Аналитические материалы членов Союза: интервью президента ВПА России Ю.Н. Жданова

Названы наиболее опасные способы мошенничества в интернете

Европол предложил решения для борьбы с киберпреступностью

Киберпреступность эволюционирует. Методы и инструменты, используемые киберпреступниками, все чаще применяются и в других областях преступности, а цифровая криминальная экосистема продолжает развиваться ударными темпами. По мнению аналитиков Европола, кибермафия по своему влиянию может соперничать с действующими законными правительствами. Насколько обоснованы подобные утверждения рассказал президент российской секции Международной полицейской ассоциации генерал-лейтенант, доктор юридических наук, профессор, заслуженный юрист России Юрий Жданов.

Европол предложил решения для борьбы с киберпреступностью

— Юрий Николаевич, что же мы сегодня наблюдаем — эволюцию или революцию киберпреступности? Уж слишком быстрыми темпами все развивается.

– Этот же вопрос задали сами себе год назад участники конференции IOCTA Европола. IOCTA – это ежегодный стратегический продукт Европола, который обеспечивает ориентированную на правоохранительные органы оценку возникающих угроз и ключевых событий в области киберпреступности. Сочетание аналитических данных правоохранительных органов и частного сектора позволяет представить всеобъемлющий обзор ландшафта угроз. Это – серьезная и важная для всех работа. Европол оказывает поддержку крупным трансграничным операциям по борьбе с киберугрозами, число операций увеличилось с 57 в 2013 году до 430 в 2020 году.

– И к чему пришли в этот раз по поводу развития киберпреступности?

– Все-таки, это эволюция, хотя и весьма ускоренная. Новая реальность, вызванная глобальной пандемией, требует быстрой адаптации, и вполне вероятно, что темп и организация личной и профессиональной жизни навсегда изменились. Неизбежно эти события также простимулировали инновации среди киберпреступников, которые стремились извлечь выгоду из новых возможностей.

На днях, 11 ноября, был опубликован новый доклад Европола “Оценка угрозы организованной преступности в Интернете (IOCTA) 2021”. Вот ключевые выводы.

Во-первых, операторы вредоносных программ для мобильных устройств воспользовались ростом онлайн-покупок, используя службы доставки в качестве фишинговых приманок, чтобы обманом заставить своих жертв загрузить свой вредоносный код. Они крадут их учетные данные или совершают различные формы мошенничества с доставкой.

Во-вторых, трояны мобильного банкинга стали особенно серьезной угрозой из-за его возросшей популярности.

В-третьих, преступники продолжают использовать нарративы COVID-19 для онлайн-продажи поддельной медицинской продукции и стремятся украсть учётные данные.

В-четвертых, хотя биткойн в настоящее время остается предпочтительной криптовалютой для пользователей и поставщиков Dark Web, популярность Monero и других монет конфиденциальности растет. Преступники всё чаще конвертируют свои незаконные доходы, полученные в биткойнах.

В-пятых, материалы о сексуальном насилии над детьми (CSAM) активно продаются в одноранговых (P2P) сетях и Dark Web, где криптовалюты также используются для платежей, при этом правоохранительные органы сообщают об увеличении коммерческого распространения.

И, в-шестых, анонимность в Интернете усугубляется широким распространением технологий шифрования, которые могут принести пользу и законным пользователям, и преступникам одновременно. Помимо законных услуг, международные правоохранительные органы пристально следят за поставщиками VPN и криптографических телефонов, которые обслуживают криминальные элементы нашего общества.

– Это значит, что преступники не только мошенничают для себя, но и выступают в качестве наемников в киберпространстве?

– Да, модель «Преступление как услуга» (CaaS) остается важной чертой киберпреступного подполья и является сквозным фактором во всех областях киберпреступности. Доступность наборов эксплойтов и других услуг не только обслуживает преступников с низким уровнем технических навыков, но также делает операции организованных злоумышленников более эффективными.

За последний год европейские правоохранительные органы сообщили об увеличении предложения «преступлений как услуги» в Dark Web, из которых партнёрские программы по вымогательству кажутся наиболее заметными. Эти программы представляют собой эволюцию модели «Вымогательство как услуга» (RaaS), в которой операторы делятся прибылью с партнёрами, которые могут взломать целевую сеть, либо собирать всю информацию, необходимую для запуска атаки, либо самостоятельно развертывать вредоносное ПО.

Это расширило рынок продажи доступа к взломанной инфраструктуре и утечкам данных. Связанный с деятельностью операторов программ-вымогателей и мобильных вредоносных программ, доступ как услуга (AaaS) также пользуется большим спросом, поскольку он помогает как опытным командам вредоносных программ, так и преступникам низкого уровня, арендующим инструменты для доступа к корпоративным сетям.

— То есть, на нелегальные рынки хлынула личная информация из взломанных банков данных?

– К сожалению, это так. Это — побочный продукт роста многоуровневых схем вымогательства и широкомасштабных кампаний по воровству мобильной информации. Причем, эти данные востребованы широким кругом злоумышленников, поскольку они могут значительно повысить вероятность успеха социальной инженерии, применяемой при любой форме атаки. В нынешнем виде пользователь часто остаётся самым слабым звеном в системе ИТ-безопасности. Это означает, что социальная инженерия остается важным вектором для получения доступа к информационной системе или, в случае мошенничества, к банковскому счёту жертвы.

– Создается впечатление, что киберпреступники уже практически ничего не боятся.

– Это, увы, медицинский факт. Широкое использование серой инфраструктуры повышает операционную безопасность преступников.

Помимо «преступлений как услуги», различные другие услуги, инструменты и технологии продолжают способствовать облегчению киберпреступности. Некоторые из них являются законными сферами, которые широко используются, но непреднамеренно полезны и для достижения целей киберпреступников.

– То есть, технологии «двойного назначения»?

– Получается, что так. Например, безопасное общение, анонимность, сокрытие и отмывание преступных доходов и многое другое. Многие услуги можно отнести к «серой» зоне. Такие службы часто находятся в странах с очень строгими законами о конфиденциальности. Они используются преступниками и рекламируются на криминальных форумах.

В том числе, услуги серой инфраструктуры включают в себя мошеннические обмены криптовалютой и виртуальные частные сети, которые обеспечивают безопасное убежище для преступников. Легальные услуги, которыми злоупотребляют киберпреступники, — обычное дело. Самая известная особенность таких сервисов — надёжное сквозное шифрование.

К другим законным инструментам и методам, которыми злоупотребляют киберпреступники, относятся криптовалюты и VPN. Киберпреступники скрывают и отмывают незаконно полученные средства с помощью криптовалют.

– Но ведь с этим как-то борются сами биржи? Ведь власти их могут банально закрыть.

– Борются, но не все так просто. Да, многие законные криптовалютные биржи ужесточили свои правила «знай своего клиента» с момента введения руководящих принципов и директив на различных уровнях. К сожалению, отмывание криптовалюты остаётся возможным из-за постоянства миксеров, сервисов обмена и бирж, работающих в серых зонах. Киберпреступники также могут использовать законных провайдеров VPN, поскольку они обеспечат им безопасный и надежный просмотр веб-страниц. Эти компании по-прежнему будут выполнять законные запросы о предоставлении информации, когда их услуги используются для киберпреступной деятельности. Вот они, двойные технологии.

– А куда смотрит Европол?

– На мой взгляд, он смотрит куда надо и действует эффективно, насколько ему позволяет законодательство. В течение прошлого года Европол — вместе со своими партнерами — скоординировал демонтаж различных сервисов, работающих в серых зонах, таких как уничтожение двух VPN, которые обеспечивали безопасное убежище для киберпреступников:. Провайдеры зашифрованной связи (также известные как «криптофоны») привели к арестам сотен преступников и конфискации тонн запрещенных наркотиков, огнестрельного оружия и миллионов евро. Однако, что более важно, эти операции предоставили глобальным правоохранительным органам бесценную информацию о действиях преступников и их сетях.

Операторы вредоносных программ, особенно те, которые связаны с партнёрскими программами вымогателей, улучшили свои методы атак и функциональные возможности вредоносных программ. Мобильные банковские трояны совершили прорыв благодаря растущему числу пользователей, предпочитающих вести свою финансовую деятельность через мобильные устройства.

Вопрос тут больше к законодателям и политикам. Получается так, что европейские правоохранительные органы сейчас всё больше сосредотачиваются на сервисах, которые не просто работают для обеспечения безопасности пользователей, но, скорее, объективно защищают киберпреступников от полиции. Хотя не все пользователи таких услуг обязательно являются преступниками, уровень преступности, связанный с такими услугами, часто настолько высок, что национальные правоохранительные органы, обнаружив достаточно доказательств преступных злоупотреблений, могут рассматривать их как преступные предприятия.

Так, Европол оказал помощь и в аресте гражданина Италии, подозреваемого в найме киллера в Dark Web. Известно, что оружие, приобретенное в Даркнете, было конфисковано.

И в Нидерландах человека приговорили к 8 годам тюремного заключения за несколько попыток заказать убийство по контракту с помощью платформ в Даркнете и зашифрованных приложений чата. Кроме того, оружие продавалось на торговой площадке Dark Web, закрытой в мае 2021 года французскими властями. В сентябре 2020 года в Испании был демонтирован нелегальный цех по печати трехмерного оружия, что свидетельствует о новом методе работы. Подозреваемый скачал из даркнета шаблоны для печати оружия. Во время одного из обысков дома в рамках совместной операции Налогового управления Испании и Национальной полиции сотрудники правоохранительных органов обнаружили различные 3D-принтеры, на одном из которых производилась печать небольшого огнестрельного оружия. Более того, продавцы не перестали использовать возможность злоупотреблять неопределенностью, окружающей пандемию, предлагая на продажу поддельные вакцины и маски, тем самым обманывая покупателей.

– Вернемся к эволюционированию киберпреступности. Суть главного вида киберпреступлений – вымогательство – осталось? Или DDoS-атаки уходят в прошлое и теперь придумано нечто иное?

– Несмотря на то, что мир радикально изменился за последний год, одна константа, которая осталась неизменной, — это угроза, которую программы-вымогатели представляют для нашей финансовой, общественной и даже физической безопасности. DDoS-атаки с целью выкупа возвращаются, поскольку преступники используют имена хорошо известных групп повышенной постоянной угрозы, чтобы запугать свои цели и заставить их выполнить требования выкупа.

Киберпреступники нацелены на поставщиков интернет-услуг, финансовые учреждения, а также малый и средний бизнес. Обычно небольшая демонстрационная атака на услуги целевых организаций предшествует требованию выкупа. Злоумышленники начали утверждать, что они связаны с хорошо известными группами продвинутых постоянных угроз, такими как Fancy Bear и Lazarus, чтобы запугать жертву и заставить ее заплатить выкуп. Имеются сообщения о последствиях несоблюдения требований, когда в некоторых случаях угроза крупномасштабной атаки не материализовалась, в то время как в других, таких как атака на Новозеландскую фондовую биржу, злоумышленники выполнили свое обещание.

– Как сегодня выглядит схема такой атаки?

– Сама схема принципиально не изменилась, меняется лишь скорость, масштаб и эффективность атаки. Ну, это как переход от кремневого ружья к пулемету. А так — происходит все тот же «отказ в обслуживании» (DDoS) с целью выкупа. Киберпреступники продолжают двигаться к более продуманному выбору целей, и растёт число партнёрских программ по вымогательству, стремящихся к сотрудничеству с хакерами и другими разработчиками вредоносных программ.

Операции с программами-вымогателями все больше сосредотачиваются на атаках на крупные организации и их цепочки поставок.

Эти тенденции отмечались и раньше, но переход произошел быстрее, чем многие могли ожидать, за последний год обнаружились многочисленные крупномасштабные вторжения.

– Появились ли какие-то новации в действиях киберпреступников?

– Криминальная мысль не стоит на месте. Многие из самых известных партнёрских программ по вымогательству развёртывают DDoS-атаки против своих жертв, чтобы заставить их выполнить требование выкупа. Эти методы работы становятся все более популярными среди преступников, занимающихся мошенничеством с инвестициями, что, по мнению правоохранительных органов Европы, является одной из основных угроз. Те, кто организует эти схемы, создают местные центры обработки вызовов, чтобы повысить доверие к ним среди пострадавших, говорящих на разных языках, а также перенацеливать своих «клиентов». Как только человек осознаёт, что его инвестиции были украдены, мошенники снова связываются с ним под предлогом, что представляют юридические фирмы или правоохранительные органы, предлагая помочь вернуть их средства.

В свете этих событий рынок криминальных товаров и услуг переживает бум. Злоумышленники сосредоточены на особо важных целях. Использование традиционных массовых программ-вымогателей, похоже, сокращается, и злоумышленники переходят к программам-вымогателям, управляемым человеком, нацеленным на частные компании, секторы здравоохранения и образования, критически важную инфраструктуру и государственные учреждения.

Изменение парадигмы атаки указывает на то, что операторы программ-вымогателей выбирают свои цели на основе своих финансовых возможностей, чтобы соответствовать более высоким требованиям к выкупу, и их потребности в возможности как можно быстрее возобновить свои операции.

Уделять больше времени крупным корпорациям и государственным учреждениям — это эффективный подход для киберпреступников с точки зрения окупаемости инвестиций.

– Какие поправки в действия киберпреступнников внесла пандемия?

– С начала пандемии киберпреступники воспользовались тем фактом, что большинству компаний пришлось хотя бы частично прибегнуть к дистанционной работе, что означало, что политика ИТ-безопасности стала, так сказать, более мягкой, а общее количество уязвимостей и поверхности атаки увеличились.

— Что значит – « система безопасности стала более мягкой»?

– Работа в удаленном доступе облегчила несанкционированный вход в сети посторонним, усложнился, а значит – ослаб контроль за этим процессом. Злоумышленники проникают в сети организаций через подключения по протоколу удаленного рабочего стола и эксплуатировать уязвимости в службах VPN.

Преступники осознали, насколько велик потенциал компрометации цифровых цепочек поставок — организациям необходимо предоставить доступ к сети дистрибьюторам обновлений, что делает этих сторонних поставщиков услуг идеальной целью. После проникновения в клиентскую сеть поставщика программного обеспечения операторы программ-вымогателей могут выбрать наиболее подходящие цели. Далее они проходят через свою сеть под видом законных пользователей, а затем развертывают свой вредоносный код в наиболее подходящий момент. Кроме того, ИТ-инфраструктуры чрезвычайно взаимосвязаны, поэтому успешное вторжение не только подвергает риску клиентов одной компании, но потенциально также открывает двери для компрометации других поставщиков услуг, обеспечивая еще большую масштабируемость атаки.

Атаки программ-вымогателей стали более изощрёнными, поскольку преступники проводят больше времени внутри сети, исследуя цель, чтобы ещё больше скомпрометировать инфраструктуру и получить больше данных.

Злоумышленники начали более широко использовать бесфайловые вредоносные программы (с использованием собственных средств системы для выполнения кибератак), чтобы избежать распространенных методов обнаружения, которые сканируют вложения вредоносных файлов или создание новых файлов. Безфайловые атаки программ-вымогателей используют собственные языки сценариев для записи вредоносного кода непосредственно в память целевой системы или захватывают встроенные инструменты для шифрования файлов.

Команды программ-вымогателей начали использовать службы передачи голоса по Интернет-протоколу (VoIP), чтобы вызывать журналистов, клиентов организации и деловых партнеров для дальнейшего принуждения. В результате частные партнёры сообщают о резком росте количества выплаченных выкупов (увеличение более чем на 300%) в период с 2019 по 2020 год из-за большего времени, затрачиваемого на выполнение атак, и многоуровневых методов вымогательства. То есть, «услуги» вымогателей резко подорожали.

– И, все-таки, хоть иногда удается прижать киберпреступников?

– Удается. Например, в январе правоохранительные и судебные органы по всему миру отключили ботнет Emotet. Emotet был доставлен на компьютеры жертв через электронные письма, содержащие вредоносную ссылку или заражённый документ. Если жертвы открывали вложение или ссылку, вредоносное ПО устанавливалось. Компьютер становился уязвимым и предлагался в аренду другим преступникам для установки других типов вредоносных программ. Происходило заманивание жертв и установка инфекции Trickbot, QakBot и Ryuk. Именно эти вирусы были среди семейств вредоносных программ, которые использовали Emotet для проникновения в машину. Emotet открыл двери для троянских программ-вымогателей, похитителей информации об известных транзакциях на общую сумму более 400 миллионов долларов США. Кроме того, средняя сумма выплачиваемого выкупа увеличилась со 115123 долларов в 2019 году до 312493 долларов в 2020 году (более чем на 170%).

Всё дополнительное время и усилия, затрачиваемые на атаки программ-вымогателей для получения более крупных выплат, обеспечиваются постоянным развитием и специализацией экосистемы криминальных структур (модель «Преступление как услуга»). За последний год был отмечен рост партнёрских усилий по программам-вымогателям, независимо от того, продаются ли они публично широкому кругу потенциальных пользователей или предлагаются частным образом небольшой группе хакеров.

– Но это – тоже не совсем новое явление?

– Да, субъекты, взламывающие систему жертвы и затем платящие оператору за использование своего вредоносного ПО, уже довольно давно наблюдаются в экосистеме киберпреступников. Больше поводов для беспокойства вызывает рост частных партнерских программ, которыми обычно управляют более известные преступные группы вымогателей.

Эти злоумышленники ищут разработчиков и хакеров, чтобы улучшить функциональность вредоносного ПО или получить доступ к инфраструктуре важных целей. Происходит своего рода процесс деления или почкования — команды программ-вымогателей также сотрудничают с другими разработчиками вредоносных программ.

— Что сегодня Европол считает самой большой угрозой для Европы?

– Самая большая угроза для Европы – это мобильное вредоносное ПО. Правда, долгое время эта угроза не материализовывалась в ожидаемой степени из-за отсутствия масштабируемости как устойчивой бизнес-модели. К сожалению, в этом году киберпреступники совершили прорыв, и количество сообщений о вредоносном ПО для мобильных устройств в правоохранительные органы значительно увеличилось.

– Само собой, процветает и мошенничество в сети.

– Европейские правоохранительные органы сообщают об общем росте онлайн-мошенничества, поскольку преступники использовали возросшую онлайн-активность.

В некоторых из этих преступлений используются приманки, связанные с COVID-19, такие как фишинг или продажа поддельной медицинской продукции, в то время как другие стремятся использовать побочные эффекты пандемии. К ним относятся ослабление установленных процедур безопасности из-за того, что сотрудники работают из дома, и повсеместный переход к покупкам в Интернете. Распространение запретов на всю Европу принесло с собой ряд новых возможностей электронной коммерции, которые часто оказывались мишенью для преступников.

В частности, мошенничество с доставкой стало новым криминальным направлением на второй год пандемии. Преступники предлагают товары и получают оплату без доставки, обманывают интернет-магазины со слабыми мерами безопасности или используют службы доставки в качестве фишинговых приманок. Выдавая себя за службы доставки, преступники связываются с потенциальными жертвами со ссылками на фишинговые веб-сайты, якобы предлагающие информацию о доставке посылки, с целью получения учетных данных пользователя и данных платежной карты.

Значительно возросло количество попыток фишинга, связанных с COVID-19, в первую очередь с помощью телефона (вишинг) и текстовых сообщений (смишинг). В то время как испытанные и проверенные подходы социальной инженерии по-прежнему очень хорошо работают для преступников, фишинговые кампании продолжают развиваться. Скомпрометированная информация в результате утечки данных становится все более доступной и доступной. Преступники всё чаще использовали эту возможность, чтобы повысить свои шансы на успех путем создания целевых кампаний.

Традиционно успешные преступления, такие как компрометация деловой электронной почты, вымогательство и различные виды мошенничества, — все это связано с доступностью личных данных потенциальных жертв. Поскольку эти данные могут иметь ключевое значение для повышения успешности преступной деятельности, это привело к бесконечному циклу мошенничества, на котором процветает черный рынок скомпрометированной информации.

Вишинг и смишинг особенно выиграли от использования украденных данных. В сочетании со спуфингом, когда с жертвами связываются, используя законно выглядящие идентификаторы вызывающего абонента или текстовые псевдонимы, преступники придавали этим типам мошенничества значительный авторитет. Наряду с другими разработками, мошенники чаще сочетают традиционные попытки социальной инженерии с техническими компонентами, особенно для жертв пожилого возраста.

Например, все более частое использование троянов удалённого доступа (RAT) в вишинге использует недостаток технических знаний со стороны цели, что потенциально может привести к полному доступу к учётной записи и значительному финансовому ущербу.

Появился еще один новый вид мошенничества — с безопасным аккаунтом. В этом случае преступники беседуют со своими жертвами, притворяясь сотрудниками финансовых учреждений или полиции, с поддельными идентификаторами вызывающих абонентов, информируя их о том, что им необходимо защитить свои деньги от преступников. Для этого им приказывают переводить свои средства на «безопасный счет», который, на самом деле, находится под контролем преступников и впоследствии используется в сети денежных мулов для отмывания незаконных доходов.

Есть еще и банковские фишинговые электронные письма. В данном случае фишинг — это мошеннические электронные письма, которые обманом заставляют получателей делиться своей личной, финансовой информацией или информацией о безопасности. Эти письма могут выглядеть идентично типам корреспонденции, которую отправляют реальные банки. Они копируют логотипы, макеты и тон реальных писем, и просят вас скачать прикреплённый документ или перейти по ссылке. При этом используют язык, передающий ощущение срочности.

В разгар пандемии COVID-19 преступники использовали вишинг для получения доступа к банковским счетам жертв в странах, в которых медицинские услуги привязаны к идентификаторам мобильных банков. В этих случаях преступники связываются с гражданами по телефону и просят их представиться, чтобы договориться о вакцинации или других медицинских услугах. Преступники использовали это обстоятельство, чтобы убедить жертв предоставить документы, удостоверяющие личность, для входа в банковские счета и бессознательного перевода денег преступникам.

– Какой вид мошенничества сейчас наиболее распространен?

– Инвестиционное мошенничество. Криптовалюты стали самыми популярными благодаря различным активам, поскольку скачок цен в начале года привлек ряд новых инвесторов. Поддельные инвестиционные веб-сайты особенно подходят в этом контексте, поскольку преступники могут использовать недостаток знаний, а в некоторых юрисдикциях — нормативные препятствия, касающиеся доступа к биржам криптовалют. В то же время, преступники продолжают совершенствовать этот вид мошенничества. Подлинно выглядящие рекламные кампании, незаконное использование знаменитостей и даже личные рекомендации через схемы онлайн-знакомств — все это помогает привлечь ничего не подозревающих жертв на эти поддельные платформы.

– Что такое мошенничество без предъявления карты?

– Переход от физических покупок к электронной коммерции привел к усилению внимания преступников к электронному скиммингу. По мере того, как через интернет-магазины совершается все больше и больше транзакций, наблюдается рост использования онлайн-скимминга с целью кражи данных карт. Хотя методы работы не изменились, преступники добавили в свои арсеналы ряд новых электронных скиммеров, в частности анализаторов JS. Когда во многих государствах — членах ЕС были введены жесткие блокировки, количество логических атак на банкоматы (банкоматы) значительно сократилось. Такое развитие событий в основном связано с ограничениями COVID-19, не позволяющими преступникам путешествовать.

По мере того как логические атаки на банкоматы исчезли, преступники с техническими способностями перешли на другие поверхности цифровых атак, такие как мобильные устройства. Однако снижение количества атак на банкоматы не было постоянной тенденцией. Как только запреты на поездки и ограничения на поездки были ослаблены, многие государства-члены ЕС начали сообщать о значительном росте преступности этого типа. Банкоматы продолжают оставаться привлекательной мишенью для преступников. Многие старые модели банкоматов уязвимы для атак.

https://www.mk.ru/social/2021/11/20/nazvany-naibolee-opasnye-sposoby-moshennichestva-v-internete.html

Юрий Николаевич Жданов — руководитель Всероссийской полицейской ассоциации. Известный ученый и практик.

С ВПА России СКК имеет долгосрочные партнерские отношения.

Президент Союза криминалистов и криминологов

Игорь Михайлович Мацкевич

This entry was posted in 1. Новости, 2. Актуальные материалы, 3. Научные материалы для использования. Bookmark the permalink.

Comments are closed.