Атака хакеров: как пропадают миллиарды | Большие Идеи

? Феномены

Атака хакеров: как пропадают
миллиарды

Защита от киберкраж — часто лишь иллюзия безопасности.

Автор: Владимир Рувинский

Атака хакеров: как пропадают  миллиарды

читайте также

Высшее образование — народу!

Кханна Параг,  Кхемка Каран

«Холодные» письма: пять полезных советов

Такер Макс

Как критиковать представителей разных культур

Эрин Мейер

Быть честным или успешным?

Анна Натитник

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ РУВИНСКИМ ВЛАДИМИРОМ ВЛАДИМИРОВИЧЕМ ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА РУВИНСКОГО ВЛАДИМИРА ВЛАДИМИРОВИЧА.

Россия стала раем для киберпреступников: со счетов граждан, компаний, банков и госучреждений утекают миллиарды рублей. Бороться с этим получается плохо — ­из-за неосведомленности людей, закрытости информации, а главное — бесконтрольной обналички украденных денег.

В мае 50-летней москвичке Ирине Власовой на смартфон Lenovo пришло несколько смсок с нечитаемыми символами. Она догадалась переставить сим-карту в обычный телефон Nokia: на него тут же пришли сообщения, что в предыдущие дни она шесть раз перевела по 15 тысяч рублей неизвестному абоненту. Деньги списывались с кредитной карты Сбербанка, которую ей неожиданно принес курьер больше года назад. «Я эту карту не заказывала, положила ее дома в ящик и сразу о ней забыла, даже конверт с ПИН-кодом не вскрывала», — вспоминает Ирина. И вот теперь банк уведомляет ее, что она потратила 90 тысяч рублей — весь кредитный лимит.

Власова тут же заблокировала карту, написала заявление в банк и полицию. Через неделю Сбербанк ответил, что оснований для возврата ей средств нет. Оказалось, что банк, выдав карту, привязал ее к текущему аккаунту Власовой в онлайн-банкинге и теперь настаивал, что деньги были корректно переведены с карты через мобильное приложение «Сбербанк Онлайн». Кроме того, будто бы с номера Ирины банк получал подтверждения платежей через одноразовые пароли, которые он ей высылал. «Но приложения “Сбербанк Онлайн” у меня на смартфоне никогда не было, я ничего не переводила, пароли не получала и не подтверждала», — недоумевает она. Все это явно свидетельствовало об интернет-мошенничестве. Но в банке считали иначе, и следователь ОВД Басманного района Москвы в возбуждении уголовного дела отказал: «за отсутствием события ­преступления». Он рекомендовал Власовой разбираться с банком в гражданском суде (все документы и постановление есть у «HBR — Россия»).

Похоже на работу хакеров, говорят в компании Group-IB, которая специализируется на расследовании и предотвращении киберпреступлений. «Судя по всему, смартфон, работающий на Android, был заражен банковским трояном, — предполагает Дмитрий Волков, глава отдела расследований компании. — С его помощью и украли деньги». Вариантов заражения несколько. Как правило, человек получает смску со ссылкой, предлагающей что-то скачать, например mms-сообщение, и при скачивании загружает вирус: он проверяет, привязан ли номер и сам телефон к банковскому счету, запрашивая его баланс через смс-банкинг. Запрос делается «вслепую», но часто — в адрес Сбербанка, ведь у него в России больше всего клиентов — 110 млн. Тактика кражи выбирается в зависимости от обнаруженной на счету суммы. Если денег у жертвы немного, то используют смс-банкинг: сервис позволяет через смски мгновенно переводить до 15 тысяч руб­лей в день. Троян от имени клиента вступает в смс-переписку с банком, переводит деньги, а сам клиент этого не видит. Если баланс большой, выбирается проникновение с зараженного смартфона уже в онлайн-банк. Для этого от имени Сбербанка абоненту на его уже зараженный смартфон направляется сообщение с просьбой ответить на вопросы о качестве сервиса, обещая за это, например, 500 рублей. Сообщение сопровождается ссылкой на фишинговый сайт, полностью копирующий дизайн Сбербанка. По ходу опроса абонента просят ввести логин от «Сбербанк Онлайн». Все. Зная логин и перехватив смс-переписку с банком, злоумышленники через ­систему восстановления паролей получают полный доступ к онлайн-банкингу. Деньги уходят к ним.

Мобильные кражи

Бум мобильных мошенничеств начался пару лет назад и, по данным Group-IB, их количество растет вместе с другими киберпреступлениями на 40—200% в год. «Мы обладаем подтвержденными фактами заражения 1 817 014 мобильных устройств за последний год. Но их безусловно больше», — говорит Дмитрий Волков. На интернет-форумах много жалоб на киберхищения: от клиентов «ВТБ 24», «Тинькофф», МТС-Банка, Альфа-банка, «Юниаструма». «Все банки этому подвержены», — замечает бывший руководитель в управлении «К» МВД, которое ­занимается электронными преступлениями.

Наиболее уязвимы смартфоны и планшеты Android: по данным «Лаборатории Касперского», ESET Russia, 98% вирусов нацелены именно на эту мобильную платформу. Проблемы ее известны: открытый программный код, много непроверенных или зараженных приложений, в том числе на Google Market. К тому же Android, по оценке Strategy Analytics, занимает 79% рынка гаджетов, и хакеры выбрали главной мишенью именно его. «Крадут и у пользователей iPhone: миф об их неуязвимости давно опровергнут», — говорит источник в управлении «К» МВД. По словам Дмитрия Волкова из Group-IB, iPhone спасает то, что финансовым хакерам компьютеры Mac пока малоинтересны, так как бухгалтерии предпочитают Windows.

Конечно, предотвратить кражи помогают антивирусы. Операторы связи, скажем «Билайн», и банки, не дожидаясь, когда клиенты купят антивирус, предлагают его бесплатно или недорого сами. В марте 2015 года Сбербанк встроил в свое приложение для онлайн-банкинга антивирус для смартфонов Andriod.

Многие уверены, что этого достаточно. Но антивирусные программы не полностью исключают заражения. «Банки, бывало, при покупке нашего продукта требовали гарантий полной защиты, но это невозможно, поскольку многое зависит от настроек и конкретных пользователей», — поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». Но главное другое: антивирусные программы — всегда догоняющие. «От ­создания нового, не выявляемого вируса до того, как изготовят от него “вакцину” и она попадет пользователям, проходит от одного до трех месяцев, — уточняет источник в управлении “К” МВД. — За это время крадутся деньги. В том числе через смартфоны с антивирусами».

Вирусы быстро множатся. Скажем, в России за второй квартал 2015 года количество новых вирусов для мобильных устройств почти утроилось: сейчас их по оценкам «Лаборатории Касперского» почти 300 тысяч. И их очень легко модифицировать. «Вы можете зайти на хакерский форум, скачать бесплатно готовый вирус, который обнаруживается, и за $20 вам там же за 10—15 минут его изменят так, что большинство антивирусов не опознает его», — говорит Дмитрий Волков. Чтобы организовать атаку, денег тоже почти не нужно: заразить тысячу аппаратов на Android стоит тоже $20. Достаточно заразить 5—10 тысяч смартфонов, из них обязательно найдутся те, через которые можно что-нибудь украсть. Конечно, много таким способом не получить: обычно через мобильные телефоны похищают от 15 до 50 тысяч рублей. Но для мошенников это самый простой и дешевый способ подкопить денег на более серьезные преступления.

Точных данных о кражах через смартфоны нет. «Службы безопасности банков часто слишком малы, чтобы расследовать каждый случай», — говорит бывший руководитель в управлении «К» МВД. Информацию об опасных инцидентах они, конечно, обязаны предоставлять Центробанку, но обобщенно. Поэтому статистика у ЦБ неполная: по его данным, киберпреступники в 2014 году пытались вывести с банковских счетов 6 млрд рублей, а количество подобных атак в российских банках выросло примерно на 30%, до 64 тысяч. «Данные Центробанка не отражают картины, — говорит источник из управления “К” МВД. — Киберхищений гораздо больше, чем говорят банки». По его словам, ближе к реальности данные Group-IB, согласно которым за 2013—2014 год злоумышленники только через интернет-банкинг украли у физлиц в странах СНГ более 1 млрд рублей, с учетом юрлиц — это 87,5 млрд рублей. Большая часть, очевидно, приходится на Россию.

Масштаб ущерба можно оценить по данным судебных дел. В апреле 2015 года управление «К» МВД сообщило, что задержан соз­­да­­тель вируса «5-й рейх», которым заражают ­смартфоны Android. Деньги уводят через мобильный банкинг, рассылая смски с просьбой обновить flash player, с которым и загружается «5-й рейх». То, что удалось задержать вирусописателя, — редкость. Обычно они не участвуют непосредственно в хищении, и связь между ним и мошенниками, а главное — что именно он написал вирус, доказать трудно. Автором «5-го рейха» оказался 25-летний житель Челябинска, имя которого не называется. В его поимке участвовала служба безопасности Сбербанка, что указывает на размах хищений у его клиентов. Расследование показало, что «5-м рейхом» заражено минимум 340 тысяч смартфонов клиентов российских банков, а ущерб, по данным МВД, составил 50 млн руб­лей. МВД сообщило также о «десятках аналогичных правонарушений» в других регионах.

В России с банковских счетов пропадали деньги у, вероятно, сотен тысяч человек. А вот вернуть их у нас крайне трудно — в отличие, скажем, от стран ЕС и США: там банки обязаны вернуть деньги на карточку, если владелец заявит, что их сняли без его ведома. В России по умолчанию ответственность возложена на клиента: раз деньги украли, значит, он допустил небрежность. Клиент Сбербанка, пояснила его пресс-служба, берет на себя все риски, если не выполняет требований безопасности банка: например, пользуясь смартфоном Android, не подключает антивирусную защиту или загружает программы из недостоверных источников. На вопрос, что будет, если клиент выполнил все условия, а деньги через смартфон все же украли, пресс-служба не ответила. Альфа-банк, как правило, не возвращает деньги, если их украли в результате атаки на компьютер или смартфон клиента: их защиту банк контролировать не может, поясняет Алексей Голенищев, директор по мониторингу электронного бизнеса банка. Здесь многое зависит от того, хорошо ли защищает платежи сам банк: в 2014 году у клиентов-физлиц Альфа-банка, по словам Голенищева, через онлайн-банкинг украли «всего тысяч десять рублей». Другие банки не раскрывают таких данных, но чем меньше банк, тем, как правило, хуже защита.

Конечно, денежные средства клиентов российские банки страхуют. Сумма возмещения на случай фишинга, как правило, небольшая — 30—50 тысяч, говорит Сергей Ефремов, ­заместитель гендиректора «СГ МСК»: «Чтобы клиент банка ее получил, должно быть возбуждено уголовное дело и установлен факт хищения». Реальность, однако, такова, что этого не всегда удается добиться, даже если есть все улики. В 2012 году жена москвича Артема Аюшеева обнаружила, что с ее кредитной карты Промсвязьбанка списаны все деньги — 80 тысяч рублей. Банк возложил всю ответственность на клиента, и Аюшеев с женой подали на банк в суд. Они собрали доказательства, с какого IP-адреса входили в онлайн-банк, куда шли переводы. Оказалось, что счетом воспользовался некто Антонов из Петергофа, чтобы оплачивать кредиты в Альфа-банке. Аюшеев получил его паспортные данные, адрес прописки: «В общем, готовый подсудимый». Но банк в суде заявил, что Аюшеев с женой сами передали все данные Антонову. Дело три раза закрывали. Нервы у Аюшеева сдали: он, помощник депутата Госдумы единоросса Михаила Слипенчука, пообещал, что «направит депутатский запрос на имя министра МВД и генпрокурора». Полиция обратилась в ГУВД Петербурга; потом, вспоминает Артем, ему сказали: «Мы написали, но они ничего не сделали, нам очень жаль». Суд тем временем тихо рассмотрел дело в пользу банка. Аюшеев еще раз пригрозил написать письма, банк вернул деньги и доплатил 20 тысяч за неудобства. «Скорее всего, потому, что истица, моя жена, работала в структурах Промсвязьбанка», — предполагает он. Само дело закрыли: «Я передавал все собранные доказательства в прокуратуру и следствие. Я говорю, расследуйте, вот зацепки. Но нет. На Антонова никто так и не вышел».

Скорее всего, предполагает Аюшеев, полицейские просто не знали, как к этому делу подступиться. По словам источника из «К» МВД, не хватает прежде всего оперативников, которые могли бы собрать нужную информацию. «Киберпреступлений много, поэтому опера выбирают те случаи, где легко проследить связь множества эпизодов и выйти на след преступника. А уже следователь прежде, чем возбудить дело, отбирает то, что реально быстро довести до суда». Почти нет и следователей, способных понять техничность дел, объединить эпизоды и объяснить суть прокурору и судье, отмечает Илья Сачков, гендиректор Group-IB. Пока же эпидемия краж со смартфонов набирает силу. Больше, чем у граждан, хакеры крадут у компаний и госорганов, но самый большой куш сулят банки.

Легкая нажива

Днем 27 февраля 2015 года на Московской бирже произошел аномальный скачок курса доллара: он рухнул с 61 до почти 55 рублей, затем взлетел до 66 рублей. Причиной стали покупка и продажа валюты казанским Энергобанком: лоты достигали $200 млн. Трейдер банка был в это время на обеденном перерыве, однако заметил происходящее. Звонок на Московскую биржу подтвердил, что торги идут с терминала банка. За 14 минут было совершено семь сделок по невыгодному курсу, ущерб от которых банк сегодня оценивает в 308 млн рублей. После этого компьютер стер данные с жесткого диска и «умер».

Расследование показало, что терминалом воспользовались злоумышленники, говорит предправления Энергобанка Дмитрий Вагизов: «Данные с жесткого диска удалось восстановить, на нем был обнаружен постоянно меняющийся функциональный вирус, с помощью которого совершалась афера». Вредоносную программу, скорее всего, установили удаленно, за несколько месяцев до событий, обойдя действующий антивирус и имеющиеся системы информзащиты, поясняет он, ссылаясь на данные экспертизы: «Это позволило злоумышленникам незаметно для пользователя получить полный ­параллельный контроль над компьютером, знать о всех сделках и режиме работы трейдеров».

Такое бывает часто. В 2013—2014 годах Group-IB выявила крупную сеть российских хакеров, названную ею Anunak: они похитили деньги у более чем 50 российских банков и пяти платежных систем, а также у множества компаний (ущерб как минимум 1 млрд рублей). «Мы исследовали взломанные компьютеры и обнаружили, что на 86% их них стояли антивирусы: Kaspersky Lab, Dr.Web, MacAfee, Symantec», — рассказывает Илья Сачков. В схеме взлома компьютера Энергобанка ничего нового нет. Инновационным оказался способ его монетизации: злоумышленники обогащались, затерявшись среди добросовестных брокеров, так что найти их очень трудно. Биржа признала все сделки законными, Энергобанк хочет доказать, что это не так (вирус «исключает волю банка в спорных сделках»), и вернуть деньги. Если он своего добьется, это подорвет суть аукционных торгов — «здесь и сейчас». Если нет, то киберпреступления могут обрести новый масштаб.

Атаки на банки в России были редкостью до конца нулевых, но за последние два года участились. «Для хакеров это интереснее, но сложнее», — замечает гендиректор Group-IB. Каждая атака на банк индивидуальна: злоумышленники изучают его особенности. Начинается все с проникновения в сеть банка. Способов много, но самый частый — через электронную почту: кому-нибудь из сотрудников приходит письмо от клиента, который хочет открыть счет, или письмо от Центробанка, а в нем pdf-файл с уязвимостью. Эта небольшая вредоносная программа — главное звено во всей дальнейшей цепочке кражи. Именно она пробивает защиту компьютера и предоставляет доступ злоумышленнику.

В октябре 2013 года следователи из Москвы задержали в Тольятти 27-летнего Дмитрия Федотова. Арестованный, известный в хакерском мире под прозвищем Paunch, был одним из самых разыскиваемых компьютерных мошенников. По данным Group-IB, написанная им программа Blackhole и ее обновление Cool Exploit Kit обеспечили 40% заражений по всему миру. Ущерб от них исчислялся миллиардами долларов, но выйти на Федотова и задержать его долго не могли, так как он просто писал и продавал программы. На то, чтобы доказать связь ­между ним и хищениями, а главное, что он автор вредоносной программы, ушло два года.

Сама программа, так называемая связка эксплоитов, устанавливала своего рода туннель между компьютером жертвы и сервером злоумышленника, проникая через «дырки» в операционных системах, браузерах, flash-проигрывателях, программах для чтения pdf-файлов. Это могли быть старые уязвимости, уже выявленные разработчиком и устраняемые простым обновлением программы, и новые, к которым «заплаток» нет. Федотов либо находил уязвимости сам, либо покупал, а затем встраивал в свою «связку». Годовая лицензия на Blackhole стоила $1,5 тысячи. Дело шло так бойко, что последнюю уязвимость он покупал за $200 тысяч.

По сути эти «эксплоиты» — ящик Пандоры: они не ловятся антивирусами, но открывают дорогу к взлому широкому кругу желающих. Главное — добраться до нужного компьютера. «Дырки» в Windows и Mac используют не только для краж, но и для шпионажа: например, для взлома iCloud. В июле неизвестные выложили в WikiLeaks подтвержденную переписку итальянской фирмы Hacking Team, работающей на спецслужбы, как выяснилось, 35 стран. Из нее следует, что компания продавала им аналоги Blackhole для тайной слежки и кражи данных, в том числе ФБР и ФСБ (программа Remote System Control), при этом скупала «дыры» в операционных системах и программах у тех же хакеров, например, в Москве за €39 тысяч.

Программы, непосредственно осуществляющие хищение, пишутся отдельно. Но делать это умеют немногие. Скажем, среди клиентов Paunch была российская хакерская группа Carberp, костяк которой состоял из молодых людей 1983, 1986, 1988 года рождения. От нее, по данным Group-IB, пострадали 46 российских банков и клиенты 100 банков по всему миру. По неофициальным данным, только за три первых месяца 2012 года, когда группа была наиболее активна, она похитила в России минимум 130 млн рублей. С помощью Blackhole зло­умышленники заражали компьютеры компаний и банков, а похищали средства уже собственной вредоносной программой. Следствие шло три года, часть мошенников скрылась, часть получила большие сроки. Группа разгромлена, но программа Carberp с исходным кодом сейчас лежит в свободном доступе. Знающий человек разберется в ней за три дня, доработает, арендует сервер за $10 и приступит к делу. «Это мусорное ПО, но позволяет украсть деньги. Месяц потратил, 100 тысяч рублей вложил, получил миллион», — говорит Дмитрий Волков из Group-IB.

Для кражи со счета компании нужно заразить компьютер бухгалтера. Первый способ — «подлом» (внедрение эксплоитов) через популярные среди них сайты, вроде банки.ру, гарант.ру и налог.ру; новости и деловые издания. Если у посетителя не обновлен, например, браузер, то в нем могли остаться «дырки» и через них вредоносная программа устанавливает с его компьютером «туннель». Через него загружается программа, которая анализирует, что можно украсть с компьютера, есть ли на нем бухгалтерская программа или иной финансовый софт. После этого с сервера злоумышленника загружается специально подобранный вирус, адаптированный под антивирус жертвы. Другой вариант заражения — адресный, все более популярный: на почту присылается зараженный документ, с письмом, мол, проверьте реквизиты договора, акт сверки. Дальше тоже есть разные варианты. Например, разновидность фишинга, когда загруженная хакерская программа подменяет IP-адрес, к которому обращается пользователь, например Банка Москвы. И выдается адрес не реального, а фишингового сайта, хотя адрес — http://www.bm.ru — будет тот же.

Есть и более затратные для мошенников способы: себестоимость операции может достигать $100 тысяч. Вирус на компьютере бухгалтера отслеживает баланс на счетах компании или учреждения, последние транзакции, банки, в которые переводятся деньги, и передает данные на сервер злоумышленника. Там они автоматически сортируются и под каждый счет подбирается схема хищения: от 100 тысяч до 1 млн рублей можно сбросить на банковскую карту, 1—5  млн — перевести на юрлиц, от 5 млн рублей и выше — распылить на сим-карты. Вычислив, когда сумма на счетах максимальна, программа дожидается только подключения бухгалтера к каналу для перевода средств, то есть момента, когда он вставит свой токен (USB-устройство, которое защищает платежи). И тогда все деньги, предназначенные, например, для зарплаты, разом исчезают со счета фирмы. Злоумышленники в это время могут спать в другом часовом поясе. В другом варианте, чтобы обойти систему мониторинга банка, программа изменяет реквизиты платежного поручения в момент его отправки бухгалтером (у него на экране они будут прежними). «Многие думают, что если есть цифровой ключ на токенах, то защита обеспечена, — говорит гендиректор Group-IB. — Но если злоумышленник заразил компьютер, то как только токен вставлен, он может подписать с этого компьютера любое платежное поручение». Такие целевые кражи требуют более месяца на подготовку: нужно создать компании по выводу средств, открыть счет в том же банке, куда обычно жертва переводит платежи, перечислить туда, например, 5 тысяч рублей, чтобы последующие транзакции не вызвали подозрений, выяснить обычный график платежей. Только после этого можно незаметно похитить миллионы.

Такими способами в 2013—2014 годах зло­умышленники пытались атаковать Qiwi, «Почту России», «Тройка Венчур Кэпитал», «Сколково-Нанотех». У Qiwi злоумышленники украли 88 млн рублей, о чем компания упомянула в своем годовом отчете для иностранных акционеров. Хакеры атакуют так и российские банки: в Group-IB знают о более 35 подобных успешных случаях за последние два года. Банки об этом молчат: случай Энергобанка, который пытается оспорить сделки на бирже, исключение. «В 2013 году лидеры банковского рынка теряли порядка десятка миллионов долларов», — утверждает Алексей Голенищев из Альфа-банка. В Group-IB говорят, что из известных им целевых атак на банки только в 3% случаев организации выявили их сами. В 28% случаев уже после инцидента, а в 69% случаев об атаках банкам сообщила сама Group-IB. В списке атакованных — крупные компании, министерства, ведомства, например управление делами Президента России: вирус через компьютер бухгалтера отследил баланс и обнаружил на его счете 54 млн рублей.

Конечно, системы защиты совершенствуются. Если раньше даже богатые банки ограничивались программной и технологической защитой, антивирусами, то есть выжидали атаки, вслепую наращивая тяжелую броню, то теперь у них появилась разведка. «Мы первыми на рынке сделали круглосуточный мониторинг именно по дистанционным сервисам (смс, теле- и онлайн-банк) для юрлиц и физлиц. Все, что попадает в компьютер, в электронную среду, закрытие депозитов например, все мониторим», — говорит Алексей Голенищев. К мониторингу подключены самообучающиеся профили клиентов: они отслеживают стандартные операции, средние суммы — десятки параметров. Если транзакция выходит за рамки профиля, анализируют ее риски: они повышены, например, если деньги переводят на мобильные телефоны. Некоторые банки подключены к системам, отслеживающим ботсети, используя принцип работы хакеров. Для атаки они арендуют сервер — командный центр, с которого на компьютеры, смартфоны загружаются вирусы. Если найти один зараженный компьютер, то можно обнаружить сам сервер и всю ботсеть. А значит, и компьютер, где скомпрометированы счета его владельца. «Мы в режиме реального времени видим зараженных клиентов банка, какой у них вирус, что ему доступно. Банк блокирует карту, онлайн-банкинг клиента и оповещает его», — говорит гендиректор Group-IB о своей системе. Но банков, умело выстроивших защиту себя и клиентов, немного.

Криминальный бизнес

Основные разработчики вредоносных программ сегодня — русскоязычные люди и китайцы, сходятся во мнении эксперты. «Сильные ребятишки сидят на Украине, куда еще с советских времен стекались толковые программисты, и у нас в Европейской части России», — говорит наш источник из «К» МВД. Ими создан полноценный рынок ИТ-услуг: хакерские программы разрабатывают настоящие компании, у них есть лицензионная политика, круглосуточная техподдержка. Сегодня заняться киберпреступностью просто: купить программу, почитать, поговорить со специалистом. От захода на специализированный форум до хакерской атаки может пройти всего две недели. Цены на этом рынке снижаются из-за избытка предложений, роста автоматизации и надежности программ, отмечается в отчете Russian Underground 2.0 компании Trend Micro. «Хорошая программа для воровства стоит в среднем $100, — говорит источник из “К” МВД. — Человек пишет вирус, обновляет его, чтобы антивирусы не ­определяли, и потом уже армия “пионеров” активно пользуется им для краж».

Если посмотреть на задержанных и осужденных в России по делам о киберпреступлениях, то это молодые люди от 21 до 30 лет. Наверное, это потерянное поколение 1990-х, считает Илья Сачков. У них много общего: высокий IQ и отсутствие моральных принципов. Перед ними прошли две хакерских волны, породившие в России профессиональное сообщество и давшие опыт, инструменты и живые примеры того, как человек, занявшись киберпреступлениями, резко вышел на другой уровень социального благополучия. Общество и правовая система к их строгому наказанию не готовы; когда на скамье подсудимых оказывались российские хакеры, взломавшие западные банки и магазины, центральные телеканалы рассуждали о них как о «компьютерных гениях».

В конце нулевых они переключились на внут­ренний рынок. В России уже распространились электронные средства связи, услуги, банкоматы; люди, банки, компании и госучреждения к киберпреступлениям не готовы. Но главное, у нас несравнимо легче, чем в США, Украине или Польше, обналичить украденное. А это основной двигатель киберпреступности: не будет обналички — не будет и компьютерных краж. А у нас обналом занимаются настоящие организованные преступные группы, которые сформировались еще в 1990-х годах. Ликвидировать систему очень трудно, ведь в ней заинтересованы слишком многие. Киберпреступники платят за обналичку 30—60% от похищенного, в зависимости от «чистоты» денег, сложности схем. Если сумма большая, деньги распыляются: например, заранее покупается т. н. зарплатный проект, когда 50 млн рублей через юрлицо выводятся на 50 банковских карт. Или деньги летят, например, на 2 тысячи Qiwi кошельков и 100 тысяч сим-карт, а с них — на банковские карты. «Ту же “золотую” карту Сбербанка, у которой нет лимитов на снятие наличных, можно купить за 9 тысяч рублей, — поясняет источник из “К”. — На нее переводится большой транш и обналичивается. Берешь ее владельца, а это студентка, мол, потеряла карту — и все». Для снятия денег нанимают людей, которым приходится «светиться» у банкоматов; им платят около 5% от снятого. Если же нужно получить много и сразу, человека отправляют в отделение банка, с заверенными документами от директора фирмы-однодневки, и он ­получает все через кассу.

Мошенникам важна скорость, иначе жертва может обнаружить хищение, обратиться в банк и остановить транзакцию. Поэтому средства обычно крадут перед «банковским рейсом» — проводкой в расчетный центр. Но и банк может отложить перевод, если что-то заподозрит, поэтому злоумышленники в нем ищут своего человека, который быстро отправлял бы деньги на счета подставной компании. Этим и удобны для мошенников «обнальные» банки: екатеринбургский «Банк 24» отправлял платежи мгновенно и круглые сутки. В сентябре 2014 года Центробанк отозвал у него лицензию, обнаружив, что ежемесячный объем сомнительных операций достигал нескольких миллиардов рублей. В банке, который на Урале открыто называли «обнальным банком полиции», обслуживалась десятая часть всех юридических лиц в России.

Романтические представления о хакерах как о Робин Гудах цифровой эпохи, чьи потрясающие способности помогают взламывать любую систему и грабить богатые банки, давно устарели. Дело это поставлено на поток, и программы взлома продаются совсем недорого. Молодые люди крадут миллиарды рублей, на которые открывают кафе, покупают франшизы. Они отлично встроились в систему, позволяющую отмывать деньги и обналичивать украденное. Тем не менее, этот вид криминала в нашем обществе не то что поощряется — хотя, если говорить о взломах зарубежных компаний, можно сказать и так, — но не подвергается должному осуждению и наказанию. До сегодняшнего дня Россия не экстрадировала ни одного хакера, замешанного в киберпреступлениях за границей. В таких условиях киберпреступность ширится и расцветает, а жертвой ее может стать любой из нас.