четверг, 25 декабря 2014 г.

Кибер-грабеж: из России с пин-кодом

Кибер-грабеж

Русские хакеры, обдирающие до нитки мирно спящих американцев - кто они? Чего они хотят?

Я сижу в японском ресторане на северо-востоке Москвы. Рядом - 28-летний блондин с голубыми глазами. Мы склонились над его макбуком, смеемся, лицо к лицу. Но мы не молодожены, выбирающие маршрут для свадебного путешествия. Мы готовим кражу нескольких миллионов долларов.

Мой визави Никита Кислицын шесть лет возглавлял журнал «Хакер», а сегодня работает в Group-IB - компании, специализирующейся на компьютерной безопасности. «Какой айпишник предпочитаешь?» - спрашивает он меня, пока его пальцы вводят логины и пароли для проникновения в закрытую частную сеть, где пользователей нельзя выследить по IP. Я говорю: «Чикаго». И мы переносимся из столицы России в сердце США. Теперь мы можем действовать безнаказанно.


Кислицын влезает на закрытый хакерский форум и ищет треды, предлагающие нужный нам троян. За разумные деньги можно купить вирус, который соберет из всей зараженной им сети компьютеров информацию о банковских счетах физических и юридических лиц, их паролях и защите. Кислицын показывает мне скриншот с компьютера хакнутого им кибервора. Напротив имен и номеров счетов - пометки мошенника: «неверный пароль», «логин потерян», а кое-где - почему-то «бомж». «Это значит, что клиент нищий и красть у него нечего. Еще кто-то не помнит свой пароль, таких тоже не обуешь. Всех остальных можно», - говорит Никита.

Следующая стадия - изъятие денег со счета. Русские чаще всего используют «автозалив» - метод, в основе которого лежит программа отслеживания ваших посещений интернет-банка. Такую программу можно купить на том же форуме, и стоит вам войти в личный кабинет с зараженного компьютера, как «автозалив» известит кидающего вас хакера о том, что вы онлайн. Программа может и сама перевести ваши деньги на счет мошенника, а может запустить его в ваш компьютер, и он все сделает сам. Вы можете даже не видеть, как уходят денежки с вашего счета: хакер просто введет в строку баланса ту сумму, которая лежала у вас на счету до его визита. И правду вы узнаете, только когда решите оплатить что-нибудь по безналу или снять кэш с банкомата.

Ваши деньги в этот момент будут уже в пути. Тут в дело вступают курьеры - как правило, бедные студенты или безработные неудачники, даже и близко не подозревающие, чем занимаются. Их нанимают по объявлению вроде «Иностранной компании требуются граждане США для работы по обналичиванию денежных средств». Их задача - получить по почте номер счета, на который кибервор перевел похищенные деньги, снять их оттуда наличными и перевести за океан через, к примеру, Western Union. Там их получит следующий курьер, потом еще один, и чем больше будет перевалочных пунктов, тем сложнее найти концы. Последним звеном запросто может оказаться какая-нибудь украинская бабушка, а средством перевода - банальный поезд. Никите известен случай, когда такая вот бабушка передала с проводником в Москву телевизор, набитый кэшем, и хакер спокойно получил деньги на Киевском вокзале. На оплату курьеров уходит до половины похищенной суммы: если кибервор хочет миллион, ему придется украсть два.

Впрочем, проникновение в чужой банк через компьютерного червя - лишь один из тысячи способов совершить киберпреступление. Можно сделать липовую карточку и опустошить банкомат. Можно устроить онлайн-шопинг с чужого счета. Можно украсть номер чьей-нибудь кредитки и продать его на том же форуме, на котором сидим мы с Никитой: чем дальше идет хайтек, тем больше перспектив у компьютерного воришки. Пока банки делают неприступными свои компьютеры, передовые методы онлайн-банкинга через приложения для смартфонов высвобождают новые плацдармы для наступления мошенников. Поданным компании Symantec, половина пользователей не используют никакой защиты на смартфонах, не бэкапят файлы и не паролят свои гаджеты - при том что 40% владельцев смартфонов и планшетов стали в 2013 году жертвами мобильного криминала. Недаром еще в прошлом году директор ФБР Роберт Мюллер заявил, что «в будущем киберпреступления по степени опасности встанут вровень с терроризмом».

Сайты, на которых мы висим сутками напролет - Visa, Amazon, eBay, - могут быть заражены виртуальной Эболой, которая в два клика лишит мать-одиночку всех сбережений, опустошит кошелек бизнесмена средней руки и разорит любой мелкий и средний бизнес. А время от времени хакеры способны покусать и более крупную рыбу: Sony, Home Depot и - из последних -торговую сеть Target. Если кто забыл: в конце прошлого года хакеры украли 40 миллионов номеров кредиток и 70 миллионов адресов и телефонов ее покупателей. Как установило следствие, сеть самой Target была надежно защищена, и хакерам пришлось заражать ее через компьютеры менее продвинутой конторы Fazio Mechanical Services, которая поставляла холодильники для питтсбургских торговых залов Target. А дальше дело техники: вирусная программа считывала данные прямо с кассовых аппаратов, стоило покупателю вставить в них пластиковую карту.

Как правило, хакер не сразу получает дивиденды с подобной добычи. Сначала надо выждать, когда утихнет медийный шум, инцидент забудется, а обладатели похищенных данных потеряют бдительность и перестанут регулярно проверять счета. Впрочем, можно не обувать никого конкретно, а просто продать похищенную базу данных. Краденый номер кредитки стоит в среднем около доллара - что приобретает смысл, если вы украли их сотни тысяч.

В 2013 году оборот киберпреступлений во всем мире составил $113 млрд. Сильнее всех пострадали США - они попали на $38 млрд. Ежесекундно жертвами хакеров становятся 12 человек - это втрое больше общемирового показателя рождаемости. Статус вас от этого не защитит: позапрошлой весной на всеобщее обозрение были выкинуты, например, личные данные Мишель Обамы, Хиллари Клинтон и того же директора ФБР Мюллера. Сайт, на который их выложили, находился на домене .su (Soviet Union). Что никого не удивило: общеизвестно, что Россия - рай для хакеров. В десятке самых разыскиваемых киберпреступников планеты - четверо славян, трое китайцев, два пакистанца и один швед.

Пока Никита все это рассказывает, мы находим недорогой ($350) вирус Citadel, кликаем «Заказать» и ждем. «Это бизнес, а бизнес подразумевает стартовые вложения», - ухмыляется мой напарник.

Почему хакерским раем стала Россия? Тому есть как минимум две причины. Во-первых, огромное количество светлых голов при не самом большом спросе на умных людей. В России нет своей Силиконовой долины, а образование осталось сильным еще со времен СССР. На заре Интернета российские компьютерные гении зарабатывали на спаме и ссылках, ведущих на порносайты, - и их не трогали. Затем были липовые кредитки - и опять никто им не помешал. Таким образом, русские совершенно спокойно, без особого противодействия со стороны государства вплотную подошли к созданию троянов для крупных электронных краж. Что и было сделано в начале 2000-х.

Во-вторых, отказ России от сотрудничества с США и Европой в борьбе с киберпреступностью привел к тому, что русский хакер сталкивается с неприятностями только тогда, когда обувает российский банк или компанию. Если же его жертвой стала зарубежная организация, то и арест ему светит лишь за границей. Летом 2013 года ФБР объявило в розыск четверых россиян и украинца, похитивших, по их версии, личные данные 160 миллионов клиентов крупнейших западных компаний (Visa, Discover, NASDAQ, 7-Eleven, JetBlue и других) и обокравших их на общую сумму более $300 млн, что является абсолютным мировым рекордом для киберкраж. У двоих воришек хватило ума сразу же улететь в Амстердам, где они и были моментально арестованы: те же, кто не выезжал из России, свободно разгуливают по улицам до сих пор.

В офисе Group-IB мне показали профиль 19-летнего хакера в социальной сети ВКонтакте, укравшего миллионы долларов через американские кассовые аппараты по той же схеме, по которой хакнули Target. Парень пишет об этом открытым текстом и фотографируется с друзьями гангстерских позах. Другой пример: персонаж под ником VorVZakone, чей ролик наделал немало шума в Рунете два года назад. Человек, назвавший себя хакером Серегой, приезжал на черном джипе в элитный поселок, показывал свои крутой коттедж и знакомил со служанками и домработницами, хвастаясь тем, как много в России можно заработать на кибераферах. Он утверждал, что с 2008-го заработал на своих троянах более $5 млн, и призывал всех русских хакеров к коллективному блицкригу против Америки. Внешним видом и манерой речи Серега напоминал скорее физрука Фому, чем продвинутого хакера, и многие заподозрили фейк; однако лабораторией McAfee было выявлено, что некто, пользующийся ником VorVZakone и проживающий в России, действительно заразил более 80 компьютеров в США.

Group-IB и подобные ей компании -едва ли не единственный для иностранцев способ противодействовать русским хакерам - если не на уровне наказания, то хотя бы на уровне предотвращения преступления. Их клиенты - большие банки и крупные интернет-компании, включая, например, Microsoft. Вот уже одиннадцать лет они платят Group-IB за то, что те узнают новости от русских хакеров и рассказывают потенциальным жертвам, как с ними бороться.

Дмитрий Волков, немногословный темноволосый уроженец Петропавловска-Камчатского, показывает мне профайл хакера Ивана (имя он попросил изменить), за деятельностью которого он сейчас следит. Волков знает, что Иван пишет новую программу, но пока не понял, кого собирается с ее помощью потрошить. История Ивана - типичная история компьютерного гения из российской глубинки, где нет денег, а есть пьянство, безнадега и остатки советской системы образования. Ивану - 24, его жене - 23, у них есть маленький ребенок. Хакерские форумы Иван стал посещать несколько лет назад. Сначала писал и продавал за $200-500 программы для списывания небольших сумм с банковских счетов. Потом решил попробовать сам. Сперва с помощью червя SpyEye он с товарищем ограбил Bank of America по уже описанной схеме с курьерами и Western Union; затем пришел черед итальянского и немецкого банков, а после этого Иван вдруг потерял берега и увел $2 млн из банка российского - но до сих пор на свободе. «Да если и поймают, вряд ли он сядет. У нас такие вопросы по-другому решают», - говорит Волков.

И Волков, и Кислицын очень похожи на тех хакеров, против которых они работают, и запросто могли бы поменяться местами. В начале нулевых, когда русские входили в Интернет с модемов и оплачивали трафик с пластиковых карт, отскребая монеткой пин-код 15-летний Кислицын впервые написал в журнал «Хакер» о том, как повторно использовать одноразовую карту. «Конечно же, я и сам это проворачивал. И тех ребят, кто пошел дальше, я понимаю. Если ты умный студент, способный написать программу, которую купят за $50 000, разве ты ее не напишешь? Кругом все крадут, пилят бюджет, а ты - всего лишь автор программы. Психологически нетрудно себя убедить, будто ты не делаешь ничего дурного. А дальше все как с Иваном: аппетит приходит во время еды», - признается сейчас Никита.

Волкову, наоборот, так и не удалось возлюбить врага своего, и во всем его облике сквозит презрение к золотой молодежи: «Они убеждают себя, что не совершают преступлений против кого бы то ни было лично, что крадут только у компаний или у правительств, что они чуть ли не Робины Гуды. Но я никогда не слышал, чтобы хоть кто-то из них сказал: «Это маленький бизнес, давайте не будем его трогать».

В феврале 2013 года с такими Робинами Гудами заочно познакомился Дэниел Греншоу, 37-летний владелец компании Efficient Services Escrow Group. С ее банковского счета хакеры увели $1,1 млн, принадлежавших ее клиентам. По законам штата Калифорния в подобных случаях у компании есть три дня, чтобы вернуть деньги, а затем ее собственность можно конфисковать. Дэниел денег не нашел, его офис брали чуть ли не штурмом, взяли всю технику, выгнали на улицу сотрудников и поменяли замки на всех дверях. Банк смог выяснить только то, что один трансфер ушел в Москву, а два - в китайское село рядом с российской границей. Греншоу и его брат-совладелец остались без денег, хотя еще вчера их бизнес считался высокодоходным. Они начали получать угрозы от клиентов, а репутации был нанесен ущерб, который так и не удалось восполнить. Из бизнеса, в котором братья преуспевали, им пришлось уйти навсегда.

Марку Паттерсону, компания которого Patco Construction несколько лет назад потеряла $588 000 из-за трояна, повезло чуть больше. Не прошло и трех лет, как его бизнес оправился от удара. Хакеры залезли одновременно и на счет компании, и в ее кредитную линию. В банке вовремя это заметили, но смогли вернуть лишь $200 000. Остальное ушло через курьеров за океан, хотя с момента обнаружения кражи прошли только сутки. Почти все эти $200 000 Марк впоследствии потратил на тяжбу с банком («Когда я наконец выиграл ее, то чувствовал себя проигравшим») и штрафы за нарушения договоров, которые повлекла за собой кража.

IT-консультант Кен Холломон из Лос-Анджелеса поступил по-другому - он не стал ждать, когда его обобранная хакерами возлюбленная Мишель Марсико потратит остаток денег на суды и долговые обязательства, и взял расследование в свои руки. Воры похитили $450 000 и раскидали их по 26 курьерским счетам. Узнав имена курьеров, Кен отследил их по аккаунтам в соцсетях. Никто из них понятия не имел, что работает на грабителей: обычные американцы, откликнувшиеся на объявления. У них зависло $78 000, эти деньги удалось вернуть. Потом айтишник банка Мишель спросил ее, не пыталась ли она когда-нибудь залогиниться в личном кабинете из Глендейла, штат Калифорния. Кен сразу понял, о чем речь: Глендейл для американских хакеров - все равно что Сан-Франциско для американских геев. Разумеется, Мишель оттуда никогда не логинилась, а логинился тот, кто раскидал ее баланс по своим 26 счетам. Найти адрес мошенников для продвинутого IT-специалиста не составило труда. «Это были не бандиты. Это были дети», - вспоминает теперь Кен.

Марсико создала прецедент, доказав в суде, что банк, видя странные трансферы в заграничные страны, обязан был бить тревогу. А Кен Холломон теперь консультирует небольшие бизнесы по защите от киберпреступности. Жалуется, что все хотят защититься, не тратясь на IT.

В феврале прошлого года группа хакеров синхронно распотрошила в 27 странах мира тысячи банкоматов на $45 млн. Только в Нью-Йорке в течение 10 часов с одной карты сняли $2,4 млн. Кому ушли «вершки» - так и не выяснили. Известно лишь, что один из собиравших «корешки» курьеров писал на адрес support@wmirk.ru, ассоциирующийся, по данным следствия, с «организацией, базирующейся в Санкт-Петербурге и специализирующейся на отмывании криминальных денег».

Непосредственных потрошителей банкоматов первыми поймали в городе Йонкерсе. Недалекие подростки в первый же день спустили $150 000 и запостили в Фейсбуке кучу селфи в Mercedes SUV и Porsche Panamera. Их вычислили по бейсболкам сети пиццерий Domino's, которые у них не хватило ума снять, когда они делали фотографии. Позже выяснилось, что потрошители и вправду работали в Domino’s.

Через неделю после того, как Никита заказал на форуме троян Citadel, ему пришел ответ. По техническим причинам цена сильно возросла - почти до $1000. Кислицын сторговал 200 баксов, и продавец скинул ему свой номер WebMoney-сервиса, который не требует наличия банковского счета. «Я так и не перевел на этот счет деньги, - шутил потом Никита. - Черт, а ведь мы с тобой могли сделать состояние».

(с) Сара Топол