За хищение накажут жестче
Президент РФ Владимир Путин подписал закон, ужесточающий уголовную ответственность за хищение средств с банковских счетов. Федеральный закон направлен на повышение уголовно-правовой защиты граждан и организаций путем усиления ответственности за хищение чужого имущества, совершенное с банковского счета, а также в отношении электронных денежных средств.
Из закона, опубликованного на официальном портале нормативно-правовых актов, следует, что теперь за кражу денег с чужих банковских счетов предусмотрен штраф от 100 тыс. до 500 тыс. руб. или принудительные работы до пяти лет при ограничении свободы до полутора лет. Также закон предусматривает такие наказания, как лишение свободы до шести лет со штрафом в 80 тыс. руб. или ограничение свободы до полутора лет. При этом, согласно закону, в случае мошенничества с электронными средствами платежа грозит лишение свободы на период до трех лет, тогда как сейчас оно максимально составляет четыре месяца. Помимо этого, может быть наложен штраф до 120 тыс. руб. либо же назначен год исправительных работ. Также закон уточняет уголовную ответственность за хищение чужого имущества с использованием компьютерных и интернет-ресурсов.
Как рассказала корреспонденту ComNews тренер по компьютерной криминалистике Group-IB Анастасия Баринова, основными целями для кибепреступников долгое время являются банки, финансовые организации и их клиенты . "По нашим оценкам, ущерб от кибератак на российскую финансовую сферу за два года - второе полугодие 2015 г. - первое полугодие 2017 г. составил $118 млн. Эта сумма складывается из следующих действий: хищения в интернет-банкинге у юридических лиц с использованием вредоносных программ составили $27 млн - падение за год - 35%; хищения в интернет-банкинге у физических лиц с использованием вредоносных программ - $375 тыс., рост за год - 144%; целевые атак на банки - $70 млн; хищения у физических лиц с Android-троянами - $ 20 млн", - пояснила Анастасия Баринова.
По ее словам, на этом фоне хакеры, интернет-мошенники часто получали весьма либеральные сроки, например условные, и возвращались к своей преступной деятельности. "В последнее время наблюдается тенденция к ужесточению наказания для киберпреступников. Закон, о котором мы говорим, дополняет ст. 158 "Кража" УК РФ и выделяет подобные хищения в отдельную категорию, что может привести к повышению безопасности банковских счетов, а также электронных денежных средств. Однако говорить об их абсолютной защищенности, к сожалению, не приходится", - заявила Анастасия Баринова.
Она заметила, что исследования указывают на то, что увеличение числа хищений со счетов клиентов банков и других электронных денежных средств определяется относительной простотой реализации таких атак. "Они осуществляются методами социальной инженерии, для использования которых не требуется глубоких технических знаний. Либо посредством заражения устройств клиентов вредоносными программами, которые способны похищать их аутентификационные данные для доступа к системам дистанционного банковского обслуживания (ДБО) и средствам управления электронными денежными средствами. Инструменты работы с такими вредоносами автоматизированы и, к сожалению, легко доступны. Это объясняет масштабы распространения таких типов компьютерных атак", - заключила Анастасия Баринова.
Еще одно направление действий злоумышленников, по ее словам, целенаправленные атаки на банки и, как следствие, хищение средств со счетов клиентов. "Специалисты наблюдают снижение количества таких преступлений из-за повышенных защитных мер со стороны банков, однако не стоит забывать, что злоумышленники все равно готовы идти на любые риски, так как в случае удачной атаки они получают огромные суммы", - отметила Анастасия Баринова.
Эксперт по информационной безопасности центра мониторинга и реагирования на кибератаки Solar JSOC Алексей Павлов обратил внимание корреспондента ComNews на то, что вирусов, направленных на кражу денег с карт физлиц, не так много. "В основном они пытаются атаковать клиентскую часть ДБО. Но так как любое мобильное банковское приложение имеет защиту, в том числе от внедрения в их процессы вредоносного ПО и сторонних программ, проще и эффективнее использовать социальную инженерию и фишинг. Создать сайт, похожий на сайт банка, существенно проще, чем написать вирус, направленный на мобильный банк. Поэтому фишинг и социальная инженерия остаются основными угрозами для физических лиц", - указал Алексей Павлов.
Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов рассказал корреспонденту ComNews, что в 2017 г. решения "Лаборатории Касперского" отразили попытки запуска одной или нескольких вредоносных программ для кражи денежных средств с банковских счетов на компьютерах более 1,1 млн пользователей, тогда как в 2016 г. этот показатель составлял 2,9 млн. "В России в 2017 г. атакам подверглись примерно 1,5% пользователей, в 2016 г. - 4,8%", - указал Сергей Голованов.
Он также добавил, что доля финансового фишинга в мире в 2017 г. достигла рекордного уровня. Более половины (54%) всех фишинговых атак пришлись на различные сайты, так или иначе связанные с финансовыми услугами, - банки, платежные системы, интернет-магазины и т.д. Годом ранее этот показатель составлял 48%, а еще раньше (в 2015 г.) - 34%. "При этом практически каждая четвертая попытка загрузки фишинговой страницы, заблокированная решениями "Лаборатории Касперского", была связана с банковским фишингом. Общее количество задетектированных переходов на фишинговые страницы в 2017 г. выросло на 60% по сравнению с 2016 г.", - заявил Сергей Голованов.
При этом, по его словам, количество вредоносных программ для кражи денежных средств через онлайн-банкинг или мобильные приложения на Android сокращалось в 2017 г., однако социальная инженерия увеличилась. Относительно того, позволит ли принятый закон снизить количество мошеннических действий с картами, он заметил, что, по данным "Лаборатории Касперского", это количество уже снижалось в 2017 г. "Скорее всего, эта тенденция сохранится", - добавил Сергей Голованов.
Как указал корреспонденту ComNews ИБ-евангелист компании Avast Луис Корронс, киберпреступники всегда нацелены на получение денег. "А у банков, как правило, их много, поэтому стоит говорить не о росте количества атак, а об использовании новых продвинутых методов. Еще несколько лет назад злоумышленники охотились за личными данными пользователей, чтобы вывести деньги с клиентских банковских счетов. Однако сейчас все больше случаев целевых атак на сами финансовые организации. Подобные атаки требуют тщательного планирования и серьезной работы, но хакеры идут на это, так как могут получить сотни миллионов рублей сразу. Мы даже видели атаки, нацеленные на центральные банки, такие как Центральный банк Бангладеш, а также атаки на российские банки, где злоумышленники скомпрометировали внутреннюю сеть организации, чтобы взломать банкоматы и через них вывести деньги", - рассказал Луис Корронс.
При этом он отметил, что количество кибератак с целью получить финансовые данные растет. На протяжении нескольких лет наблюдается рост атак на PОS-терминалы, которые нацелены на все отрасли. "Мы видим, как крупные гостиничные сети становятся жертвами киберпреступников, которые крадут данные кредитных карт посетителей. Аналогичные кибератаки происходят в барах и ресторанах. Так, в 2013 г. были украдены данные кредитных и дебетовых карт более 40 млн пользователей американского ретейлера Target", - заявил Луис Корронс.
Относительно эффективности нового закона он сказал: "Поскольку новый текст закона значительно более строго регулирует, он может помочь сократить число кибератак на российские финансовые организации. Однако кибермошенники из России могут сосредоточиться на кибератаках на зарубежные банки, таким образом избежав ответственности перед российским законодательством. С другой стороны, поправки в законе не смогут помешать зарубежным хакерам атаковать российские финансовые организации".
Менеджер по продукту компании "Код безопасности" Александр Колыбельников указал корреспонденту ComNews на то, что в результате мошеннических действии в 2017 г., по данным ЦБ, было списано 961,3 млн руб., в то время как в 2016 г. цифра была больше - 1,07 млрд руб. При этом объем краж начал снижаться, а количество мошеннических действий растет. Что касается роста мошеннических действий с банковскими картами, в которых задействованы технические средства - вирусы, трояны и т.д., а не социальная инженерия, то, по его словам, для банковских карт этот показатель практически не меняется.
Относительно последствий принятого закона Александр Колыбельников заметил, что технические средства применяются в основном при атаках на юридические лица и их ДБО, количество таких атак за квартал - менее 200. "Скорее всего, принятие закона практически не отразится на количестве атак с применением технических средств", - предположил Александр Колыбельников.
По мнению руководителя отдела поддержки продаж Eset Russia Виктора Куратова, объем средств, списанных с банковских карт в результате мошеннических действий, в 2017 г. был колоссальный, а в 2018 г. будет еще больше. "Злоумышленники ищут и, как показывает практика, находят новые способы, позволяющие проникать в системы финансовых организаций и выводить средства, не оставляя следов. Точную сумму потерь озвучить затруднительно, поскольку пострадавшие стараются скрывать подобные инциденты", - указал Виктор Куратов.
При этом, по его словам, число угроз данного типа увеличивается. Финансовые организации остаются в числе приоритетных целей хакеров. "На 2018 г. мы прогнозировали 50%-ный рост числа атак на финсектор. Насколько успешны эти атаки - другой вопрос. Компании финсектора хорошо ориентируются в современном киберландшафте и инвестируют в защиту", - заявил Виктор Куратов.
Он также добавил, что, по примерным оценкам, на чисто технические средства - сложные комплексные угрозы - приходится 10-15% киберинцидентов, если не меньше. "В общем, ничего удивительного: написать программный комплекс сложно и дорого. Сыграть на человеческом факторе и использовать социальную инженерию гораздо проще", - заметил Виктор Куратов. Об эффективности принятого закона он сказал следующее: "Скорее мотивирует злоумышленников лучше скрывать следы деятельности".
По мнению управляющего партнера юридической фирмы Axis Pravo Алексея Сулина, ужесточение ответственности за кибермошенничество является в целом правильной мерой. "Опасность роста таких преступлений ни у кого не вызывает сомнений. Технологии развиваются, а с ними развиваются и методы совершения преступлений. Вместе с тем полезно помнить о том, что ужесточение ответственности за преступления не ведет автоматически к сокращению их количества. Это классика уголовного права и криминологии. Преступник, замышляя преступление, думает не о том, какова ответственность за совершенное деяние и сколько лет ему предстоит провести в заключении, а о том, чтобы не быть пойманным и полностью избежать наказания. Большинство преступников так никогда и не узнают об ужесточении ответственности. Просто потому, что это им не интересно и они уверены, что это их никогда не коснется", - рассказал Алексей Сулин.
Основные усилия, по его словам, должны быть направлены не на очередной закон, а на повышение раскрываемости преступлений и улучшение правоприменительной практики. Кроме того, в отношении кибермошенничеству важна еще и профилактическая работа. "Дело в том, что когда преступник крадет, например, кошелек из кармана своей жертвы, он совершенно отчетливо понимает, что совершает преступление. В момент, когда хакер крадет деньги с банковского счета, он сидит дома перед компьютером, и чувство противоправности своих действий у него на порядок слабее", - указал Алексей Сулин.
Поэтому, как добавил Алексей Сулин, очень важно, чтобы у потенциальных преступников укоренилась мысль о том, что преступление, совершенное, сидя за компьютером, это такое же преступление, как и кража или мошенничество в реальном мире, а может быть, даже опаснее. Осознав это, значительная часть потенциальных преступников не переступят черту и не пойдут на совершение киберпреступления.
По мнению адвоката Александра Титова, новый закон носит во многом уточняющий характер. "Кража с банковского счета и в отношении электронных денежных средств выделяется в отдельный квалифицирующий признак ст.158 УК РФ - кража. Несколько ужесточается наказание за мошенничество с использованием электронных средств платежа. Уточнен квалифицирующий признак мошенничества в сфере компьютерной информации", - рассказал Александр Титов.
При этом, на взгляд Александра Титова, эти правки не окажут влияния на преступления по данным категориям. "Очевидно, что такие преступления совершаются технически весьма подготовленными людьми, осознающими риски. В том числе понимающими, что по данным составам, если отсутствует рецидив, получить реальный срок лишения свободы маловероятно. Путь ужесточения наказания, скорее всего, не даст ощутимых результатов. Здесь проблема больше с раскрываемостью и неотвратимостью наказания", - указал Александр Титов.
Заместитель председателя совета партнеров юридической фирмы "Катков и партнеры" Алексей Копылов обратил внимание корреспондента ComNews на то, что по мере роста числа преступлений с банковскими картами растет внимание государства к данной проблематике.
"С точки зрения уголовной ответственности в законе есть два ключевых момента. Первый - вместо ареста на срок до четырех месяцев предусмотрено лишение свободы на срок до трех лет. Второй - снижены пороговые суммы крупного и особо крупного размеров в целях применения соответствующих статей УК РФ. В совокупности это означает, что ответственность возросла, а статья - расширилась и охватывает большее количество деяний, которые ранее не были в нее включены. На деле повышение ответственности воздействует как на преступников, так и на самих правоохранителей: им становится очевидным, что власть фокусируется на проблеме", - пояснил Алексей Копылов.