Бурное развитие компьютерных технологий в последние годы вызвало не менее бурный рост преступлений с их использованием. Автоматически встала проблема расследования таких специфических дел -- ведь в них в отличие от традиционной криминалистики преступление невозможно увидеть глазами, большинство улик и следов преступников нельзя собрать руками, пощупать или сфотографировать. О том, с какими сложностями приходится сталкиваться при расследовании таких преступлений, какие схемы используют киберпреступники, корреспонденту «Времени новостей» Екатерине КАРАЧЕВОЙ рассказал ведущий специалист Следственного комитета (СК) при МВД в этой сфере, старший следователь по особо важным делам отдела по расследованию преступлений в сфере компьютерной информации и высоких технологий подполковник юстиции Игорь ЯКОВЛЕВ.-- Изo всех видов киберпреступлений наибольший резонанс вызывают хищения денег со счетов владельцев банковских карт. Счет пострадавшим от них идет на сотни и тысячи. Как чаще всего организуются такие аферы?-- Как показывает практика расследования таких уголовных дел, хакеры -- народ довольно консервативный, и новые способы для отъема денег разрабатывают редко, предпочитая проверенные методы. Как правило, так называемые кардеры -- те, кто специализируется на мошенничествах с кредитками, -- действуют по одному базовому принципу, в основе которого лежит получение доступа к паролям держателей кредитных и дебетовых пластиковых карт. Здесь надо отметить, что наши хакеры завладевают конфиденциальной информацией такого характера не только в России, но достаточно часто и в других странах мира. В целом такие аферы многоступенчаты, в задействованы в них целые группы «узкопрофильных» специалистов, каждый из которых занимается своим «бизнесом». Чаще всего информация о паролях похищается своеобразными «пакетами», а потом выставляется похитителями оптом на аукционы на специализированных хорошо законспирированных интернет-порталах, доступ к которым имеют только «свои» и которые посторонним обнаружить крайне сложно, тем более принять в них участие. Обычно на таких порталах вывешиваются «лоты» со списками владельцев карт с указанием сумм на счетах. Эта информация раскупается очень быстро, причем, как правило, всего за 5--10% от всей суммы. К примеру, если общая сумма на счетах всех карт «лота» составляет 100 тыс. долл., то продавец получает 5--10 тыс. долл. Далее поочередно информация об «украденных» паролях проходит через руки разных специалистов. Покупатели паролей передают ее изготовителям поддельных карт -- грубо говоря, дубликатов «вскрытых» карт, их еще называют белым пластиком, также задействуются разработчики вредоносных программ, которые запускают вирус в компьютерную сеть для перевода денег, ну, и завершают аферу те, кто уже непосредственно обналичивает деньги. Ради чего, собственно, все и затевается. Как правило, все «специалисты», задействованные в таких махинациях, получают свои проценты за свою работу. Таких дел по России уже достаточно много, у нас в СК расследуются только наиболее значимые, с большим ущербом. Сейчас у нас в производстве находится уголовное дело, связанное с подобным хищением средств клиентов ОАО «Альфа-банк». Когда этот факт вскрылся, банк сразу возместил клиентам деньги. Именно поэтому Альфа-банк по делу признан потерпевшей стороной. Нам достаточно быстро удалось выйти на след троих хакеров, один из которых объявлен в розыск. Они обвиняются по четырем статьям УК РФ -- 159-4 (мошенничество, совершенное организованной группой в особо крупном размере), 272 (неправомерный доступ к компьютерной информации), 273 (создание, использование и распространение вредоносных программ для ЭВМ) и 183 (незаконное получение сведений, составляющих коммерческую и банковскую тайну). Мы установили, что в 2007 году на протяжении нескольких месяцев злоумышленники с помощью созданной ими вредоносной программы, наделенной задачами по сбору конфиденциальной информации, считывали через один из интернет-сервисов данные клиентов банка -- учетные имена, пароли банковских карточек и т.д. Затем они обналичивали деньги через наиболее распространенную онлайновую платежную систему WebMoney. На момент возбуждения дела речь шла о хищении хакерами более 12 млн руб., но уже в процессе расследования начали выявляться все новые эпизоды, и к предъявлению окончательного обвинения будет, думаю, сумма гораздо больше. Деньги эти, как мы установили, преступники тратили на оплату мобильных телефонов, подарки, развлечения. Сейчас мы выясняем, были ли обвиняемые причастны к другим аналогичным махинациям. В последнее время, кстати, появился и новый способ обналичивания денег по поддельным кредиткам. Зарегистрированы случаи, когда официанты при расплате в ресторанах карточками снимали дополнительные суммы якобы в качестве чаевых.
-- Как чаще всего преступники получают доступ к информации о владельцах банковских карт?-- В принципе способов получения такой информации придумано много, но самые распространенные -- так называемые скиминг и фишинг. Скиминг -- это получение информации о владельце карточки и его счете с помощью скимера -- специального сканера или, если угодно, мини-компьютера. Это устройство со считывающей магнитной головкой, усилителем, преобразователем, памятью и переходником для подключения к компьютеру, которое аферисты скрытно устанавливают на банкомат. Он считывает информацию с магнитной полосы карточки, когда владелец вставляет ее в банкомат. Потом скимер снимается, и мошенники считывают с него информацию. Как правило, преступники «оборудуют» такими устройствами удаленные банкоматы, которые не находятся под пристальной охраной. В последнее время, кстати, преступники стали часто использовать при скиминге не действующие банкоматы, а их муляжи, которые они устанавливают сами. Внешне они ничем не отличаются от настоящих банкоматов, на них нанесены логотипы и данные реальных банков, однако они представляют собой лишь пустой корпус с встроенным внутрь скимером. Когда клиент банка вставляет в него карту, на табло высвечивается информация о том, что банкомат либо временно не работает, либо в нем закончились деньги. Ничего не подозревающий человек забирает обратно карту, но информация с нее, включая и пин-код, уже записана мошенниками. Фишинг -- метод получения той же информации о владельце карты с помощью массовых рассылок электронных писем от имени популярных брендов или банков. В эти письма вставляются ссылки на фальшивые сайты -- точные копии настоящих. Оказавшись на таком сайте, пользователь может сообщить преступникам ценную информацию, позволяющую управлять своим счетом из Интернета -- имя пользователя, пароль для доступа, номер своей кредитной карты. Успеху фишинг-афер, кстати, способствует низкий уровень осведомленности пользователей о правилах работы компаний и банков. Необходимо знать, что реальные банки и компании никогда не предложат клиентам и тем более не потребуют от них подтвердить в онлайне номер своей кредитной карты и ее пин-код, как это делают хакеры под предлогом якобы смены дизайна сайта или технических сбоев. Если же кто-то такое сделал -- он непременно лишится своих денег. Правда, сплошь и рядом владельцы банковских карт сами не замечают, что стали жертвами кардеров. Хакеры стараются действовать очень осторожно, «щипать» клиентов массово, но понемногу, чтобы кража сразу не бросалась в глаза. Ведь очень многие люди не очень внимательно следят за состоянием своего счета, лишь пополняют его, но при этом не проверяют, сколько точно денег остается на карточке. Именно поэтому иногда факты таких хищений вскрываются уже в ходе расследования уголовного дела или вообще через несколько лет.
-- В последнее время все большее распространение получают хакерские атаки, или, как их еще называют, ddos-атаки, на сайты крупных компаний. Кто обычно за ними стоит?-- Как правило, такие атаки организуются по заказу конкурентов. Таким образом российским хакерам удавалось выводить из строя не только сайты российских компаний, но и западные, такие, как yahoo, ebay, buy.com, amazon.com, cnn.com и целый ряд других, их много. Схема этих атак простая -- в нужный момент программа-робот с помощью запущенного вируса начинает активироваться и заражает ряд IP-адресов, которые начинают «бомбардировать» тот или иной сайт ложными запросами. В результате сайт, подвергшийся атаке, начинает зависать и не открываться. Цель таких атак, как правило, одна -- доставить компании убытки. Ведь это хорошо, если сайт «отключается» на пару часов, а если, скажем, на неделю, то ресурс, скорее всего, придется поднимать с нуля. Бороться с хакерскими атаками можно только с помощью новейшего оборудования для защиты и грамотных специалистов. Кстати, очень многие хакеры именно так и зарабатывают себе на безбедное существование, поддерживая интернет-ресурсы различных компаний и вовремя пресекая ddos-атаки и не нарушая при этом закон. А вообще услуга за такую атаку стоит в среднем от 100 долл. до 10 тыс. долл. в неделю. Все зависит от сложности и длительности атаки и особенностей сайта жертвы. Хакеры на своих спецсайтах открыто размещают объявления: «принимаем заказы на ddos-атаки». Эта работа оплачивается сразу в полном размере.
-- Удается ли привлекать к уголовной ответственности организаторов хакерских атак?-- Самое первое уголовное дело по киберпреступности касалось именно ddos-атак. Это было в 2003 году, когда наши хакеры с помощью таких атак постоянно блокировали сайты девяти английских крупных букмекерских компаний, вымогая у них крупные суммы денег. В 2004 году в МВД России поступил запрос от Национального агентства по борьбе с преступлениями в сфере высоких технологий (National Hi-Tech crime unit -- NHTCU) Великобритании, в котором нас просили оказать помощь в поимке преступников. Как установили английские полицейские, ddos-атаки происходили с территории России, а сервер находился в Хьюстоне, откуда, собственно, хакеры и «бомбили» букмекеров. Тогда не только у нас не было опыта по расследованию таких дел, но не было аналогов во всем мире. До той поры хакеры были просто неуловимы. И все же я возбудил уголовное дело по ст. 163-3 УК (вымогательство, совершенное группой лиц в крупном размере) и 273-1 (создание, использование и распространение вредоносных программ для ЭВМ). Причем это было моим первым расследованием в этой области, раньше я вел дела по экономике. Было неимоверно сложно -- ведь ни книжек, ни каких-либо пособий, как расследовать эти дела, как вычислять таких преступников, на тот момент не было. Вскоре мы установили, что четверо хакеров находятся в разных городах страны -- в Саратовской области, Астрахани, Санкт-Петербурге и Пятигорске. Познакомились они, как мы установили, на одном из хакерских сайтов, друг друга при этом ни разу не видели, общались исключительно с помощью Интернета, так и договорились «по-быстрому сделать дело» в надежде на крупный куш. Для начала они засылали по электронной почте письма букмекерам с требованием выплатить им деньги, а в случае отказа обещали заблокировать сайты, и тогда букмекеры понесли бы колоссальные убытки. Причем по делу официально были признаны потерпевшими девять букмекерских компаний, ущерб от ежедневных простоев их интернет-ресурсов составлял, по материалам уголовного дела, десятки тысяч долларов. Некоторые букмекеры платили деньги, но атаки не прекращались, тогда-то они и решились написать заявление в английскую полицию. После того как мы возбудили дело, мы попросили английских коллег уговорить одну букмекерскую компанию выплатить 40 тыс. долл., которые требовали хакеры. Благодаря этому была отслежена вся цепочка -- сначала деньги ушли в один из банков Латвии, там их обналичили сообщники хакеров (тех, кто специализируется на обналичивании украденных через Интернет денег, называют дропами) и затем по системе Western Union за вычетом своих процентов несколькими партиями переслали в Пятигорск, где они были успешно сняты со счета и разосланы в Астрахань, Саратовскую область и Санкт-Петербург. Когда я закончил дело, встал вопрос, в каком суде его рассматривать. Преступление было совершено в Великобритании, а сами хакеры находились у нас. В итоге было принято решение направить дело в тот суд, где мы задержали первого хакера -- в город Балаково Саратовской области. Судья обвинительное заключение прочитал, ничего не понял и сначала попытался отказаться от рассмотрения дела. Но Генпрокуратура опротестовала его решение, и дело в итоге рассматривалось все же в Балаково. Уже в суде назначались дополнительные экспертизы. В процессе принимали участие представители английской стороны. К сожалению, нам не удалось привлечь к уголовной ответственности организатора этих хакерских атак, хоть мы и знали, что он из Пятигорска. Суд посчитал, что мы недостаточно собрали на него доказательств. Зато троих -- Ивана Максакова из города Балаково Саратовской области, Александра Петрова из Астрахани и Дениса Степанова из Санкт-Петербурга в 2006 году суд приговорил к восьми годам колонии и выплате по 100 тыс. руб. с каждого. Сразу поясню, почему так сурово их наказали, хотя на стадии предварительного следствия обвиняемые находились под подпиской о невыезде. Дело в том, что вымогательство считается особо тяжким видом преступления, а способов может быть множество. В данном конкретном случае осужденные использовали для совершения преступления Интернет и свои знания. Но суть вымогательства от этого не меняется, ведь по закону преступление считается законченным с момента выдвижения требований о выплате денег. Тем более что в данном случае хакеры даже получили деньги. После расследования такого объемного и сложного дела на уровне международного сотрудничества наши правоохранительные органы прославились в мире, а мы неоднократно выступали с докладами перед зарубежными коллегами на международных конференциях, где делились опытом.
-- Как часто возбуждают такие дела, какие сложности возникают при их расследовании?-- Дела возбуждаются достаточно часто, но проблема в другом. В стране мало грамотных специалистов, в том числе и следователей, которые могли бы доводить такие дела не просто до суда, но и до обвинительного приговора. К сожалению, из-за отсутствия опыта и грамотно собранных улик многие такие дела либо прекращаются на начальной стадии следствия, или же разваливаются в суде. У нас по-прежнему нет курсов повышения квалификации в этой области. Ведь самое сложное -- не просто выявить хакера и установить его место расположения, а поймать его с поличным на «рабочем месте» и грамотно доказать вину. Ведь обычно в Интернете хакеры общаются анонимно, под выдуманными именами -- никами, и у каждого их может быть больше десятка. Точно так же, как и электронных адресов, счетов и т.д. К тому же они постоянно шифруются, используют удаленные доступы, сам компьютер может находиться в Москве, откуда и проворачиваются все аферы, а сервер хоть на Ямайке. И наша задача установить, кто именно за ними скрывается. Это непросто, но мы стараемся. А при изъятии вещдоков у хакера очень важно правильно их описать -- ведь большинство улик здесь нельзя пощупать, сфотографировать. У уважающего себя хакера есть масса спецпрограмм -- от простых до сложных, по шифрованию всех файлов и виртуальных дисков, которых, разумеется, не видно на рабочем столе, и только сам владелец компьютера сможет всегда в них зайти. И здесь крайне важна грамотная работа экспертов. Наши эксперты, кстати, ничем не уступают зарубежным и самим хакерам и способны найти и вскрыть любые зашифрованные директории. Ведь следы с диска невозможно стереть безвозвратно, они всегда остаются, именно по этим следам их ловим и предъявляем обвинения.
-- Каков, по вашим данным, рейтинг российских хакеров в мире? И что вообще это за люди?-- В прошлом году на международной конференции в Лондоне, где теперь ежегодно собираются не только представители правоохранительных органов всего мира, занимающиеся расследованием киберпреступлений, но и крупных IT-компаний для обмена опытом, все единогласно пришли к выводу, что на данный момент российские хакеры одни из сильнейших. После них в этой своеобразной табели о рангах идут китайские хакеры, но они пока не дотягивают до уровня наших. Кстати, как признают иностранные специалисты, русских хакеров отличает еще и удивительная наглость. Бывает, они устраивают атаки на сайты не только частных компаний, но и госучреждений без всякой выгоды -- просто из чувства мести или обычного хулиганства, чтобы просто показать свою силу. Что касается социального состава российских хакеров, то он весьма разнообразен. Среди них есть и студенты, и клерки, и даже бизнесмены. У кого-то хакерство всего лишь хобби, а кто-то профессионально зарабатывает на этом деньги. Их карьерный рост начинается, как правило, лет с 14, иногда даже с десяти -- как только они осваивают компьютер. К 18 годам такие хакеры становятся специалистами экстра-класса. Между собой они редко общаются «вживую» -- как правило, знакомятся и ведут совместные дела только через Сеть, на специальных хакерских форумах. Они глубоко законспирированы и зашифрованы, попасть непосвященному на них крайне сложно. А для того, чтобы принять участие в каком-нибудь хакерском проекте, потребуются многочисленные рекомендации и ручательства многоуважаемых хакеров. На сайтах и форумах хакеров есть даже черные списки тех, с кем иметь дело не стоит. Отслеживанием и мониторингом таких сайтов занимаются сотрудники управления «К» МВД России, без их проверки не возбуждается ни одно дело. И среди сотрудников МВД есть свои хакеры.