Организация финансовых преступлений с помощью технологий электронного банкинга и воздействие на удаленных клиентов кредитных организаций

.

Как уже отмечалось, преступные сообщества и отдельные криминальные элементы во всем мире охотно применяют «высокие технологии» в своей противоправной деятельности. При этом в России они пользуются, с одной стороны, недостатками российского законодательства (включая Уголовный кодекс РФ), с другой стороны — отсутствием закрепленных в нормативных правовых документах «канонов» ДБО, и, в-третьих, недостаточной финансовой и компьютерной грамотностью клиентуры кредитных организаций. В случае ДБО речь всегда идет об использовании для организации инцидентов ППД маскировки злоумышленника той или иной средой информационного взаимодействия (тем же киберпространством).

Руководству кредитных организаций никогда не следует забывать о том, что ППД — это непрерывный процесс, характеризуемый тем, что преступные сообщества постоянно изыскивают все новые способы ОД, совершения мошенничеств, а также хищения конфиденциальной информации. Недостаточное осознание специфики электронного банкинга может привести к появлению серьезных проблем с управлением банковской деятельностью и контролем над ней в плане обеспечения ее надежности и соответствия установленным требованиям (то есть к потере полноценного управления и контроля). Поэтому руководству и персоналу высокотехнологичных банков необходимо отчетливо понимать, кто конкретно может являться агентами угроз, знать их образ действия и применяемые способы маскировки как ППД, так и самих этих агентов.
Для осуществления финансовых преступлений, в особенности ОД, чаще всего используется эффект анонимности пользователя, скрытого киберпространством, что позволяет реализовать многочисленные проводки (трансферы, транзакции) без личной явки в банк. При этом может имитироваться деятельность сколь угодно большого количества клиентов: главное — разжиться достаточным числом средств и полномочий удаленного доступа, для чего преступными сообществами обычно специально и тщательно формируется своя «клиентская база». Можно привести некоторые примеры из материалов реальных расследований.
Наиболее простой способ осуществления одновременно хищений и ОД может основываться, к примеру, на контракте на выполнение неких строительных работ, который заключается между фирмой-посредником и государственной организацией и который никогда не будет выполнен. Эта фирма, в свою очередь, заключает договор с подставными компаниями, которые якобы должны выполнять строительные работы, и эти работы действительно как бы начинаются. Компания-»исполнитель» нанимает за некоторое денежное вознаграждение некое лицо, которое должно сыграть роль ее генерального директора. Такой «директор» является в небольшой банк, расположенный обычно в другом городе, предоставляющий услуги интернет-банкинга, открывает необходимый для осуществления финансовых операций счет, после получения первой фирмой (якобы исполнителем по контракту) бюджетных средств в крупном размере возникают невесть откуда взявшиеся компании со счетами в других банках, и начинается финансовая чехарда, причем, естественно, управление счетами осуществляется дистанционно, так что банк-посредник первый и единственный раз видит упомянутого директора, а поскольку компания иногородняя, то не возникает и мысли проверить ее местонахождение. После того как казенные деньги будут распылены по счетам подставных фирм и «выведены» из оборота, имитация бурной деятельности на объекте прекращается, затраты преступной группировки ограничиваются стоимостью возведения забора и кратковременной арендой технических средств и оказываются существенно меньше выделенных на производство заявленных работ, к примеру десятков миллионов рублей. Через некоторое время за дело берутся следователи, которые выясняют, что по своему юридическому адресу строительная компания никогда не находилась, ее генеральный директор в силу очень преклонного возраста успел своевременно скончаться, отправившись на свою традиционную прогулку, выяснить, кому он передавал средства и права доступа, невозможно, задействованные фирмы-однодневки исчезли, а установить с помощью функций и баз данных той же системы интернет-банкинга, откуда именно и кем осуществлялось управление счетами, невозможно, потому что необходимые для этого данные в составе СИ почему-то не фиксировались (а никто, собственно, и не обязывал банк это делать). В итоге следствие заходит в тупик, а виновных не найти, потому что в схеме были задействованы утерянные и фальшивые документы, бомжи и пр., однако сам банк уже вовлечен в преступную схему, а значит, с большой вероятностью попадает под подозрение в соучастии.
Речь может идти и о крупномасштабных закупках какого-либо оборудования за рубежом, которое отсутствовало в природе, и тогда дистанционное управление счетами в банках-посредниках может вестись как из Москвы, откуда выделяются бюджетные деньги компаниям, обещавшим такие закупки осуществить, так и из-за рубежа, где также окажутся зарегистрированы некие компании-посредники. Здесь счет может идти уже на сотни миллионов и даже миллиарды рублей, поскольку масштабы операций гораздо больше, а проверять целый ряд фирм-нерезидентов (для данного города), тем более зарубежных «партнеров», существенно сложнее. Опять-таки для операций выбирается какой-нибудь среднерусский «банчок», в котором доверенными лицами открываются счета для фирм-посредников, отечественных и зарубежных. Выделенные из бюджета суммы дробятся на несколько или множество финансовых потоков, в выбранном банке, располагающем системой интернет-банкинга, они в рамках ДБО конвертируются и переводятся на счета зарубежных фирм в России, после чего осуществляется их трансфер за рубеж. Никаких поставок, естественно, не происходит, но банк формально ничего не нарушает — в его системе интернет-банкинга и БАС происходят какие-то вполне законные операции, за IP-адресами он следить не обязан (то есть он может даже не фиксировать их, как и другую маршрутную информацию в составе СИ, и тем более не анализировать). Через какое-то время из банка начинают направляться запросы на документы, подтверждающие поставки оборудования, но, к сожалению, отвечать на эти запросы давно уже некому, а доверенные лица растворились на бескрайних российских и мировых просторах. В итоге на счетах в зарубежных банках оседают уже сотни миллионов долларов, однако реальные бенефициары остаются неизвестными, а руководство банка недоуменно пожимает плечами и объясняет следователям и Банку России, что никто не ожидал такого эффекта от дистанционного предоставления банковских услуг, и уж теперь-то ДБО лучше и не заниматься! Однако, немалые премиальные, по-видимому, получены…
ДБО через Интернет может использоваться и для подпольной банковской деятельности, при этом организуется имитация производственной, торговой и даже банковской деятельности, то есть в электронном трансфере фигурируют как реально существующие, так и не существующие бумажные» (или «пустые») банки. Одним из примеров является организация фиктивных поставок товаров и услуг за рубеж, за которые впоследствии взимается компенсация НДС, в том числе — в страны СНГ или бывшего СССР. При этом преступным сообществом организуется управляющий центр, в котором концентрируется большое количество идентификационных данных для обслуживаемых банками лиц и подставных фирм, якобы занятых упомянутой деятельностью, которая может продолжаться годами. Результаты ее оцениваются во многие десятки и сотни миллионов долларов, при этом в управляющем центре ведется свой бухгалтерский учет, а банкам, для того чтобы оказаться замешанными в таких операциях и потом — в числе подозреваемых, достаточно просто не обращать особого внимания на то, откуда ведется управление счетами, не анализировать СИ и не проверять реальное существование участвующих в имитируемой «деятельности» банков-контрагентов, предприятий, компаний, индивидуальных предпринимателей и т. д. Правда, в итоге может возникнуть необходимость каким-то образом оправдывать впоследствии перед контролирующими и правоохранительными органами свою невнимательность к тому, что происходит под видом ДБО, или халатность…
В большинстве известных примеров ППД, связанной с финансовыми хищениями и ОД, применяется централизованная схема управления счетами, хотя немало и вариантов с распределенным управлением ими в разных банках, которых объединяет наличие систем ДБО. Велико и количество ситуаций, в которых используются фальшивые ордера клиентов ДБО, в особенности юридических лиц, со счетов которых деньги уходят на счета физических лиц, упоминавшихся «дропперов» (или «дропов»), обналичивающих денежные средства. Несмотря на то что количество подобных случаев велико и ситуации такого рода продолжают множиться, ни у руководства, ни у персонала банков не возникает мыслей хотя бы убедиться в том, что десятки миллионов рублей со счетов тех или иных фирм совершенно законным образом перекачиваются в карманы физических лиц, якобы выполнявших некие дорогостоящие работы. Подобных своего рода «разведпризнаков» можно набрать немало, причем их целесообразно было бы не только использовать в процессе ФМ, но и «увязывать» с процессом УБР, что должно было бы отражаться и во внутрибанковских документах. В этом могла бы проявляться активность высшего руководства банков, заботящихся о своей репутации.
Для прикрытия мошенничеств в киберпространстве используются различные приемы, варьирующиеся от задействования, как отмечалось, так называемых анонимных или слепых прокси-серверов, которые позволяют скрывать истинное местоположение в мировой паутине злоумышленников, управляющих счетами, до сетевых атак типа Denial of Service (DoS) или наиболее опасных — типа Distributed DoS (DDoS)[63], которыми блокируются вычислительные мощности кредитных организаций и (или) их провайдеров. В то же время наибольший ущерб (по совокупности похищенных средств — за последние несколько лет счет уже идет на миллиарды рублей) наносится клиентам кредитных организаций.
Подавляющее большинство мошенничеств в отношении клиентов ДБО — физических лиц основывается на различных методах так называемой социальной инженерии. Многие виды мошенничеств такого рода, широко распространявшиеся за последние 30 лет в Западной Европе и США, в российских условиях оказались непопулярными из-за исторических различий в развитии инфраструктуры и информационных технологий (скажем, атаки через центры обслуживания или внутриведомственные коммутаторы), вследствие чего здесь они не рассматриваются. Вместо этого весьма быстрое развитие получили способы реализации приемов «социального инжиниринга» на основе вариантов мобильного банкинга. В свою очередь, примерно 70–80 % из них[64] ориентированы на обман владельцев карточных счетов. Ниже приведены отдельные примеры типичных попыток совершения мошенничеств на основе приемов такой разновидности социального инжиниринга (которые тем не менее нередко срабатывают):
• «Проверка персональных данных, перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, необходимо сообщить пин-код службе безопасности банка по телефону…»
• «Ваша карта заблокирована, необходимо связаться со службой безопасности по указанному номеру телефона».
• «Ваша карта заблокирована Центральным банком РФ, необходимо связаться со справочной службой по указанному номеру телефона»[65].
• «Отдел безопасности: ваша карта заблокирована, для разблокировки необходимо сообщить ПИН-код».
• «Ваша карта заблокирована по инициативе банка, срочно оплатите долг 1000 рублей. Телефон…»
• «Операции по вашей банковской карте временно приостановлены, справка по указанному телефону».
• «Действие вашей карты приостановлено ввиду взлома ПИН-кода, перезвоните по указанному номеру телефона».
• «Была попытка взлома ПИН-кода, ваша карта заблокирована, срочно перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, для разблокировки необходимо подойти к ближайшему банкомату и выполнить следующие действия…»[66]
• «Была попытка перевода денег с вашего счета, перезвоните по указанному номеру».
• «С вашей карты списано хх ххх рублей, перезвоните по указанному номеру».
• «С вашего счета произойдет списание на сумму хх ххх рублей, инфо по телефону…»
• «Ваша заявка на перевод в сумме хх ххх рублей принята, перезвоните по указанному номеру».
• «Подготовка перевода на сумму хх ххх рублей с вашего счета завершена, для справки позвоните по указанному номеру телефона».
• «Для подтверждения платежа по вашей карте в размере хх ххх рублей позвоните по указанному номеру телефона».
• «Вам звонят из банка ***, зайдите в интернет-банк и введите пароль…»[67]
• «Вам звонят из банка***, зайдите в интернет-банк, введите пароль и нажмите кнопку “Отмена”»[68].
• «Введите подтверждающие данные для входа в интернет-банк…»
• «Была попытка входа в ваш интернет-банк, для предотвращения мошенничества перезвоните по указанному номеру и приготовьте данные по карте».

Любой звонок обеспокоенного клиента по предлагаемому номеру телефона влечет за собой «уговоры» сообщить данные персональной идентификации удаленного клиента или заставить его «выдать» их другими способами. Как видно, в подавляющем большинстве случаев используется достаточно примитивный подход (из-за чего многие клиенты сразу обращаются в свой банк), при этом интересно отметить, что мошенники зачастую даже не затрудняют себя сменой номеров телефонов, с которых звонят клиентам банков (а на условиях анонимности владельца номера этого и не требуется). Используются десятки вариантов социального инжиниринга такого рода и, что интересно, находятся люди, неоднократно «попадающие» под одни и те же приемы и, как следствие, теряющие деньги более одного раза. Как говорится, «для компьютерных программ могут существовать “заплатки”, но от человеческой глупости их придумать невозможно». Все перечисленные выше подходы (равно как и многие другие) банкам нужно иметь в виду и «обучать» своих клиентов противодействию таким «социальным» атакам, к чему можно добавлять и выпуск специальных памяток, информирование через Интернет и т. д.
Более «тонкие» методы используют своего рода «настройки» на клиентов конкретных сервисов и могут характеризоваться довольно специфической предварительной подготовкой, обескураживающей атакуемого клиента или завлекающего его в ловушку, например:
• Клиенту поступает телефонный звонок с сообщением якобы от сотрудника банка о блокировке карты и крупной суммы на карточном счете в связи со «взломом ПИН-кода», после чего для разблокировки предлагается сообщить реквизиты карты, что тот и делает.
• Клиенту поступает сообщение «Вы выиграли ноутбук, позвоните в банк по указанному номеру телефона»; когда клиент (любитель халявы!) звонит по указанному номеру, ему предлагают дать номер карты и ввести заданный код для перевода средств с его счета, что зачастую и происходит.
• Клиенту поступает телефонный звонок с предложением якобы от сотрудника банка о возможности льготного кредитования на крупную сумму, после чего следует запрос о его идентификационных данных, номере банковской карты и т. п.
• Клиенту поступает телефонный звонок с сообщением якобы от сотрудника банка о необходимости «войти в интернет-банк» и ввести предлагаемый в коротком сообщении, пришедшем на его мобильный телефон, пароль в связи с тем, что надо отменить некую мошенническую операцию.
• Клиенту не удается инициировать сеанс ДБО, после чего ему поступает телефонный звонок с вопросом якобы от сотрудника банка о технических проблемах с ДБО и предложением ввода данных персональной идентификации в поля диалогового окна, которое выводится на экран его дисплея.

Можно было бы также привести десятки подобных примеров и данные о тысячах ежегодных целенаправленных атак на клиентов ДБО высокотехнологичных банков (и на сами банки с проникновениями в их сетевые структуры), при этом за счет низкой компьютерной грамотности клиентов и нередко безразличной позиции банков клиенты терпят убытки и потом предъявляют претензии тем же банкам[69]. Ситуация может существенно осложниться, если «крот» заводится в самом банке или в организации-провайдере, через которую проходят «чувствительные» данные (о чем клиент обычно не знает, поскольку очень слабо представляет собой используемую ТЭБ и ИКБД).
Вместе с тем следует отметить нередко возникающую «солидарность» клиентов, которые, заподозрив, что в их отношении имеет место попытка совершения мошенничества, обращаются в так называемые колл-центры[70] (или сервис-центры, горячие линии и т. п.) и сообщают о таких фактах, предлагая сотрудникам банка уведомлять других клиентов о подобных мошеннических приемах. Учитывая массовость случаев мошенничеств, можно было бы предположить, что колл-центры и службы безопасности банков, к которым за последние три года все чаще обращаются с подобной информацией клиенты ДБО, вполне могли бы разработать и критериальную базу для выявления попыток мошенничеств, и типовые схемы их предупреждения. В их число могли бы (должны бы!) входить и такие схемы, которые были бы направлены на оперативное пресечение очевидных «необдуманных» действий клиентов, которые они совершают по указаниям мошенников, представляющихся сотрудниками «их» банков. Вместе с тем следует отметить, что наилучшим способом противодействия социальному инжинирингу является все же осведомленность как клиентов, так и персонала банков.
Терминальное обслуживание с использованием пластиковых карт давно привлекло внимание криминальных сообществ, и в этом направлении тоже существует своего рода «технический прогресс». Все, вероятно, наслышаны о так называемом скимминге (skimming), однако люди продолжают попадаться даже на нехитрые приемы, и автору множество раз приходилось наблюдать за поведением людей, которые снимали деньги в банкоматах, но перед тем не проводили даже элементарного осмотра устройства, которым пользовались. Казалось бы, нетрудно осмотреть хотя бы «рабочую зону» с клавиатурой и провести пальцами под нависающей над клавиатурой панелью (или заглянуть под нее, да и просто оглядеться полезно), чтобы убедиться в отсутствии глазка миниатюрной видеокамеры, однако кредитные организации явно не учат своих клиентов мерам предосторожности при пользовании банкоматами. В результате известно множество случаев, когда на одни и те же банкоматы в течение суток неоднократно устанавливались и через некоторое время снимались скиммеры, «ворующие» данные персональной идентификации владельцев пластиковых карт, и продолжается это нередко длительное время.
Конечно, некоторые виды банкоматных мошенничеств постепенно уходят в прошлое, как, например, применение накладных клавиатур или использование так называемой ливанской петли (хотя отдельные случаи еще имеют место), но дополнением скимминга стал так называемый шимминг[71] — технология, позволяющая считывать и передавать по радиоканалу данные с банковских карт. Считывающее устройство — плата (шиммер) вставляется в приемный слот (кардридер) с помощью пластиковой опоры, имеющей такие же размеры, как у обычной банковской карты. После его размещения пластиковая опора извлекается, вследствие чего при поверхностном осмотре терминала ничего подозрительного не видно, хотя в принципе подложку шиммера можно увидеть как очень тонкую полоску; иногда на терминале остаются царапины или следы клея, но многие ли клиенты обращают внимание на такие «мелочи»? Похищенные данные передаются преступнику, находящемуся в зоне распространения радиосигнала с приемно-записывающим устройством, поэтому он может не «дежурить» около «заряженного» объекта атаки.
Наконец, возможно, наиболее серьезной проблемой современности, которая связана со всеобщей компьютеризацией, стало шпионское программное обеспечение (SpyWare). Оно ориентировано на поиск и хищение персональной информации пользователей, начиная с их веб-серфинга и заканчивая паролями и банковскими счетами. В отсутствие должных мер обеспечения информационной безопасности персональная информация похищается незаметно для пользователя, даже если никаких внешних изменений в работе его компьютера может не быть (хотя отдельные признаки таких изменений иногда все же бывают заметны). Поэтому необходимо, в частности, объяснять клиентам ДБО, что не следует путать SpyWare с компьютерными вирусами. Программы антивирусной защиты не выявляют шпионские программы, поскольку это совершенно иной вид угроз, реализуемых через недостатки в системном программном обеспечении (например, операционных системах и т. п.) и организации взаимодействия с теми или иными сетевыми структурами. Типичная последовательность действий связана с «заражением» компьютеров неосторожных клиентов так называемыми троянами или программами-шпионами, подстановкой им веб-страниц или веб-сайтов-муляжей для хищения персональных данных и т. п. Таким образом, можно говорить об «эффективном» во многих случаях совмещении технологий сетевых атак, фишинга и фарминга[72], то есть о таких технологиях, о которых, судя по количеству и содержанию жалоб, большинство клиентов ДБО кредитных организаций пока еще не догадываются.
Дополнительным стимулом для быстрого расширения комбинированных атак через виртуальное пространство на клиентов ДБО кредитных организаций за последние два года стало повсеместное распространение смартфонов и компьютерных планшетов, оснащенных мобильными клиентскими компонентами ДБО. Открытость таких операционных систем, как Android, наряду со встроенными возможностями управления информационной безопасностью непосредственно клиентами-пользователями, сформировали дополнительную почву для компьютерных сетевых мошенничеств. Приемы здесь используются те же самые, что и в отношении клиентов интернет-банкинга, тем не менее клиенты охотно покупаются на обещания выигрышей или подарков, расставаясь с данными своей персональной идентификации, «впускают» в свои портативные устройства программы-трояны[73] и другое SpyWare, вынуждая банки проводить все новые расследования и в ряде случаев компенсировать потери. Однако везет таким образом далеко не всем клиентам, так что суммарный счет потерь, связанных с этой частью киберпространства, тоже идет уже на сотни миллионов долларов (по данным СМИ).
Наблюдаемый в современном мире массовый характер мошенничеств такого рода должен был бы, по идее, подталкивать руководство банков к активизации разъяснительно-предупредительной работы с клиентами ДБО, что, естественно, затруднительно при массовом обслуживании, когда счет числа клиентов идет на сотни тысяч и миллионы. Тем не менее это представляется в любом случае желательным, если банки не намерены наращивать свои затраты на судебные издержки, компенсационные выплаты и вообще расходовать свои ресурсы на разбор конфликтных ситуаций с клиентами и контрагентами. В итоге данная проблематика оказывается тесно связанной с недостатками в организации и осуществлении договорной работы с клиентами ДБО и оформлении контрактов с провайдерами, от которых оказывается зависимой надежность банковской деятельности.
Впрочем, самих клиентов ДБО это беспокоит нечасто, потому что интерес к содержанию договорных документов на ДБО проявляет не более 25 % клиентов банков, о чем свидетельствуют опросы населения. В этом проявляется невысокая правовая культура и сохранившиеся до сих пор у значительной части населения надежды на «государство, которое всегда защитит», и эту ситуацию банкам следовало бы учитывать, детально разъясняя клиентам ДБО содержание подписываемых ими договорных документов и те гарантии, которые им предоставляются (или не предоставляются). Причем желательно также убеждаться в том, что клиент правильно понял содержание договора, особенно если в нем активно используется специальная терминология из математического аппарата теории кодирования.
Банк России давно уже обратил внимание на рассматриваемые проблемы и инициировал разработку целого ряда рекомендаций для кредитных организаций (законодательные ограничения не позволяют, к сожалению, разрабатывать нормативные правовые документы, ориентированные на повышение эффективности и надежности применения ИТ и организации ДБО), имея в виду в том числе их работу с клиентурой. В качестве некоторых примеров таких документов[74] можно упомянуть следующие письма Банка России:
— от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании»;
— от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» (далее — 36-Т);
— от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»;
— от 02.10.2009 № 120-Т «О памятке “О мерах безопасного использования банковских карт”»;
— от 26.10.2010 № 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания»;
— от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов» и т. п.

Все эти документы ориентированы на защиту интересов клиентов кредитных организаций и самих этих организаций от ППД в киберпространстве. К сожалению, не всеми этими организациями в должной мере уделяется внимание тем документам Банка России, которые не могут по своему статусу считаться нормативными. Да и «массовость» ДБО не позволяет в ряде случаев реализовать полноценный индивидуальный подход даже тем банкам, которые располагают крупными колл-центрами и большим количеством персонала в своих офисах. Впрочем, ситуация постепенно меняется в лучшую сторону, поскольку Банк России в последние годы проводит активную работу по повышению «финансовой грамотности» населения страны.

Комментирование и размещение ссылок запрещено.