Перейти к содержанию
Сергей

Киберграбежи!

Рекомендуемые сообщения

МАЛО ВОРУЕМ.

2012 год стал переломным для российских борцов с киберпреступностью. С лидирующих позиций в десятке стран с самым высоким уровнем банковских киберграбежей Россия каким-то чудом переместилась в хвост, в арьергард. О том, что сегодня помогает и что мешает борьбе с кибермошенниками, порталу Банки.ру рассказали участники конференции, организованной РБК.

Как заявил Банки.ру генеральный директор компании Group IB, специализирующейся на расследовании криминальных компьютерных инцидентов, Илья Сачков, по уровню банковских компьютерных преступлений Россия по-прежнему будет входить в десятку самых опасных стран в мире, но расположится уже в конце списка. В лидерах же останутся, скорее всего, США, Германия и Великобритания.

По данным Сачкова, ситуация с противодействием банковским компьютерным мошенничеством в России просто обязана улучшиться. Чтобы с точностью заявить об этом, экспертам необходимы данные зарубежных спецслужб и аналитиков, но ожидания сейчас уже таковы, что Европа и США постепенно уходят в отрыв за счет произошедшего в 2012 году значительного роста краж денег через мобильные приложения и системы интернет-банкинга.

Все могло бы быть значительно хуже, если бы весной и летом 2012 года общими усилиями банков (главным образом Сбербанка), а также частных детективов и правоохранительных органов не удалось взять две крупные преступные кибергруппировки. За счет этого уровень российской киберпреступности сократился приблизительно втрое. Но лишь на короткое время. На место пойманных довольно быстро пришли новые группировки.Но и в России в деле борьбы с банковскими киберпреступлениями все отнюдь не благополучно. Потери, по сравнению с 2011 годом, все равно увеличатся. Напомним, в 2011-м, по данным Group IB, российские хакеры и интернет-мошенники нанесли ущерб на 2,3 млрд долларов. Из этой суммы на преступления в банковской сфере приходилось около 30%, остальное — доходы спамеров, а также прибыль от проведения заказных DDoS-атак (это когда кто-то оплачивает хакерам атаку, целью которой является «зависание» какого-либо сайта или же серверов учреждения) и тому подобных преступлений, не имеющих прямого касательства к обману клиентов банков. По предварительным подсчетам, в 2012 году на долю банковских киберпреступлений в России придется достаточно солидная сумма — 1 млрд долларов.

Илья Сачков рассказал, что рынок интернет-мошенничества в России не монополизирован, в том смысле, что на него достаточно легко войти. При этом стоит новичкам сделать одно-два успешных крупных хищения, как они тут же попадают в поле зрения зрелой организованной преступности. Регулярные движения крупных денежных сумм от «коллег» скрыть невозможно. За счет этого влияние отдельных преступных групп велико, и целенаправленная борьба с ними приносит пусть и временные, но довольно весомые результаты, снижая общий уровень ущерба в разы.

Стоит отметить, что по компьютерным преступлениям в целом (не по банковским) Россия, по данным экспертов, по-прежнему остается «впереди планеты всей». Здесь позиции страны кажутся незыблемыми. Дело в том, что если с банковскими преступлениями хоть как-то пытаются бороться, то с прочими — увы — дела обстоят намного хуже. На ситуацию в банковской сфере влияет в том числе и заинтересованность в поимке преступников отдельных кредитных учреждений из числа системообразующих. Последние, к счастью, учатся налаживать реальные связи с подразделениями киберполиции, которым банкиры все чаще начинают оперативно предоставлять не только «информационный мусор», а те данные, которых и ждут эксперты в области компьютерной криминалистики.

Основная помеха эффективной борьбе к киберпреступностью — крайне немногочисленный штат российских компьютерных полицейских и лояльность законов по отношению к хакерам.

На Петровке, по словам Ильи Сачкова, сегодня работает десять оперов по компьютерным делам. Следователей, понимающих технологию компьютерных преступлений, во всей России наберется едва ли человек пятнадцать. И есть еще порядка пяти судей, разбирающихся в таких понятиях, как «компьютерное преступление» и «IP-адрес». Вот и все государственные «активы».

Понятно, что рядовой гражданин, обратившись в полицию по поводу компьютерного хищения, может быть практически на 100% уверен, что его инцидентом займется тот же самый полицейский, который параллельно расследует несколько краж магнитол и вещей из квартиры. Результат вполне предсказуем.

Тормозит процесс борьбы с киберпреступностью и недопонимание опасностей преступных киберсвязей. Общество и судьи, как утверждает Сачков, до сих пор не осознают, что компьютерные преступники — это серьезно. Пример: девятерых участников преступной группы, обкрадывавшей клиентов Сбербанка, (то есть всю цепочку) выпускают в первый же день под подписку о невыезде. При том что на каждом хакере «висит» ежемесячный оборот украденных средств в миллионы долларов. Понятно, что при компьютерных преступлениях отпустить преступника на свободу, пусть даже и под подписку о невыезде, — это, по мнению Сачкова, «абсолютно непоправимая ситуация». Того, что мошенник, предупрежденный самим фактом ареста об опасности, сделает за пару часов, скорее всего, уже не поправить.

Сачков привел и другие примеры из жизни: человек, укравший букет цветов, садится на два года, а хакер, взломавший защиту рекламного щита на Садовом кольце, получает полгода колонии (за трансляцию порнографии в течение нескольких минут). Еще: компьютерный взломщик Евгений Аникин крадет у Королевского банка Шотландии 10 млн долларов и получает… пять лет условно.

Если говорить о преступлениях с банковскими картами, то еженедельно одни только эксперты Group IB фиксируют, как преступники выставляют на продажу данные о 3 тыс., а иногда и о 6 тыс. пластиковых карт. Речь идет о скомпрометированных картах, данные с которых были похищены и перепродаются.

Данные крадут тремя основными способами: через сотрудников, работающих в сфере обслуживания; с помощью фишинга — выведывая данные по телефону или путем заманивания пользователя на зараженный сайт (годовой прирост — 130%); а также посредством скимминга (в 2012 году вырос вдвое), когда считывание карточных данных производится с помощью встраиваемых в банкоматы устройств.

Кража данных через официантов, другими словами — в сфере обслуживания, считалась когда-то «чисто американской фишкой». Правда, в Америке к этому бизнесу приложила свою могучую руку вездесущая русская мафия. По словам Ильи Сачкова, в свое время целые группы «мигрантов» приезжали в США из России и стран СНГ с единственной целью — устроиться на работу в сферу обслуживания и получить доступ к банковским картам. Логичным продолжением «карьеры» стало применение накопленного за границей опыта на родине. Результат налицо: в Москве за год возбуждено 15 уголовных дел по такого рода кражам.

Таким образом, ситуация с киберпреступностью в целом и банковским интернет-мошенничеством в частности остается удручающей. Но, как показала конференция РБК, чиновников и общественных деятелей в большей степени занимает не отсутствие кадровых ресурсов в полиции для расследования киберпреступлений, а обсуждение непринятой (отложенной на 1 января 2014 года) девятой статьи закона о Национальной платежной системе — об отзывности платежей. Только эта статья, как некоторым кажется, может дать россиянам 100% гарантии возврата средств, украденных мошенниками. Но пока она лишь вселяет абстрактные надежды в рядовых граждан и придает лишнюю уверенность в собственной значимости некоторым чиновникам и депутатам.

Леонид ЧУРИКОВ, Banki.ru

Источник: http://www.banki.ru/...eme/?id=4511573

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В России раскрыта сеть инфицированных POS-терминалов

03 апреля, 2013

975af38dc3c3929ccad67a504872c621.jpg

Эксперты из Group-IB и CERT-GIB обнаружили ряд устройств, инфицированных модификацией вируса Dump Memory Grabber.

Согласно сообщению Group-IB, экспертам компании при сотрудничестве со специалистами из CERT-GIB удалось раскрыть и обезвредить сеть POS-терминалов, похищавших информацию с банковских карт. Устройства были инфицированы модификацией вируса Dump Memory Grabber, предназначенного для хищения данных с карт таких американских банков, как Chase, Capital One, Citibank и т.п.

Вредоносное приложение заражало персональные компьютеры, к которым подключены POS-терминалы для приема оплаты в различных торговых сетях и ресторанах. При этом в Group-IB не стали уточнять масштабы происшествия или размеры нанесенного ущерба.

Комментируя ситуацию, один из руководителей компании Андрей Комаров, отметил: «Заражение узлов, имеющих подключенный POS-терминал, является новым трендом киберпреступного мира».

По данным экспертов, в настоящий момент информация о Dump Memory Grabber, а также его создателях и распространителях была передана компании Visa, пострадавшим банкам и властям США. Предполагается, что стоящие за мошенничеством члены хакерской группировки располагаются в России, Армении и Украине.

http://www.securityl...news/439201.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Злоумышленники сделали «ставку» на системы интернет-трейдинга

Специалисты ИТ-компании Group-IB зафиксировали факт активного сбора информации по пользователям систем интернет-трейдинга и брокерского обслуживания.

Напомним, что в 2009-2010 годах, преступные группы, используя различные троянские программы совершали хищения с банковских счетов именно юридических лиц. Позже, в 2011-2012 году они постепенно начали активно совершать хищения и со счетов не только юридических, но и физических лиц, что значительно увеличило их доходы. Однако пользователи систем интернет-трейдинга и брокерского обслуживания стали целью злоумышленников недавно.

В Group-IB были обращения по совершению мошеннических операций с использованием скомпрометированных пользовательских данных систем интернет-трейдинга и брокерского обслуживания в 2012 году, но проведённые исследования показали, что в тех мошеннических операциях были замешаны недобросовестные партнёры без использования специализированных вредоносных программ.

Теперь же с уверенностью можно сказать, что следующей целью для киберпреступников станут пользователи различных систем интернет-трейдинга и брокерского обслуживания. Принцип работы злоумышленников остаётся прежним: вредоносная программа попадая на компьютер жертвы определяет, установлено ли программное обеспечение для работы с брокерскими системами. Установлено, что вредоносные программы нацелены на пользователей систем QUICK от ARQA Technologies и FOCUS IVonline от EGAR Technology, крупнейшими клиентами которых являются «Сбербанк», «Альфа-банк» и «Промсвязьбанк».

Если вышеуказанные системы установлены на компьютере, то вредоносная программа начинает активное слежение за действиями пользователей. Собранные данные, логины/пароли и снимки экранов передаются на сервер злоумышленника для последующего анализа и проверки.

По всей видимости, в этом году преступники попытаются и дальше развивать это направление мошеннической деятельности, а значит пользователям необходимо не терять бдительность, говорят эксперты.

Источник новости: crime-research.ru

http://www.s-directo.../view/2451.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Новый способ мошенничества:

На что только не идут мошенники, чтобы обмануть доверчивых граждан. Преступники разрабатывают целые схемы действий, обманывая на деньги людей. Так, на днях стражи порядка выяснили один из новых способов мошенников.

В минувшую субботу, 15 июня, супруги из Павловска одновременно получили сообщения с информацией, что с их банковской карты списали денежные средства. Глава семейства сразу же перезвонил по указанному в сообщении номеру. Ему ответил человек, представившись сотрудником банка. Он пояснил, что деньги были списаны с карты за покупку в интернет-магазине. Но владелец счета рассказал, что ничего не покупал. Тогда лжесотрудник банка предложил мужчине вернуть деньги. Для этого, по его словам, нужно было подключить услугу «мобильный банк» на другой номер телефона. Владельцы карт поверили и согласились. Для подключения услуги они сообщили человеку в телефоне все свои контактные данные, который перевел все их деньги на другой счет. В результате у супругов украли 15 500.

Когда же они осознали, что их обманули, то сразу же обратились за помощью в полицию. Сейчас стражи порядка ищут подозреваемых. Вполне возможно, что злоумышленники звонили из другого региона.

Кроме того, в полиции настоятельно просят владельцев банковских карт не доверять сомнительным звонкам и сообщениям. Если же у вас возникает вопрос по стоянию счета, то лучше проверить его непосредственно в филиале банка.

Также полицейские убедительно просят:

— не доверять неизвестным лицам и никогда не сообщать информацию о банковской карте посторонним;

— не перечислять денежные средства на неизвестные номера мобильных телефонов или расчетных счетов;

— если вам поступает сообщение о блокировке банковской карты, перезванивайте в банк не по указанному в смс-сообщении номеру, а по номеру, указанному в договоре на обслуживание банковской карты или на самой карте.

Источник: http://www.moe-online.ru/news/view/263795.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Криминалисты из интернета: как устроено главное в России кибердетективное агентство
 
Илья Сачков и его партнеры создали крупнейшего частного игрока на рынке расследований киберпреступлений. Услугами Group-IB пользуются известные компании и спецслужбы

     В апреле 2009 года основатель Group-IB Илья Сачков оказался в подмосковном пансионате «Лесные дали», где проходила ежегодная IT-конференция «РИФ+КИБ». Прогуливаясь по холлу, он высматривал новых клиентов. Неожиданно ему позвонили и попросили вернуться в Москву: со счета столичной строительной компании украли 9 млн рублей, и Сачкову предстояло выяснить, кто это сделал. Обычная работа.

Вскоре он уже отдавал распоряжения в офисе этой фирмы на Ленинском проспекте: вызвать полицию, отключить компьютеры от сети, собрать все ноутбуки. На столе выросла горка «железа», которое предстояло отвезти в лабораторию для поиска следов вирусного заражения. Взгляд Сачкова привлек один из ноутбуков — он был приоткрыт. Детектив пробежал глазами письмо в Outlook: владелец ноутбука, местный сисадмин, недавно обналичил похищенные в компании деньги. «Это было самое быстрое расследование в моей жизни, — улыбаясь, рассказывает Forbes Сачков. — Просто нам тогда сильно повезло».
     Созданная 10 лет назад компания Group-IB специализируется на расследовании и предотвращении преступлений в компьютерной сфере. Если не считать отделы расследований больших интернет-компаний вроде «Лаборатории Касперского», работающих на внутренние потребности компаний, Group-IB является крупнейшим в России частным кибердетективным агентством. Компьютерных криминалистов здесь больше, чем в соответствующем подразделении Экспертно-криминалистического центра МВД России. За три года выручка Group-IB выросла более чем в 10 раз, до $36 млн по итогам 2013 года.

«Штучный товар»

Офис Group-IB расположен на территории бывшего завода в районе метро «Электрозаводская», без провожатого здесь легко заблудиться. На каждой двери электронные замки, и даже если сам гендиректор пришел без электронного пропуска — стучи не стучи, внутрь не пустят. Сердце компании, компьютерная криминалистическая лаборатория, занимает совсем небольшое помещение, 4 на 10 м. Десяток столов с мониторами, стеллажи с оборудованием, проводами, компьютерами. Обычный с виду черный чемоданчик — на самом деле мобильный криминалистический комплекс стоимостью около полумиллиона рублей, изготовленный в Израиле. Он позволяет мгновенно считать информацию с цифрового устройства. Подсоединив к нему смартфон, детективы увидят всю переписку с него, даже в Skype, а по точкам подключения Wi-Fi и координатам сделанных фотоснимков смогут составить карту перемещений абонента. Выпотрошив таким образом телефон одного из участников банды, грабившей дальнобойщиков в Ленинградской области, детективы Group-IB получили информацию об остальных налетчиках и передали ее полиции.

Возраст кибердетективов — 20–30 лет, каждый, по словам Сачкова, «штучный товар», ведь ни один российский вуз не выпускает криминалистов по расследованию компьютерных преступлений.

Чтобы найти сотрудников, глава Group-IB ходит в институты, читает лекции и проводит олимпиады по компьютерной криминалистике. Костяк компании составляют выходцы из родного для Сачкова МГТУ им. Баумана. Всех кандидатов на работу проверяют на «полиграфе», а также с использованием «управляемой провокации»: время от времени подставные «клиенты» предлагают продать информацию налево или выдать нужную экспертизу. «За многие годы не было ни одного прокола», — с гордостью говорит Сачков.

А риск есть: криминалисты Group-IB однажды наблюдали за хакером, который на кражах в интернет-банкинге зарабатывал до $20 млн в месяц, соблазн для неустойчивых людей слишком велик. Особенно с учетом того, что средняя зарплата детектива — 70 000–100 000 рублей в месяц. Есть бонусы: корпоративные курсы английского, боевые искусства, йога и даже деньги на покупку делового костюма для встреч. Но костюмы чаще висят в шкафах, детективы предпочитают им джинсы и футболки.

Детективный стартап

Зимой 2003 года первокурсник факультета защиты информации МГТУ им. Баумана Илья Сачков перед самой сессией попал в Боткинскую больницу. Вместо учебников друзья принесли ему в палату книжку бывших сотрудников ФБР Криса Просиса и Кевина Мандиа Incident Response: Investigating Computer Crime. Речь в ней шла о компьютерной криминалистике — в США это был уже сложившийся и прибыльный бизнес. Сачкову идея понравилась.

Snimok_ekrana_2013-12-13_v_12.05.00.png

Хакеры-романтики первой волны, взламывающие сайты скорее из спортивного интереса, к тому времени остались в прошлом. С начала 2000-х взломщики начали активно монетизировать свои навыки. «Заработать и оставаться как можно дольше незаметными — вот ради чего они стали работать», — вспоминает то время эксперт по информационной безопасности Cisco Systems Алексей Лукацкий.

Киберпреступники объединялись, появлялись свои партнерские программы, службы поддержки, биржи, кадровые службы и даже свой арбитраж. У крупных группировок была четкая специализация: например, «Балаковская» группа устраивала DDoS атаки на британских букмекеров, вымогая деньги за их прекращение. Другие осваивали «карточный бизнес» — кражу данных кредитных и дебетовых карт, деньги с которых воровались или тратились на заказы в интернет-магазинах. Третьи начинали громить онлайн-банкинг за рубежом — в России системы дистанционного банковского обслуживания в то время еще не были развиты.

Частных расследователей в этой области в России не было совсем, монополия на расследования киберпреступлений была у Бюро специальных технических мероприятий (БСТМ) МВД и Центра информационной безопасности (ЦИБ) ФСБ. Сачков вспоминает, что как-то на конференции познакомился с офицером из управления «К», расследующего киберпреступления, и спросил, можно ли попасть к ним на работу.

Милиционер, смерив студента взглядом, покачал головой: «У нас нет вакансий». И Сачков решил основать свою компанию.

Деньги на открытие бизнеса, $5000, дал старший брат,  «Бауманка» выделила комнату под лабораторию. Первыми сотрудниками стали однокурсники Ильи — два из них до сих пор работают в компании: Дмитрий Волков возглавляет отдел расследований, Игорь Катков — технический директор. Первый существенный контракт у Group-IB появился лишь через несколько месяцев. Топ-менеджеру крупной российской нефтяной компании на корпоративную почту пришли письма с угрозами опубликовать компрометирующие фотографии. «Расследование заняло две недели, вычислили сотрудницу компании, которая, используя прокси-сервера в Голландии, шантажировала своего босса», — вспоминает Сачков. Гонорар компенсировал вложенные $5000, и даже осталась небольшая прибыль.

Корпоративный шпионаж, утечка информации, несанкционированный вход в почту, взломы сайтов — первые кейсы были интересны, но не приносили большой прибыли. В то время расследование в среднем стоило около $10 000–40 000. «Банки нас боялись из-за нашего агрессивного маркетинга и молодости коллектива, по той же причине в МВД вначале к нам относились с большим недоверием: как студенты могут проводить расследования?» — вспоминает Сачков.

 

Компания пыталась продвигать свои услуги на Западе и даже достигла определенных успехов. «Мы общались с иностранными коллегами, старались помогать в их расследованиях, часто помогали нейтрализовать опасные ботнеты и таким образом попали в  зарубежную тусовку криминалистов», — рассказывает Сачков. С Microsoft, например, Group-IB сотрудничает с 2007 года. «Мы считаем наших коллег ведущими экспертами в области киберпреступности в стране», — говорит Людмила Теплова, представитель Microsoft в России. Американцы привлекают Group-IB для обнаружения и нейтрализации ботнетов, исследования вредоносных программ и т. д. Сумму контракта ни Group-IB, ни Microsoft не разглашают.

Но вплоть до конца 2000-х годов детективному стартапу отчаянно не хватало специалистов, оборудования и, главное, денег для развития. В 2010 году все это появилось — благодаря хакерам.

Инвесторы и хакеры

В 2010 году хакеры взломали один из сайтов Leta Group, представлявшую в России словацкую антивирусную компанию ESET. «Мои айтишники локализовали угрозу, но на вопрос, кто это сделал и зачем, ответить не смогли», — вспоминает основатель и совладелец компании Leta Group Александр Чачава. За ответом он пришел в офис Group-IB, где тогда работало человек 15, и они ему сразу понравились. «Хакеры зарабатывали на темной стороне гигантские деньги, а эти ребята наступали им на горло», — поясняет Чачава, решивший стать совладельцем Group-IB.

Осенью 2010 года Чачава и его однокурсник Сергей Пильцов стали владельцами половины Group-IB — через ООО «Группа информационной безопасности». По 25% в OOO получили Чачава и Пильцов, 20% принадлежало Илье Сачкову, по 10% — еще трем сотрудникам-основателям. Выручка Group-IB в 2010 году составила $3 млн.

По сути это были инвестиции в стартап: у Group-IB не было выстроенного маркетинга и даже четких расценок за услуги, а у новых инвесторов — никакой стратегии выхода, говорит Чачава. Он вспоминает, как спорил с Сачковым по поводу оплаты одного расследования для банка, за которое Group-IB запросила 50 000 рублей. «Я спрашиваю: почему так мало? А они: да это же заняло всего полтора дня. Говорю: вы же сэкономили банку миллион долларов, возьмите хотя бы 7%, как страховая», — вспоминает Чачава.

Сколько денег они с партнером потратили на покупку доли и развитие Group-IB, он не сказал (Сачков тоже отказался говорить об этом). Топ-менеджер одной из российских IT-компаний оценивает сделку в $2 млн — примерно столько ежегодно инвестирует в стартапы Leta Capital, венчурный фонд Leta Group.

Деньги Leta Group позволили увеличить штат Group-IB впятеро, до 70 человек, открыть офисы в Нью-Йорке и Сингапуре и закупить оборудование, включая те самые «чемоданчики».

Как смотрят на это соответствующие органы? До 2010 года Group-IB чаще всего делала экспертизы для МВД и ФСБ бесплатно, говорит Сачков. Три года назад государство все же начало оплачивать экспертизы: деньги приходят по разовым договорам, в среднем около 300 000 рублей, что в общем укладывается в рыночные расценки ($10 000–15 000). «Бесплатно сейчас делаем только экспертизы по интересным для нас кейсам — не больше 5–10 бесплатных экспертиз в квартал», — уточняет Сачков.

Кроме того, в Group-IB есть бывшие сотрудники силовых ведомств. «Но у нас все же преобладают гражданские, бывших сотрудников Экспертно-криминалистического центра МВД не больше 5–6 человек», — говорит Сачков. «Бывшие» со связями необходимы в этом бизнесе. «В США частное лицо может получить значок помощника шерифа и разыскивать бандитов или киберпреступников, у нас западную модель воспроизвести невозможно», — говорит Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. «Если посмотреть наш закон о частной детективной деятельности, так в России ее вообще быть не должно», — добавляет он. Сам Стоянов в 2006 году в звании майора ушел в свободное плавание, несколько лет его компания самостоятельно занималась расследованиями, а в 2012-м вошла в состав «Лаборатории Касперского». Мелкие частные компании в этом бизнесе не выживут, уверен Стоянов, это бизнес больших корпораций. В его отделе всего шесть сотрудников, но он может пользоваться всеми ресурсами «Лаборатории», компании с выручкой $628 млн в 2012 году и штатом 2800 человек.

Деньги за результат

Свесившись с крыши на веревках, спецназовцы в черных касках и бронежилетах вместе с выломанной рамой ввалились в окно 15-го этажа. «Звон падающих стекол, крики «На пол!», подозреваемый ползал по полу в трусах и визжал», — красочно описывает в своем отчете криминалист Group-IB Артем Артемов финальную стадию операции по задержанию весной 2012 года одного из лидеров хакерской группы Carberp. От хакеров пострадали клиенты 100 банков по всему миру, только в I квартале 2012-го они похитили минимум 130 млн рублей.

Момент захвата детективы Group-IB наблюдают как зрители, их основная работа сделана раньше. Когда преступники задержаны, криминалисты Group-IB проводят экспертизу их компьютеров и серверов, чтобы найти связи с преступлением. «Наша задача — предоставить аналитическую информацию и выстроить логику расследования, если ее не видят сотрудники полиции», — объясняет глава отдела расследований компании Дмитрий Волков. После завершения расследования сотрудники Group-IB выступают свидетелями и экспертами в суде, но исход процесса может быть разный.

«Заказчики часто хотят конечный результат: вы получите деньги, как только мы увидим человека в тюрьме. Если не сел — поработали зря», — объясняет Руслан Стоянов. Почасовая плата за расследование в России не принята, чаще работу оплачивают поэтапно. Компьютерная криминалистическая экспертиза у Group-IB стоит $10 000–15 000, расследование с выездом на место происшествия, экспертизой и фиксацией цифровых следов, поиском преступников и их персональных данных — минимум $200 000–300 000. Но у частных детективов есть специфические риски. «Банк может заплатить за расследование кейса 8 млн рублей, а может и 2 млн. Говорят: бюджет такой, больше не можем», — говорит Сачков.

Расследование кибератаки занимает обычно один-два месяца. В сборе информации помогают не только социальные сети, но и агентурная сеть. «Мы есть на хакерских форумах, подпольных андеграундных площадках: смотрим, кто о чем пишет, кто чем занимается», — поясняет Сачков.

Если хакер украл базу, через несколько дней он обязательно выложит ее на продажу.

Те же методы используют спецслужбы: ФБР в свое время создало закрытый форум Market, которым хакеры активно пользовались вплоть до начала массовых арестов его участников.

Кибердетективы не имеют права проводить обыски, прослушивать телефоны и вести наружное наблюдение, но используют в своей работе те же методы сбора и анализа информации, что и спецслужбы. Кроме того, говорит Сачков, до 20% всех экспертиз Group-IB обеспечивают силовики — МВД, ФСБ, ФСКН и Следственный комитет. И иногда детективов обвиняют в том, что они дружат с «органами».

Дело Врублевского

В июле 2010 года на сайте «Аэрофлота» вдруг перестали проходить электронные платежи. Сервер процессинговой компании Assist, обслуживавшей авиаперевозчика, подвергся мощной DDoS-атаке и «лежал» девять дней. «Аэрофлот» считал убытки: компания потеряла не меньше 147 млн рублей.

Спустя год в аэропорту Шереметьево пограничники задержали загорелого мужчину, прилетевшего с женой и детьми с Мальдив. Это был Павел Врублевский, один из создателей процессинговой системы Chronopay, главный подозреваемый в деле об атаке на «Аэрофлот». Полгода Врублевский провел в СИЗО Лефортово, где написал признательные показания. Позже, выйдя под подписку о невыезде, заявил, что оговорил себя под давлением. Но суд в итоге приговорил Врублевского в июле 2013 года к 2,5 годам колонии, обвинив его в организации DDoS-атаки на своего конкурента, Assist.

Врублевский заявил в своем блоге, что его дело было сфабриковано, и обвинил привлеченных экспертов — «Лабораторию Касперского» и Group-IB — в необъективности.

«Обвинение стартовало именно с экспертизы Group-IB, в нашем деле она сыграла неблагоприятную роль», — говорит адвокат Врублевского Людмила Айвар. Она настаивает, что институт экспертов должен быть независим от ведомств. «Когда эксперт много лет работает с ФСБ, это называется «эксперт ведомства», у них уже устойчивые связи и они уверены в результате», — полагает Айвар. «Любой эксперт разобьет в пух и прах заказную криминалистику, и это будет конец бизнеса. Какой смысл ее делать? — возражает Сачков. — Я уверен, что Врублевский лично заказал DDoS. Это по-своему гениальный человек, но он оказался на темной стороне».

Snimok_ekrana_2013-12-13_v_12.05.28.png

Слишком тесные отношения российских частных детективов со спецслужбами беспокоят не только Врублевского и его адвокатов. «Рынок расследования компьютерных инцидентов жестко контролируется государством, в частности ФСБ», — считает главный редактор Агентуры.ру Андрей Солдатов. По его данным, в последнее время несколько частных CERTов [компьютерных групп реагирования на чрезвычайные ситуации] должны были запуститься в России, но не запустились — все ждали, какие правила для этой деятельности напишет ФСБ. Учитывая непрозрачный характер отношений таких компаний с ФСБ, «абсолютно невозможно гарантировать, что специалисты этих компаний не будут работать по просьбе ФСБ, предоставляя свои мозги, экспертную оценку или технические мощности», — добавляет Солдатов. В ФСБ на вопросы Forbes о сотрудничестве с Group-IB не ответили.

Снова одни

«Мы не лезем в политику, не работаем по [Алексею] Навальному, не занимаемся шпионажем или информационными войнами между странами — все эти вещи могут помешать нашему международному бизнесу», — убеждает Сачков. Чем тогда объяснить, что бизнес компании за последние годы растет как на дрожжах? Если в 2011 году выручка компании составила $5,3 млн, то в 2012-м — $14,2 млн,
а по итогам 2013 года она составит $36 млн.

Group-IB научилась продавать свои услуги, объясняет этот взлет Сачков. Еще в 2012 году в коммерческом отделе компании работал один человек, сегодня — девять. «Мы не ждем, когда к нам обратятся, сами активно ищем клиентов». Изменилась и модель бизнеса: на расследования и экспертизы теперь приходится менее половины выручки, около 43%, а остальное приносят услуги по предотвращению преступлений, которые продают по подписке: мониторинг и защита брендов (Brand Point Protection, 26% доходов в структуре выручки), мониторинг ботнетов — зараженных компьютерных сетей (Bot-Trek, 12%), аудит по информационной безопасности (12%), консультации (7%), поясняет Сачков. «Бренд становился известнее, и мы увеличили стоимость услуг и сервисов».

Еще до того как Госдума в 2013 году приняла новый закон о борьбе с «пиратством», Group-IB стала предлагать свои услуги по защите авторских прав. Одним из первых клиентов на этом направлении в 2009 году стал Microsoft: Group-IB боролась с сайтами, нелегально распространяющими ее софт. Самый свежий контракт подписан несколько месяцев назад с компанией «Амедиа», представляющей интересы студий HBO, CBS, FOX, Sony.

«В рамках партнерства с «Амедиа» мы заблокировали 60 000 ссылок на их сериалы и фильмы. «Игра престолов» и «Во все тяжкие» — самые популярные сериалы у пиратов», — рассказывает сотрудник Group-IB Георгий Пуляевский.

Стоимость услуги по борьбе с онлайн-пиратством начинается от $10 000 в месяц в зависимости от того, идет фильм в прокате или премьера прошла и он является «библиотечным», поясняет Руслан Кривулин, руководитель направления Brand Point Protection.

C апреля 2013 года Group-IB стала партнером QIWI по поиску мошеннических сайтов, которые используют бренд компании или пытаются присвоить деньги пользователей. «Group-IB проводит оперативные действия с беспрецедентной скоростью не только в Рунете, но и по всей глобальной сети», — сказал Forbes директор по безопасности «Группы QIWI» Владимир Загрибелин. — Среднее время жизни мошеннического сайта в мировой практике составляет 5 дней, а среднее время закрытия такого сайта специалистами Group-IB — около 22 часов». Контракт по защите брендов приносит Group-IB $10 000–30 000 в месяц.

Несколько дороже ($5000–50 000 в месяц) стоят услуги мониторинга Bot-trek, поиск информации о клиентах банков и платежных систем, чьи логины, пароли, номера карт стали известны мошенникам. Детективы сообщают о «засвеченных» клиентах банкам, и те перевыпускают карты или просят сменить логины-пароли. Выстроить отношения с банками помог Артем Сычев, бывший научный руководитель Сачкова в «Бауманке», а сейчас заместитель начальника главного управления безопасности и защиты информации Банка России. 

По словам Сачкова, Group-IB работает со всеми российскими банками из первой десятки, самый крупный — Сбербанк. «Со службой безопасности Сбербанка мы познакомились в 2010-м, когда обнаружили большую бот-сеть, созданную для хищения денег у клиентов. Мы бесплатно отправили в Сбербанк данные, попросили заблокировать клиентов. В итоге стали стратегическими партнерами», — вспоминает Сачков. В портфеле Group-IB — контракты с Альфа-банком, «Связным», ВТБ, «Возрождением».

Больше, чем банки, платят лишь горнодобывающие и нефтяные компании за мониторинг своей внутренней сети от заражения вредоносным программным обеспечением. Услуга Advanced Persistent Threat стоит $1,2–2 млн в год. Среди заказчиков Group-IB — «Газпром», «Роснефть», «Норильский никель», «Уралхим», ТНК-BP.

Group-IB стала прибыльной в 2011 году, а в октябре 2013 года совладельцы Leta Group Чачава и Пильцов продали свои доли менеджерам компании во главе с Сачковым, которые получили для этого кредит в одном из российских банков. Сумму сделки стороны не называют (участники рынка оценивали пакет в $2 млн), но Чачава утверждает, что IRR составил 30%, он «получил сумму, которая соответствовала ежегодному увеличению моих первоначальных инвестиций на 30%. На 32%, если быть точным».

Развитие ситуации в стране всячески способствует бизнесу Group-IB. В октябре 2013 года Госдума приняла в первом чтении законопроект, расширяющий полномочия ФСБ в сфере информационной безопасности. Как объяснял спикер Сергей Нарышкин, проект закона направлен на пресечение преступлений с использованием IT-технологий.

«Для нас это хорошо. Чем больше расследований, тем больше будет заказов на экспертизы», — уверен Сачков.

По оценке самой Group-IB, ущерб от действий киберпреступников в России в 2012 году составил $1,9 млрд. Детективам есть куда расти.

 

Источник: http://www.forbes.ru/kompanii/internet-telekom-i-media/249833-kriminalisty-iz-interneta-kak-ustroeno-glavnoe-v-rossii-kib?page=0,0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×