С каждым годом мошенники в сети становятся все изощреннее: в ход идут любые способы украсть деньги и данные у пользователей по всему миру. И всемирная пандемия, во время которой почти весь мир отправился на удаленную работу и учебу, только ухудшила положение. Оставшиеся в самоизоляции в буквальном смысле стали мишенью и для преступников-одиночек, и для целых группировок. Россияне не стали исключением: в Рунете быстро появилось множество сайтов фальшивых фирм, обещающих помощь в получении выплат, и фишинговых ссылок на сайтах объявлений, а липовые «службы безопасности банков» начали атаковать людей по телефону с удвоенной силой. Так множество пользователей потеряли последние сбережения, добыча преступников исчисляется миллиардами рублей. Как россиян пытаются защититься от мошенников в сети и возможно ли вернуть украденное — разбиралась «Лента.ру».
Лихие времена
Фишинговые атаки, мошенничество с помощью методов социальной инженерии, заражение устройств вирусами, SMS-кражи, воровство методом card2card — пользователи сети и сотрудники различных организаций год за годом продолжают становиться жертвами многочисленных угроз от преступников. Те, кажется, всегда на несколько шагов впереди: быстро приспосабливаются к современным реалиям и каждый день придумывают новые способы криминального заработка. Только в прошлом году, по данным Генпрокуратуры, киберпреступления составили 14,5 процента от общего количества уголовных дел. И эти цифры продолжают расти.
Летом 2020-го Министерство внутренних дел отчиталось: в целом преступность в России немного снизилась, особенно число случаев убийств, разбоев и фактов умышленного причинения тяжкого вреда здоровью. Однако есть категория, где число преступлений стремительно растет, — это хищение средств с помощью новых технологий: мошенничеств, где преступники использовали электронные средства платежа, стало больше сразу на 103,6 процента. За первые четыре месяца 2020 года в МВД таких зафиксировали более 140 тысяч. В начале года в российских правоохранительных структурах даже появились специализированные подразделения, которые занимаются исключительно подобными делами.
Ранее эксперты компании Group-IB называли мошенничества с использованием приемов социальной инженерии наиболее распространенной угрозой для клиентов российских банков. Согласно их прогнозам, число таких преступлений в ближайшем будущем будет лишь увеличиваться. Как правило, подозрительную активность в системах дистанционного обслуживания банков отслеживают только крупные финансовые организации, и анонимные преступники пользовались этим, посчитав вишинг, или телефонные мошенничества, наиболее «перспективными» направлениями. Специалисты Positive Technologies также отмечали, что часто целью кибермошенников становится личная информация пользователей, а не только их деньги, и число подобных атак также стремительно растет.
Чтобы помочь клиентам избежать кражи денег и личных данных, некоторые финансовые организации пытаются проводить работу по повышению цифровой грамотности россиян. Они просвещают клиентов, как безопасно и эффективно пользоваться интернетом. К примеру, публикуют тематические сторис в своих приложениях или создают рассылки, рассказывающие, что можно и что нельзя делать в сети. Однако, по мнению директора Регионального общественного центра интернет-технологий (РОЦИТ) Сергея Гребенникова, подобных усилий недостаточно, так как зачастую такой контент воспринимается как реклама или способ навязать новый сервис. «Аудитория не воспринимает их как обучающие материалы», — заключает Гребенников. По его словам, необходимо, чтобы подобную деятельность вели некоммерческие организации, которые могли бы сформировать полноценный «курс повышения цифровой грамотности»: «Было бы лучше, если бы этим занимались общественные организации — Ассоциация банков России или наша, например. Я выступаю за то, чтобы такими вещами занимались не банки напрямую, а, условно, был бы Центр цифровой грамотности, и оттуда заинтересованные структуры могли бы брать контент и размещать у себя, работая в коллаборации. Когда это идет от организации, напрямую не связанной, например, с банком, это воспринимается лучше».
Обеспечивай это
В июле 2020 года Ассоциация банков России (АБР) предложила свой способ противодействия преступникам. Согласно законопроекту, представленному АБР, у пострадавших от действий мошенников должна быть возможность защитить себя. Предполагается, что банки получат право замораживать переведенные мошенникам средства, а потерпевшие смогут получить данные аферистов, чтобы обратиться в правоохранительные органы. То есть жертва сможет сразу связаться с банком и оспорить перевод. При этом банк блокирует сумму на 25 дней, что дает пострадавшему время для обращения к правоохранителям. Более того, если владелец счета получил денежный перевод неизвестного происхождения, деньги можно будет сразу вернуть отправителю (это делается для того, чтобы преступники не вовлекали третьих лиц в свои схемы). Также предполагается, что потерпевшие могли бы получать личные данные владельца счета, чтобы позднее обратиться в суд. Подобным образом клиенты банков защищены в некоторых странах: к примеру, во Франции владельцы кредитных карт, ставшие жертвами мошенников, имеют все шансы получить средства обратно. То же касается граждан США, пострадавших от подделки чеков.
Кредитные организации одобрительно отозвались об этой инициативе, однако все еще неясно, как в таком случае будет работать нерушимая защита банковской тайны. В январе 2019 года Министерство финансов уже сделало подобный шаг навстречу российским компаниям, пострадавшим от кибератак: отныне они могли учитывать этот убыток в качестве расхода. Это позволяет уменьшать базу, облагаемую налогом на прибыль. Для того чтобы реализовать подобную возможность, необходимо сообщить правоохранителям об атаке, а те обязаны завести уголовное дело — иначе убыток не учитывается.
К борьбе против многочисленных мошенников подключились не только общественные организации и МВД. Например, летом 2020 года стало известно, что сотрудники Сбербанка разработали технологию определения геолокации участников транзакций, — предполагается, что так появится возможность обнаружить мошенников. Предпринимаются попытки и более глобальной защиты: к примеру, в структуре Банка России работает Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере (ФинЦЕРТ). Как пояснили «Ленте.ру» в пресс-службе организации, подразделение является проводником, который обеспечивает обмен информацией о киберугрозах между банками и другими структурами. Также ФинЦЕРТ разрабатывает для организаций рекомендации о том, как обезопасить себя от киберугроз. «Другим важным направлением деятельности является разработка и актуализация нормативной базы в сфере обеспечения кибербезопасности на финансовом рынке, то есть тех правил и законов, которые должны соблюдать поднадзорные Банку России организации, чтобы обезопасить себя и своих клиентов от киберпреступников. Регулятор также контролирует соблюдение нормативной базы», — добавили в Центробанке.
В последнее время хакеры стали чаще воровать деньги с банковских счетов россиян. Потери измеряются миллиардами рублей. Только в 2019 году, по данным ЦБ, без согласия клиентов мошенники провели 572 тысячи несанкционированных операций со счетами физических лиц на сумму 5,7 миллиарда рублей. Еще 701 миллион рублей пропал со счетов юрлиц.
Атаки на банки не должны сказываться на клиентах, считают в Центробанке. Поэтому более двух лет назад ЦБ обязал банки отчитываться о проведении платежей во время подобных атак. Предполагается, что системы должны быть отлажены таким образом, чтобы отражать нападения киберпреступников и при этом функционировать для клиентов в штатном режиме. В таком случае каждый владелец счета может быть спокоен и за свои средства, и за личные данные, и за успешные переводы, — если ему необходимо их провести.
Несколько месяцев назад также стало известно, что в Центробанке готовят специализированную методику «киберучений», предполагающую стресс-тестирование кредитных организаций. То есть информационные системы банков умышленно подвергаются атаке, чтобы можно было оценить реальные риски, возможности проникновения, а также последствия от таких нападений. Заместитель директора департамента информационной безопасности ЦБ Артем Сычев тогда окрестил подобную практику «штабными учениями». Пока эта практика отложена из-за распространения вируса COVID-19. Однако большинство экспертов отмечают совершенно иной, новый подход надзорного ведомства к решению проблем с банковской безопасностью.
Последнее предупреждение
В прошлом году Госдума рассматривала законопроект о блокировке мошеннических сайтов без судебного решения — речь шла о порталах, которые связаны с финансовыми пирамидами. Позднее парламентарии также предложили дополнить документ, чтобы противостоять киберпреступникам, которые создают страницы, имитирующие сайты настоящих финансовых организаций, вводя юзеров в заблуждение. В 2019-м в Госдуме утверждали, что закон будет принят уже осенью, однако тогда он остался без внимания. В августе 2020-го представитель комитета Госдумы по финансовому рынку сообщил, что это может произойти в ближайшие месяцы. Тогда же Центробанк выступил за ужесточение наказаний для кибермошенников. Сейчас преступления, совершенные в сети, караются штрафом в размере 100 тысяч рублей или больше, принудительными работами на срок от полугода до пяти лет или же тюремным заключением до семи лет — в зависимости от характера преступления и его тяжести.
Чтобы не стать жертвой преступников, важно понимать риски, с которыми можно столкнуться в сети. Для этого необходимо повышать цифровую грамотность, подчеркивает директор РОЦИТ Сергей Гребенников. По его мнению, цифровую грамотность давно пора вводить в школьную программу. «Сегодня ни один школьник не выходит с полным багажом знаний об информационных технологиях, при этом умеет или пытается решать логарифмические уравнения. Но мало кому в жизни это нужно делать каждый день, а при этом мы ежедневно используем интернет — и здесь нас могут поджидать проблемы, о которых мы даже не догадываемся!» — говорит он. По мнению Гребенникова, от низкой грамотности пользователей страдает экономика, ведь если юзер сталкивается с проблемами в работе с сервисом или слишком боится мошенников, он попросту не будет использовать технологию. Лучшим вариантом обучения цифровой грамотности он считает тестирование — когда человек, отвечая на вопросы, задумывается, как бы он поступил в той или иной ситуации. «К примеру, у нас на подходе сейчас разработка тренажеров, похожих по сути на те, которые используются при обучении правилам дорожного движения, — система при неправильном ответе рассказывает, почему нужно было поступить так, а не иначе. Это должны быть реальные ситуации, а не выдуманные», — поясняет Гребенников.
Еще одна проблема, которую часто называют подспорьем мошенников, — анонимность в сети. Это касается и мошенничеств с использованием серых сим-карт (те, которые не оформлены на их фактических владельцев), и преступников, скрывающихся в даркнете. Однако большинство экспертов сходятся во мнении, что технологии постепенно вытесняют анонимность: даже при переводе с карты на карту зачастую можно увидеть личные данные получателя. Рядовые пользователи, не имеющие преступных целей, чаще всего делают выбор в пользу реальных имен, а не выдуманных. «Нет анонимного интернета. Мы раньше представлялись псевдонимами, а теперь — практически всегда своими именами. И этому надо учить детей в школе: что интернет — это больше не пространство анонимных людей, а такое же, как и офлайн. И если вы начинаете переписываться с человеком, который использует не реальное имя, а что-то шуточное, то это должно натолкнуть вас на мысль, стоит ли с ним общаться, переводить ему деньги, и так далее, — предостерегает директор РОЦИТ. — Нет анонимности, а если и есть — то она исключительно для преступных и мошеннических действий».
Однако целью анонимных преступников нередко становятся не деньги, а личные данные. Так, по подсчетам экспертно-аналитического центра InfoWatch, за 2019 год число утечек данных россиян выросло более чем на 40 процентов. Эксперты уточнили, что число «утекших» данных приблизилось к 170 миллионам, при этом 40 процентов утечек на территории России специалисты называют преднамеренными, а не случайными. В 2020 году число подобных преступлений лишь растет. Эксперты по информационной безопасности компании Group-IB считают, что мошенники в таких целях чаще используют сотрудников-инсайдеров внутри компании, которые передают им информацию за деньги. Обнаружить такого шпиона возможно, однако после его увольнения преступники немедленно станут искать внутри организации новый источник. И пока на такие данные есть спрос, утечки точно продолжатся. В прошлом году тогдашний глава Роскомнадзора Александр Жаров заявил, что ведомство подготовило пакет предложений, направленных на введение ответственности за покупку, распространение и дальнейшее использование персональных данных. В качестве негативного примера он вспомнил сотрудников социальной сети Twitter, которые украли личную информацию пользователей и перепродали ее. Однако пока эта инициатива не получила развития.
Преступники по-прежнему активно используют и привычные методы — фишинг и вишинг. По словам директора Координационного центра доменов .RU/.РФ Андрея Воробьева, фишинг продолжает оставаться одной из самых распространенных проблем кибербезопасности, а пользователи продолжают попадаться на уловки «мастеров» социальной инженерии. «Поэтому в борьбе с фишингом важны и усилия самих пользователей: внимательнее относиться (то есть каждый раз проверять наличие признаков надежности) к имейлам, сообщениями в мессенджерах, ссылкам из неизвестных источников и сайтам, где просят ввести персональные данные или оплатить услугу», — поясняет он. Воробьев отметил, что одной стопроцентно эффективной методики борьбы не существует, здесь необходимо применять комплекс мер.
«У Координационного центра доменов .RU/.РФ налажено взаимодействие с десятком компетентных организаций, среди них есть как центры реагирования на компьютерные инциденты органов государственной власти, так и ведущие коммерческие разработчики ПО в сфере информационной безопасности: они могут направлять регистраторам, аккредитованным в российских доменах .RU и .РФ (таковых уже 55), запросы о прекращении делегирования доменных имен для фишинговых ресурсов. Регистраторы, как правило, незамедлительно исполняют подобные требования», — добавил Воробьев. Пользователь же может в любой момент обратиться на специализированные сайты, например, «Доменный патруль», где есть информация для пострадавших от интернет-мошенничеств.