Марьяна Торочешникова: На днях я чуть ни стала жертвой мошенников, решив помочь своей приятельнице. Ее мама попала в страшную аварию, и ей срочно нужны были деньги на проведение операции. И об аварии, и об операции я узнала из личного сообщения во "ВКонтакте", которое приятельница мне прислала. Я уже была готова отправить какую-то сумму, чтобы ее поддержать, но решила уточнить, что сейчас с мамой, в какой она больнице, и написала ей сообщение в другой мессенджер. И получила ответ: "С мамой все в порядке, мою страницу во "ВКонтакте" взломали". О подобных историях я слышала и читала много раз и все время удивлялась: неужели есть люди, которые на это ведутся, как вообще это можно? Оказывается, можно.
"Люди, компании и государственные организации больше не могут быть уверены в безопасности киберпространства, а также в целостности персональных данных" – это цитата из последнего отчета одного из ведущих разработчиков решений для детектирования и предотвращения кибератак компании Group-IB. Неужели все настолько плохо? Как работают киберпреступники и как обезопасить себя от них? Разберемся вместе с ведущим экспертом по кибербезопасности, заместителем руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB Сергеем Никитиным, специалистом по анализу и обработке больших данных и искусственному интеллекту Артуром Хачуяном и директором московского отделения бизнес-акселератора Founder Institute Дмитрием Гордиенко.
Видеоверсия программы
Раньше киберпреступность ассоциировалась исключительно с хакерами, вирусными программами и чем-то довольно далеким от простых смертных. Сейчас все гораздо ближе и проще.
Сергей Никитин: Киберпреступлениями можно называть все, что связано с преступной деятельностью с использованием высоких технологий. Вообще, во всех странах СНГ (это такая характерная особенность региона) для преступников наиболее интересны всякие финансово мотивированные преступления, в результате которых можно сразу похитить денежные средства. Это, допустим, не кража корпоративных секретов и их продажа, не что-то такое суперсложное, как в голливудских фильмах, а в основном обыкновенное хищение денег с банковских карт либо посредством систем клиент-банка.
Артур Хачуян: Все, что сейчас направлено на кражу денег у россиян, в основном крутится вокруг так называемой социальной инженерии, когда звонят и говорят: "Здравствуйте, это банк. Пришлите нам, пожалуйста, код из эсэмэски" – и воруют у вас деньги с карточки. Это самая популярная история. На втором месте утечки персональных данных из каких-то компаний либо по их собственной вине, потому что где-то база данных осталась в открытом доступе, либо это делают хакеры или кто-то еще. А третья история – это взлом, когда человек взламывает человека, но это очень редкие случаи.
Сергей Никитин: Многие киберпреступления являются некой подготовкой атаки. Например, взламываются какие-нибудь организации, в том числе банки, массово скупаются данные об утечках информации, и потом эта похищенная или утекшая информация используются для подготовки новых преступлений, уже финансово мотивированных. Допустим, украли базу какого-то оператора связи: сразу можно узнать актуальных абонентов, их ФИО, где они живут, их паспортные данные и номера телефонов. Можно им позвонить и представиться сотрудником банка, чтобы узнать данные банковской карты и потом украсть деньги.
Конечно, бывает и банальная установка вирусов на ваши ноутбуки, когда ваша веб-камера начинает писать все, что происходит. У нас в практике тоже было такое – человек заражал свою районную локальную сеть, а потом шантажировал людей. Но это все-таки очень малый процент от всех преступлений.
Киберпреступлениями можно называть все, что связано с преступной деятельностью с использованием высоких технологий
Естественно, существуют и высокотехнологичные угрозы, когда мы говорим о кибероружии, о шпионаже, об использовании этого оружия именно государствами друг против друга, как с целью нанесения какого-то урона, так и с целью очень длительной разведки. Но если вернуться из мира Джеймса Бонда к действительности, то у рядовых людей, да и у обыкновенных, не суперкрупных компаний наибольший шанс столкнуться с мошенничествами, связанными именно с хищением денежных средств.
Мошенничество известно в древних времен, то есть высокие технологии – это не причина, а просто инструмент. Если лет десять назад был популярен звонок от имени как будто ребенка, который попал в плохую ситуацию, и нужно срочно перевести деньги, чтобы откупиться, то сейчас это именно приемы социальной инженерии, которая используется для похищения каких-то ваших чувствительных финансовых данных. Существуют миллионы различных схем.
Марьяна Торочешникова: Банки предупреждают: никому не сообщайте свое кодовое слово, не передавайте информацию о секретных кодах, которые приходят вам в смс, блокируйте карты сразу, как только вы их потеряли. Но мошенников это не останавливает.
Александр Васев: Некий Самвел Ваганович Григорян, как я потом узнал, снял порядка 115 тысяч рублей с моей карты.
Екатерина Ефимова: За 48 минут у меня с карты сняли все подчистую.
Корреспондент: Телефонный разговор стоимостью 140 тысяч рублей! Именно такую сумму смогли украсть мошенники с карты Екатерины Ефимовой.
Екатерина Ефимова: Мне стали поступать сообщения о списаниях – на 17 тысяч рублей, на 19 тысяч, на 32 тысячи. И пришло пять сообщений подряд. Тут же раздается звонок, меня называют по имени и отчеству, и очень приятный мужской голос с такой поставленной речью говорит: "Сейчас с вашей картой происходят мошеннические действия". Я говорю: "Да, я вижу. Что же делать?"
Корреспондент: Мошенник сказал, что переведет Ефимову на сотрудника безопасности Центробанка, который, в свою очередь, попросил Екатерину продиктовать секретные коды.
Екатерина Ефимова: В эсэмэске написано: "Никому не сообщайте код". А у меня просили код, который был вместе с этим списанием. Я задала такой вопрос этому человеку, и он как-то грамотно мне ответил. Правда, мозг уже отключился.
Корреспондент: Как только Ефимова продиктовала мошенникам все коды, связь оборвалась, а деньги с карты пропали. Екатерина тут же перезвонила в Сбербанк, но ей сказали, что отменить операции и вернуть деньги невозможно. В отделении банка, куда девушка приехала через три часа после списания средств, сотрудница тоже не спешила помогать.
Екатерина Ефимова: Она сказала, что мне сейчас никто не поможет, конец рабочего дня и тому подобное. Пока я не устроила скандал, мне не выдавали эту бумажку. И я написала все, как было.
Корреспондент: Спустя два дня банк подготовил ответ на заявление Ефимовой.
Екатерина Ефимова: Банк снимает с себя ответственность по моему вопросу, это моя вина, "а если не устраивает, обращайтесь в правоохранительные органы".
Корреспондент: Ефимова обратилась в полицию, а заодно попросила у Сбербанка выписку со счета о переводах. Оказалось, что операция была обработана не 14-го числа, когда звонили мошенники, а только спустя два дня.
Екатерина Ефимова: Они мне сказали, что это просто в бумажке так написано, а по факту средства переводятся сразу, и ничего сделать невозможно.
Корреспондент: На вопрос Радио Свобода о возможностях вернуть деньги, украденные мошенниками, Сбербанк к моменту подготовки сюжета не ответил. Ранее представители банка заявляли, что в прошлом году только за новогодние праздники сотрудники безопасности смогли предотвратить кражу 280 миллионов рублей со счетов клиентов Сбербанка. Но в случае Александра Васева служба безопасности не заметила мошеннических действий.
Александр Васев: Я первым делом поехал в отделение Сбербанка, где мне выдали дежурный бланк и сказали, что такое происходит повсеместно.
Корреспондент: Накануне Васев потерял мобильный телефон. В Сбербанк он звонить не стал, потому что знал, что и на самом мобильном, и на банковском приложении стоят пароли. Но это не остановило мошенников. Они просто переставили сим-карту в другой телефон.
Александр Васев: Все деньги были сняты через мобильный банк, через вот это приложение – 900. Никто не позвонил Самвэлу Вагановичу узнать, я ли это, не запросил у него кодовое слово.
Корреспондент: У Васева украли 115 тысяч рублей, и виноват в этом оказался он сам.
Александр Васев: Когда я подписывал электронный договор о том, что пользуюсь мобильным банком по номеру 900, где-то там мелким шрифтом прописано, что как только я теряю сим-карту, я должен сообщить об этом в банк. И из-за того, что я не сообщил им об этом в течение двух часов, они не несут никакой ответственности за пропажу денег.
Корреспондент: Банки регулярно совершенствуют системы защиты, но мошенники находят способы их обойти: добывают подробную информацию о вас и даже звонят с "банковских" номеров.
Мария Командная: В прошлую среду мне позвонил какой-то парень, который представился сотрудником службы безопасности "Альфа-банка". Сказал, что на моем счете зафиксирована подозрительная активность, что с него пытаются списать довольно крупную сумму. Звонили не с номера "Альфы", и мне это показалось довольно подозрительным. Я позвонила в банк, и мне подтвердили, что я говорю с сотрудником службы безопасности. После этого тот же самый человек перезвонил мне с официального банковского номера.
Корреспондент: Мошенники украли у Марии Командной 90 тысяч рублей. "Альфа-банк" деньги не вернул и посоветовал обратиться в полицию. Многие на этом и останавливаются, жалея времени, нервов и денег на юристов.
Александр Васев: Примерно 115 тысяч рублей я и потрачу на услуги юристов, чтобы Сбербанк вернул мне ту же сумму.
Телефонный разговор стоимостью 140 тысяч рублей! Именно такую сумму украли мошенники с карты Екатерины Ефимовой
Корреспондент: Иногда украденные деньги все-таки удается вернуть без помощи правоохранительных органов. Повезло Сергею Казакову – он потерял свою банковскую карту и спустя пару часов заметил, что кто-то покупает по ней товары на AliExpress. Казаков обратился в банк и в службу безопасности китайского интернет-магазина, и ему вернули деньги.
Дмитрий Гордиенко: Несколько раз с моих карточек в разных точках мира списывались средства, как правило, не слишком большие. В каждом из этих случаев я обращался в свой банк. Они каждый раз предлагали мне писать какие-то заявления, открывали какой-то номер расследования, и абсолютно никакого толка от этого не было. Это говорит о том, что ответственности практически никто не несет.
Я точно не знаю, что написано по этому поводу в американском законодательстве, но когда я жил в США, и у меня там тоже несколько раз пропадали деньги с карт, то деньги возвращались мне в день обращения. Банк сначала забирал деньги, а потом разбирался. Видимо, там законодательство работает как-то по-другому, и им дешевле поступать именно так. А здесь им дешевле ничего не делать.
Сергей Никитин: Сама телефония, которая у нас сейчас существует, базируется на технологиях 80-х годов, как и многие протоколы интернета, например. И в те времена многие были озабочены скорее тем, чтобы это работало как можно более стабильно, чтобы корректно считались деньги, но не очень заморачивались по поводу безопасности. Поэтому, например, такая штука, как поле отправителя в смс, никак не проверяется, это не защищено, и, имея смс-шлюз, можно отправлять сообщения от имени кого угодно.
Точно так же со звонками: у вас будет высвечиваться любой номер, можно даже выводить туда не цифры, а прямо буквы, и этим пользуются злодеи, звоня будто бы от имени банка и пытаясь выяснить различные данные. Причем они стали настолько круто подделываться, что включали на фоне звук кол-центра, будто бы кто-то там перебирает бумаги, кладет трубки, разговаривает, идут какие-то звонки.
Они обязательно будут на вас давить, требовать сделать что-то как можно быстрее: "скорее, скорее, деньги уже похищают, мы заинтересованы в вашей безопасности" и так далее. Это характерный момент, который сразу позволяет вам понять, что это мошенники.
Артур Хачуян: Банк звонит пользователям в очень редких случаях. И реальный способ обезопасить себя – сбросить звонок, сказав: "Я сейчас перезвоню в банк сам", – и перезвонить туда. Подделать звонок от имени банка – это уже очень сложно, но в некоторых случаях это делается. А сделать так, чтобы вы кому-то позвонили и попали вместо банка на мошенников, это очень сложная задача. Это нужно куда-то встроиться: либо в сеть между вами и мобильным оператором, либо между вами и сайтом банка, для того чтобы вы загуглили номер и нашли не тот. Просто исключаем такой случай как статистическую погрешность.
Сергей Никитин: Кстати, это не всегда звонки от банка. Это могут быть звонки о том, что вы выиграли в лотерею, или вот из последних был звонок с интересной схемой, связанный с технологиями. Вам звонит человек: "Я представляю финансово-инвестиционную компанию! Мы выбрали вас, вы такой клевый, и я вас сейчас научу, как играть на бирже и выигрывать невероятные деньги". Человеку предлагают по удаленному управлению поставить на компьютер или на телефон специальную программу, он ее скачивает, она совершенно легальная: она нужна, чтобы системный администратор помог вам решить какую-то проблему. Человек открывает поддельный сайт какой-то биржи, который выглядит как настоящий, показывает, как он играет на бирже и как вы выигрываете прямо сейчас.
В какой-то момент он предлагает вам сыграть на реальные средства: смотрите, как все здорово получается, давайте вы сейчас еще попробуете, на любую сумму, какую хотите. Человек приходит в свой "клиент-банк" с удаленным управлением, вводит все логины и пароли, и в этот момент злоумышленники с помощью удаленного управления проводят все платежи. А если программу ставили на смартфон, то злоумышленники видят все эсэмэски, которые вам приходят, или даже уведомления от клиент-банка (сейчас многие клиент-банки стали присылать коды не в смс, а прямо в свое приложение). И злодеи, видя экран вашего смартфона на своем компьютере, все это перехватывают и могут делать с этим что угодно. Мошенники используют совершенно безобидные технологии по поддержке пользователей, социальную инженерию и общее запудривание мозгов.
И многие люди даже после совершения мошенничества говорят: "Смотрите, у меня вот до сих пор открыт сайт, на котором я выиграл три миллиона рублей, – как мне их снять?" Он не может понять, что это не миллионы рублей, а просто ему сайт заранее рисовал цифирки. Вернуть эти деньги практически нереально по той причине, что все выглядит так, как будто это делает настоящий пользователь, то есть с точки зрения банка этот платеж совершенно легален.
Марьяна Торочешникова: Одна из новинок сезона: в 2019 году под андроид появились вирусы с автозаливом. Как это работает?
Сергей Никитин: Практически во всех случаях заражения андроид-смартфонов пользователи сами поставили вирус себе на смартфон. Людям приходят сообщения в соцсетях: например, "для вас романтический подарок", – человек переходит по ссылке, заражает свой смартфон и даже не знает о том, что он заражен. И даже смс о том, что у вас списываются деньги, у вас отображаться не будут. Раньше злоумышленникам нужно было практически вручную получить от вас какие-то данные и провести платеж. Сейчас вирус может отправить эсэмэски о балансе всем банкам, которые привязаны к вашему номеру телефона, узнать, где какой баланс, и потом отправить команды по переводу денег, чтобы у вас на балансе было ровно ноль, то есть украсть все до копейки во всех банках, которые привязаны к этому счету. Кроме того, есть еще возможность перехвата и ввода данных в само приложение мобильного банка.
Как защититься? Очень просто! Никогда не разрешать установку приложений из непроверенных источников, ставить приложения только из официального магазина приложений. И тут есть еще один момент, связанный с маркетингом и продажами. К сожалению, пользователей, в том числе для информационной безопасности, вынуждают часто менять смартфоны. Производители андроид-смартфонов редко долго выпускают обновления безопасности и обновления версий самого андроида. А уязвимости находятся постоянно, и у вас на руках может быть какой-нибудь недорогой, простой смартфон, который вы купили три года назад, и на него уже не выходят никакие обновления безопасности, в нем точно есть дырки, но производитель его больше не поддерживает. И вот тогда вас могут взломать, именно используя уязвимости, даже если вы ничего не делаете.
На данный момент безопасным можно считать андроид версии 9.0; уже вышел десятый, но 9.0 еще актуален. Если вы зайдете в данные о телефоне, то там пишется: андроид версии такой-то, – а еще написано: "патчи уровня безопасности" или "версия безопасности" и дата. Допустим, у вас может быть старый андроид, но патчи на январь 2020 года, и тогда все хорошо. Если же ваш андроид не обновляется, и у вас патчи безопасности меньше, чем осень 2019 года, к сожалению, это значит, что нужно покупать новый. По-другому защититься просто невозможно.
Марьяна Торочешникова: В России огромное количество утечек персональных данных. И даже специальный закон тому не помеха. Утекают базы госучреждений, клиентские базы банков, операторов связи, торговых сетей, и в распоряжении злоумышленников оказывается невероятное количество сведений о вас: начиная с паспортных данных и заканчивая списком покупок за последние месяцы.
Дмитрий Гордиенко: Если вы считаете, что ваши данные в безопасности, вне зависимости от того, крадет их кто-то или не крадет, то это большая ошибка. Эти данные сегодня собирают все кому не лень, то есть если вы не платите за какие-то услуги деньгами, вы, как правило, платите за это своими личными данными. Существует огромное количество людей, которым особо нечего терять. Им дешевле продать свои данные, которые их не слишком волнуют, и получить какие-то бесплатные сервисы.
Артур Хачуян: У нас в стране утечки персональных данных происходят буквально по парочке в несколько дней. Далеко ходить не надо: недавно утекла база лояльных клиентов у магазинов "Красное и белое". Там этих клиентов, по-моему, четыре миллиона с лишним. Ты берешь эту базу, где есть номер телефона, имя, фамилия, дата рождения, звонишь этому человеку и говоришь: "Здравствуйте, Иванов Иван Иванович, вы такого-то года рождения, вам звонит банк". Вам достаточно просто купить городской московский номер в диапазоне номеров банка, и как минимум один человек из двадцати точно согласится назвать эсэмэску в коде.
У нас в стране утечки персональных данных происходят буквально по парочке в несколько дней
Бывают и такие штуки, когда утекают базы, в которых есть и номера кредитных карт, если это подписной сервис. Если где-то слили базу данных с вашим открытым паролем, то могут взломать и другие аккаунты, в которых стоял такой же пароль. Если это просто персональные данные, в которых есть дата рождения, а у вас в банке секретным вопросом является месяц рождения, то можно восстановить доступ.
Действие тут следующие: вы идете в надзорный орган, пишете заявление о том, что ваши данные оказались в открытом доступе, и Роскомнадзор должен предпринять какие-то действия. Если вы получаете нежелательную эсэмэску еще от кого-то, вы идете в ФАС, пишете заявление и делаете то же самое. Придется подождать год, пока они разберутся и всех накажут. Но, к сожалению, ваш телефон уже куда-то попал.
Сейчас скрыть номер телефона – это практически нереальная задача. Даже если вы покупаете абсолютно новую, чистую сим-карту и никому с нее не звоните, вам все равно начинают поступать рекламные сообщения. Вы спрашиваете, и оказывается, что это делает мобильный оператор, потому что в соглашении вы дали на это разрешение. Он потом загружает эти номера телефонов в рекламные кабинеты, а значит, об этом знают уже Mail и Yandex или Facebook и Google. И телефончик куда-то двигается...
К сожалению, у нас сейчас законодательное регулирование в плане защиты одного конкретного человека работает очень плохо, потому что ключевое отличие российского закона о персональных данных от европейского или американского в том, что там защищают права человека, а у нас защищают данные. И ты можешь только оштрафовать компанию за то, что данные куда-то утекли. А сам человек вообще не может ничего с этим сделать. Да, можно написать в РКН или в ФАС, но эти данные из открытого доступа уже не уберут, это очень сложно.
Дмитрий Гордиенко: Я бы не ожидал какой-то серьезной цифровой безопасности как в области личных данных, так и в области того, что люди делают повседневно, и им кажется, что об этом никто не знает. Мы как цивилизация выходим на совершенно новые горизонты, все переходит в цифру, но насколько быстро люди придумывают новые системы охраны, настолько же быстро другие технологии превосходят эти системы охраны. Это бесконечный процесс.
Марьяна Торочешникова: Часто вы сами выкладываете в сеть все, что нужно знать преступникам.
Сергей Никитин: Автоугонщики отслеживают всякие элитные инстаграм-аккаунты, чтобы смотреть, где паркуются дорогие автомобили, планируя угон и атаку на них. Домушники отслеживают, когда вы начинаете постить в инстаграме фото с Мальдив, потому что знают, что ваша квартира с дорогим ремонтом, которую вы тоже туда выкладывали, в этот момент будет пустой и можно ее ограбить. Любая информация, которую вы выкладываете публично, может быть использована против вас неким криминальным умом.
Артур Хачуян: Это постоянная война. Технологии развиваются не односторонне. У банков появляются новые системы защиты, у мошенников – новые системы обхода. Поэтому среднестатистическому гражданину нужно сделать разные пароли на разных ресурсах, убрать дурацкие вопросы типа девичьей фамилии матери, потому что в "Одноклассниках" в круглых скобочках у всех написаны девичьи фамилии матерей, и это элементарно ищется, так же, как и кличка домашнего животного.
Чего стоит бояться, так это национальной системы управления данными, вот этого мифического проекта, что все соберут в единую базу, дадут к ней доступ МВД, кому-то еще, и пароль, в конце концов, приклеят на стекле, на мониторе. Самую большую роль тут всегда играет человеческий фактор. В конце концов, оператора этой национальной системы управления данными точно так же подкупят в дарквебе за пять тысяч рублей, и он все это выгрузит. К сожалению, это реальность. С этим можно бороться только какими-то очень хитрыми алгоритмами, до которых тоже расти и расти.
Марьяна Торочешникова: Как же все-таки обезопасить себя от киберпреступников? Или в цифровой век невозможно это сделать?
Сергей Никитин: Любые подозрительные вещи лучше перепроверить. Не бойтесь показаться невежливыми, бросайте трубки, если идет какой-то странный разговор, перезванивайте сами в свой банк, не бойтесь позвонить другу, который написал вам в соцсетях, что ему срочно нужны деньги, и спросить, действительно ли это так. Нужно просто проверять всю информацию. Что-то очень дешевое, невероятно выгодные скидки, смартфон за полцены, любая халява должна вызывать здоровую озабоченность.
Второе – это обновления. Обновляйте ваши гаджеты, смартфоны, чтобы на них были актуальные версии операционных систем. Миллион программистов по всему миру получают зарплату за то, что исправляют дырки и уязвимости в программах, и глупо этим не пользоваться. К сожалению, огромное количество людей, когда у них выскакивает: "нужно обновиться", "нужно перезагрузиться для обновления", – решают: как-нибудь в следующий раз.
И последнее: думайте о том, что и как вы публикуете в интернете, потому что все это может остаться там навсегда и использоваться против вас.
