была выработана более совершенная схема взаимоотношений участников преступной деятельности. Появились крупные ботнеты, создатели которых приглашают одиночных или организованных в группы заливщиков для работы по так называемой партнерской схеме. Ботнетчик в такой схеме занимается организацией работы центра управления, предоставляя партнерам либо отдельные интерфейсы, либо разграниченный доступ к единому общему интерфейсу центра управления. Каждый партнер получает свой индивидуально сконфигурированный экземпляр вредоносной программы, самостоятельно (или опять же при помощи ботнетчика) занимается ее распространением, а затем уже работает со своими личными ботами. Начинающему партнеру ботнетчик может предложить доступ и к определенному количеству реальных ботов. По такому образцу в 2010–2011 гг. действовал ботнет Origami на основе вредоносной программы, классифицируемой как HodProt. На едином сервере было одновременно запущено более 10 однотипных интерфейсов административных панелей, доступ к которым имели разнообразные заливщики и группы заливщиков. Размер оплаты за пользование ботнетом зависел от объемов совершаемых хищений.

С точки зрения отдельного заливщика, подобный вариант работы с ботнетом представляется оптимальным. Однако он менее интересен ботнетчику, так как контроль за работой заливщика с отдельными зараженными компьютерами затруднен по объективным техническим причинам и, соответственно, не может быть проверен объем совершаемых хищений. Если ботнетчик начинает подозревать заливщика-партнера в утаивании денежных средств либо в проведении непредусмотренных операций с ботами, он может лишить заливщика доступа. В то же время и сам ботнетчик может совершать в отношении заливщика-партнера нечестные действия, например тайно работать с его ботами для совершения хищений, забирать ботов в другие ботнеты, собирать и продавать без участия заливщиков получаемую с ботов информацию (аккаунты социальных сетей, почтовых программ, реквизиты доступа к FTP и др.). В результате работа по партнерской схеме часто становится для заливщиков и ботнетчиков источником постоянных взаимных подозрений и конфликтов, а их отношения оказываются менее устойчивыми, чем в преступных группах постоянного состава.

Продолжим рассматривать процесс организации преступной деятельности. Когда организатором (или организаторами) приобретена вредоносная программа, оплачен абузоустойчивый хостинг и налажен центр управления ботнетом, начинается этап распространения вредоносной программы и систематической работы с ботами. Для распространения необходимы трафик и связки эксплойтов. И то и другое поставляют специализирующиеся на этом участники криминального рынка товаров, о чем было сказано в предыдущей главе.

Стоимость трафика зависит, как уже было отмечено, от его тематики и различных показателей качества. Так называемый мусорный трафик стоит от $5 до 20 за 1000 единиц, а профильный банковский и коммерческий трафик может стоить гораздо больше: вплоть до $150–200 за 1000 единиц. Аренда связки эксплойтов с полноценной технической поддержкой, а также регулярной сменой доменных имен обходится в среднем в $500-3000 в месяц.

После того как оплачена связка, налажено поступление трафика и вредоносная программа начинает «прогружаться», в интерфейсе центра управления ботнетом появляются боты. Благополучно установившаяся на целевом компьютере или устройстве программа передает на командный сервер по сети первое сообщение, в котором содержатся сведения о зараженном устройстве. В дальнейшем бот постоянно передает подобные сообщения, называемые на жаргоне отстуком. Регулярно отстукивающиеся боты называют живыми. В интерфейсе центров управления ботнетами боты обычно представляются в виде списков, по которым можно производить выборки и поиск. Для каждого отдельного бота ведется накопление данных, необходимых для работы с ним и совершения хищений.

Количество поступающих ботов зависит от количества отгружаемого на связку трафика, процента пробива связки эксплойтов и, наконец, от качества самой троянской программы и текущего уровня ее выявления антивирусными программами. Дальнейшее время жизни ботов зависит также от ряда факторов: эффективности антивирусных программ, действий владельца компьютера и др.

Очевидно, что далеко не каждый зараженный вредоносной программой компьютер или мобильное устройство используется для работы с ЭСП, тем более именно тех систем, для которых предназначен установленный банковский троян. Задача трояна – найти ЭСП (программы типа «толстый клиент», агентские приложения для приема платежей или работы в системах переводов и т. п.), отследить факты обращений к платежным веб-сайтам, найти на компьютере или устройстве следы таких обращений (лог-файлы, ключи, сертификаты и пр.). После того как бот их обнаруживает, он в установленном формате сообщает об этом («отстукивается» определенным образом) в центр управления. На профессиональном жаргоне бот, у которого обнаружились ЭСП или признаки их использования, называется ботом с логами.

Именно бот с логами является главной ценностью. С ним начинает работать заливщик. Объем и характер действий заливщика зависят от типа ЭСП, обнаруженного у бота, наличия на счете денежных средств, возможностей используемой вредоносной программы. В любом случае поступившая от бота информация вначале внимательно изучается. При необходимости боту дается команда на загрузку дополнительных вредоносных программ, модулей или настроек.

Если речь идет о компьютере, используемом для работы с какой-либо системой ДБО, то заливщик, как правило, лично внимательно его изучает. Для этого устанавливается скрытое подключение по протоколу удаленного управления. Существует несколько способов организации такого подключения при помощи штатных средств операционных систем (например, по протоколу RDP (Remote Desktop Protocol) операционных систем Microsoft) или дополнительных вредоносных программ, так называемых бэкдоров. Часто они сделаны на основе модифицированных коммерческих программ (Team Viewer, Virtual Network Computing (VNC), Ammy и др.). Необходимый для такого подключения функционал уже содержится в составе банковских троянов либо для этого на бот устанавливается дополнительный модуль или дополнительная троянская программа-бэкдор, у которой может быть свой собственный центр управления. Заливщик никогда не устанавливает соединение с ботом напрямую со своего сетевого адреса. Для сокрытия адреса используются различные технические решения (об этом будет сказано далее).

Установив такое соединение, заливщик фактически дистанционно использует зараженный компьютер: изучает имеющиеся ЭСП, документацию, касающуюся их использования (если таковая имеется), просматривает архив операций по счетам, анализирует закономерности движения денежных средств, стандартные размеры и формулировки назначения платежей. При правильном применении средств удаленного администрирования этот факт остается незаметным для пользователя компьютера даже при работе одновременно с заливщиком. Однако сбои или недостатки в работе удаленного управления иногда происходят, и тогда пользователь может заметить появление новых неизвестных учетных записей, запуск программ, явное замедление работы компьютера или, например, странные движения курсора по экрану.

При работе заливщика с некоторыми простыми платежными инструментами (например, электронными кошельками операторов по переводу электронных денежных средств, имеющими простую защиту) либо при использовании троянских программ с функционалом автозалива удаленное подключение к ботам не требуется. В первом случае для совершения хищения достаточно тех аутентификационных данных, которые копирует троянская программа на компьютере или устройстве потерпевшего и которые доступны в центре управления ботнетом. Во втором случае заливщик изучает параметры бота и состояние счета по сведениям, накопленным в центре управления. Там же производится настройка автозалива и автоподмены. Эти функции вредоносной программы позволяют произвести перевод денежных средств с использованием имеющегося у бота ЭСП в автоматическом режиме. В зависимости от возможностей вредоносной программы либо платеж совершает сама программа, либо при совершении платежа легальным пользователем незаметно для него подменяется назначение платежа. Чаще всего автозалив используется банковскими троянами для мобильных устройств.

Работая с выбранным ботом, заливщик иногда длительное время ждет появления денежных средств на счете. Так, например, хищение 8 млн руб. у одного из московских заводов в 2011 г. было совершено в день выплаты заработной платы сотрудникам, хотя заражение вредоносной программой произошло за несколько недель до этого. Заливщик, изучив статистику движения по счету, терпеливо ожидал ежемесячного поступления денежных средств.

Если сумма денежных средств, обнаруженных на счете и доступных для хищения, удовлетворяет заливщика, то перевод денежных средств осуществляется практически при первой же возможности – иногда в течение нескольких часов после заражения троянской программой. Для этого заливщик должен располагать реквизитами счета (или счетов), на которые будет осуществлен перевод. Как уже было сказано в предыдущем параграфе, поставкой таких счетов занимаются нальщики. Непосредственно перед совершением хищения заливщик и нальщик согласовывают его детали: какие счета использовать, какие суммы и на какой счет перевести, какие дальнейшие операции предпринять с деньгами. Кроме того, если стороны не работают друг с другом на постоянной основе или в составе устойчивой группы, достигается договоренность о сумме вознаграждения нальщика, гарантиях, предоставляемых заливщику, и порядке передачи ему остатка выведенных денежных средств.

Момент совершения, сумму и назначение перевода денежных средств заливщик выбирает с учетом всех известных ему данных, а также возможностей используемых вредоносных программ. Учитывается возможная реакция легального пользователя компьютера, если предполагается, что у него останется доступ к истории платежей или что ему по внеполосовому каналу связи (телефону) поступит сообщение от оператора по переводу денежных средств. Также учитывается реакция сотрудников банка (если похищаются деньги с банковского счета), проверяющих поступившие платежные поручения. Часто хищения производятся ближе к окончанию рабочего (или банковского) дня, когда внимание пользователей и сотрудников банков ослаблено.

Примером удачного выбора времени является хищение 25 млн руб. у одного из крупных московских акционерных обществ. Перевод был сделан 7 марта примерно в 16 часов, когда не только приближались к концу рабочий день сотрудников компании и банковский день, но и все коллективы (преимущественно женские) были заняты подготовкой к празднованию Международного женского дня. В таких обстоятельствах перевод денежных средств произошел беспрепятственно.

Момент совершения хищения при использовании автозалива зависит от настроек: хищение происходит автоматически при первой возможности либо при совершении пользователем легального перевода денежных средств на нужную сумму.

При использовании оператором по переводу денежных средств одноразовых кодов (SMS-TAN или mTAN) либо голосового телефонного уведомления заливщик заранее предпринимает меры, направленные на получение такого кода или недопущение его отправки. Это отдельная сложная задача, которая решается как техническими методами, так и методами социальной инженерии. Ее решение упрощается при использовании банковских троянов для мобильных устройств. Наиболее современные программы не только совершают переводы денежных средств в режиме автозалива, но и незаметно для пользователей принимают сообщения с одноразовыми кодами и самостоятельно подтверждают платежи.

Деятельность преступных групп существенно осложнили информирование о совершенном платеже и отправка одноразовых кодов подтверждения, в последнее время повсеместно применяемые операторами в связи с вступлением в силу положений ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51]. Однако полной защиты от хищений не обеспечивают даже такие системы, поскольку преступниками активно вырабатываются и используются различные средства противодействия, в частности:

– отключение систем подтверждения платежей (информирования о платежах) вредоносными программами путем воздействия на интерфейсы ЭСП; убеждение владельцев денежных средств отключать такие системы с использованием методов социальной инженерии;

– предварительное накопление одноразовых кодов путем провоцирования операторов на их отправку, а пользователей – на их ввод под различными предлогами, для чего может применяться выдача фиктивных веб-страниц при использовании ЭСП;

– получение одноразового кода для подтверждения платежа от владельца денежных средств путем обмана – в ходе телефонного разговора, при котором злоумышленник представляется сотрудником оператора по переводу денежных средств;

– завладение телефонным номером владельца денежных средств непосредственно перед совершением хищения путем получения дубликата идентификационной карты абонента (SIM-карты) у оператора связи по поддельной доверенности; для этой цели привлекаются соучастники, занимающиеся подделкой документов и получением карт;

– перехват сообщений, содержащих одноразовые коды подтверждения, с использованием специальных технических средств, предназначенных для негласного получения информации (некоторое время назад было отмечено появление на тематических ресурсах объявлений о предоставлении такого рода услуг);

– использование троянской программы со специальным функционалом, который провоцирует владельцев денежных средств устанавливать под видом обновлений мобильных приложений дополнительные троянские программы на мобильные устройства, телефонные номера которых привязаны к счетам; поступающие на такие номера коды подтверждения используются для совершения хищений;

– прямое физическое воздействие на пользователей ЭСП (наиболее опасный способ подтверждения переводов денежных средств); так, например, некоторое время назад на тематических ресурсах были обнаружены сообщения об успешных хищениях денежных средств в особо крупных размерах, в ходе которых преступники, угрожая бухгалтерам компаний, заставляли их подтверждать переводы.

Вернемся к действиям заливщика. После того как все необходимые операции произведены и действия с нальщиком согласованы, в определенный момент осуществляется несанкционированный перевод денежных средств. В случае хищения с банковского счета формируется платежное поручение, которое передается в банк и поступает в очередь на проверку и отправку. Проверка производится вручную или автоматически в зависимости от правил банка и суммы перевода. Перечисление денежных средств осуществляется по корреспондентским счетам так называемыми рейсами – группами платежей по определенному расписанию. До «постановки в рейс» похищаемые денежные средства из банка не уходят и на счета нальщика не поступают. В этот период наиболее высок риск выявления попытки хищения и блокировки перевода. Что касается электронных денежных средств, то их перевод происходит незамедлительно. В системах денежных переводов и системах по приему платежей, по условиям работы операторов и их агентов/субагентов, платежи обычно считаются совершенными с момента оформления соответствующих операций. Движение денежных средств по банковским счетам происходит в таких системах позднее (иногда весьма значительно), например путем взаимозачетов в конце отчетного периода.

Если для злоумышленников все сложилось удачно, денежные средства сразу или через некоторое время оказываются на счете, предоставленном нальщиком. Пока тот выполняет свою часть работы, заливщик решает судьбу бота. Если это компьютер, при помощи которого только что было совершено крупное хищение, то, как правило, производятся удаление троянской программы и вывод компьютера из строя. Для этого используется функционал самого трояна, если таковой предусмотрен, или дополнительно загружаемая вредоносная программа. Степень повреждения компьютера может быть различной – от кратковременного выведения из строя до тщательного многократного удаления всей информации с жестких дисков. Это необходимо, чтобы предотвратить дальнейший доступ пользователя к ЭСП и списку переводов и, соответственно, раннее обнаружение хищения. Чем дольше пользователь не узнает о хищении, тем больше вероятность успешного вывода денежных средств нальщиком.

Впрочем, выведение из строя бота не является обязательным. Иногда хищение производится несколькими частями или повторяется неоднократно, если заливщик уверен в успешности новых хищений. Так, например, счет крупного регионального оператора по приему платежей «сливался» в течение трех дней. В первый день была переведена сумма около 1 млн руб., во второй день – около 1,5 млн руб. и в третий день – еще около 5 млн руб. Многократность хищений (небольшими суммами) также характерна для мобильных банковских троянов.

Действия нальщика после успешного залива зависят от обстоятельств. Практически всегда первый счет (или первые счета), на который были переведены похищенные денежные средства, является промежуточным, на жаргоне – буферным. Задача нальщика – как можно быстрее перевести денежные средства дальше, в другой банк, другую платежную систему (иногда говорят «перестаивать деньги»). Денежные средства, поступившие на буферный счет одной суммой, могут быть разделены на несколько мелких сумм, которые отправляются на счета, открытые у разных операторов. И наоборот, сумма, похищенная серией небольших переводов, например зачислений на балансы сотовых телефонов или переводов на несколько электронных кошельков, может быть после буферных счетов консолидирована на одном счете и оттуда обналичена. После того как денежные средства прошли через цепочку транзакций, нальщики чаще всего обналичивают их в банкоматах, используя банковские карты. Для этих целей хороший нальщик всегда имеет заранее подготовленный запас «материала» – приобретенных у кардселлеров карт, оформленных на посторонних лиц. Криминальные сервисы, торгующие картами, представлены на всех крупных тематических веб-сайтах (пример: http://forum.beznal.cc/).

Наиболее опасный для нальщика случай – когда имеется необходимость получить наличные деньги в отделении банка, пункте получения и выдачи переводов или обмена электронных валют. Потребность в личном посещении такого пункта или отделения банка возникает и тогда, когда особенно дерзкий нальщик пытается получить денежные средства, заблокированные на каком-либо этапе. Часто в таких ситуациях используются дропы. Иногда успешные хищения заканчиваются не обналичиванием денежных средств, а их переводом в надежные электронные валюты (в т. ч. иностранные), обменом на реальные или виртуальные ценности для возврата долга другому нальщику и т. п.

Так или иначе, если хищение совершено удачно и денежные средства прошли все запланированные этапы вплоть до вывода, последним действием является взаимный расчет соучастников. Если хищение совершено устойчивой сплоченной группой, состоящей из реально знакомых между собой лиц, расчеты происходят по заранее согласованной схеме. Например, все денежные средства поступают в так называемый «общак», откуда распределяются в качестве зарплаты или долями по решению организатора преступной деятельности. Если же соучастники (организатор, ботнетчик, заливщик, нальщик) между собой не знакомы, общаются посредством интернета и вступают в кратковременные ситуативные отношения, расчеты между ними обычно происходят путем перечисления на личные банковские или электронные счета. Нальщик перечисляет условленный процент заливщику, а тот в свою очередь перечисляет оговоренную долю ботнетчику и (или) организатору (если эти роли выполняют разные лица). Расчеты с кодерами, траферами, поставщиками хостинга и связок эксплойтов производят бот-нетчик и (или) организатор в установленном порядке, чаще всего на регулярной основе. Оплату услуг дропов, а также «материала» кардселлеров осуществляет нальщик из своей части вознаграждения. При этом для всех участвовавших в хищении лиц важно, чтобы расчеты между ними производились не похищенными в этом или иных случаях денежными средствами (т. е. «грязью»), а исключительно «чистыми» деньгами. Для получения переводов участники стараются использовать банковские карты и электронные кошельки, оформленные не на себя лично, а на посторонних лиц. Эти правила иногда сознательно или по ошибке нарушаются, что дает правоохранительным органам возможность вычислить того или иного участника преступной деятельности.

Приведенная схема взаимоотношений между участниками преступной группы с постоянным составом описана как типовая. В реальности возможны любые схемы организации отношений между лицами, обладающими криминальными специальностями и необходимыми ресурсами. Группы могут складываться на период совершения небольшого числа хищений либо только для разовых крупных хищений. Возможно существование преступных групп, ни один из участников которых не знаком лично с другими участниками. Масштабная систематическая преступная деятельность на основе крупного ботнета может выглядеть как деятельность «группы групп», квалифицируемой правоохранительными органами как преступное сообщество.

Завершая рассмотрение особенностей организации преступной деятельности, необходимо выделить два критически важных и взаимосвязанных вопроса, так или иначе решаемых всеми участниками данной деятельности. Это связь и сокрытие (анонимизация) доступа к сети. Нетрудно предположить, что лица, недооценивающие важность сокрытия своих реальных сетевых адресов (а значит, и физического местоположения) и организации безопасной связи с соучастниками, в «бизнесе по заливам», как и в любом ином криминальном бизнесе, связанном с компьютерной информацией, долго не задерживаются.

Связь внутри территориально разнесенных преступных групп, а также с привлеченными соисполнителями и пособниками в большинстве случаев осуществляется с использованием так называемых мессенджеров – систем мгновенного обмена сообщениями в интернете (англ. instant messaging, messager). Причем популярные коммерческие системы типа ICQ или Skype обычно не используются в связи с их небезопасностью. Используются небольшие системы, преимущественно функционирующие на основе протокола XMPP (известен как «джаббер»), создаваемые на абузоустойчивых серверах и доступные ограниченному кругу лиц. Наиболее технически продвинутые преступные группы, не доверяя чужим ресурсам, устанавливают на отдельных серверах и эксплуатируют собственные «джабберы» и иные системы обмена сообщениями. Обязательная особенность используемых мессенджеров – шифрование передаваемых сообщений для защиты их содержания от возможного перехвата трафика.

В переписке, равно как и при общении на сетевых ресурсах (форумах), никогда не используются реальные имена и иные сведения, позволяющие каким-либо образом идентифицировать злоумышленника. Любопытно, что почти у каждого лица, на постоянной основе занимающегося преступной деятельностью в сфере компьютерной информации, имеется постоянный псевдоним, под которым данное лицо может достигать определенной известности в кругу своих коллег. Это, конечно, не отменяет возможности использования разовых или полностью обезличенных (например, цифровых) псевдонимов. Также участники преступной деятельности иногда используют телефонную связь и электронную почту, что существенно повышает шансы на их выявление и привлечение к уголовной ответственности.

Не менее важной задачей является сокрытие доступа в интернет. Абсолютное большинство компьютерных систем операторов связи, систем операторов по переводу денежных средств и любых иных сетевых систем сохраняет сведения о состоявшихся соединениях, сеансах связи, переданных сообщениях и т. п. в так называемых файлах регистрации статистики (лог-файлах). Участники преступных групп обычно не используют для доступа в сеть постоянные (проводные) соединения, тем более установленные в жилых или рабочих помещениях и предоставляемые на основе официальных договоров. Большинство населенных пунктов сейчас входит в зону покрытия сотовых сетей, предоставляющих услуги широкополосного беспроводного доступа (3-го и 4-го поколений). Устройства для доступа (модемы, телефонные аппараты, смартфоны) повсеместно имеются в свободной продаже, а оформленные на чужие персональные данные идентификационные карты абонентов (SIM-карты) могут быть почти свободно приобретены в любом крупном городе либо на специализированных сетевых ресурсах с доставкой в нужное место. Однако справедливо считается, что даже такой доступ необходимо скрывать, так как по IP-адресу беспроводной сети можно установить если не личные данные и точный адрес пользователя, то как минимум регион, населенный пункт, примерное местонахождение, статистику соединений, а в дальнейшем можно провести в отношении пользователя оперативно-разыскные мероприятия.

Поэтому для сокрытия реальных IP-адресов используются специальные технологии и системы. Прежде всего это VPN (англ. Virtual Private Network — виртуальная частная сеть) – группа технологий, позволяющих обеспечить защищенное сетевое соединение (логическую сеть) поверх интернета. При использовании VPN устанавливается так называемое тоннелированное, зашифрованное, соединение между устройством пользователя и находящимся на удалении VPN-сервером, который в свою очередь устанавливает соединения с нужными пользователю сетевыми ресурсами. Последние, соответственно, сохраняют в своих лог-файлах только IP-адрес VPN-сервера. Для повышения безопасности соединения может быть задействована цепочка из нескольких VPN-серверов (обычно двух или трех, максимум четырех). Разумеется, серверы для таких целей, как правило, арендуются за границей и не сохраняют статистику соединений. Обычно VPN предоставляется как платная услуга многочисленными официальными и неофициальными поставщиками, но наиболее технически продвинутые преступные группы, равно как и отдельные участники преступной деятельности, создают собственные «приватные» VPN-серверы, часто на абузоустойчивых хостингах, и, конечно же, не допускают к ним посторонних лиц.