На "киберзащитников" завели дело
Group-IB и Почта Банк помогли раскрыть группу кибермошенников-вымогателей, атаковавших личные кабинеты клиентов банков, интернет-магазинов, страховых компаний. По материалам расследования возбуждены уголовные дела по ст.272 УК РФ (неправомерный доступ к компьютерной информации).
Оперативными сотрудниками Управления "К" МВД России при активном содействии компании Group-IB, специализирующейся на предотвращении кибератак, а также службы безопасности Почта Банка установлена преступная группа, участники которой взламывали личные кабинеты клиентов банков, интернет-магазинов, страховых компаний. Получив доступ к аккаунтам, злоумышленники под видом специалистов по информационной безопасности требовали от организаций вознаграждения за якобы обнаруженные "уязвимости" в их системах. В качестве доказательства они предоставляли скомпрометированные ими учетные записи организаций-жертв. Размер вознаграждения составлял от 40 тыс. до 250 тыс. руб. Кроме того, злоумышленники продавали полученные данные для доступа к аккаунтам на хакерских форумах. Только по подтвержденным данным, жертвами группы стало не менее десяти компаний, однако реальное количество пострадавших организаций намного больше.
Служба кибербезопасности Почта Банка и эксперты Group-IB провели совместное исследование инцидента, после того как в банк поступило письмо с требованием выплаты вознаграждения за раскрытие информации о якобы присутствующих уязвимостях в системе дистанционного банковского обслуживания. В ходе оперативного изучения "цифровых следов" специалистами Почта Банка и Group-IB было установлено, что противозаконную деятельность ведет преступная группа, участники которой находятся в разных регионах страны. Ее потенциальными жертвами могли стать несколько десятков онлайн-компаний, сервисов и финансовых организаций. Результаты анализа были переданы полицейским для организации дальнейшего расследования.
Удалось выяснить, что, взломав определенное количество аккаунтов, злоумышленники направляли в компанию-жертву письмо, выдавая себя за "добрых самаритян" или Whitehat - экспертов по кибербезопасности, которые из благих побуждений тестируют защиту компьютерных систем, ищут уязвимости, за что и получают денежное вознаграждение (Bug Bounty). Однако в отличие от так называемых этичных хакеров, злоумышленники сообщали в службу безопасности организации ложную информацию о наличии уязвимостей и представляли в качестве доказательства информацию о скомпрометированных аккаунтах.
В ходе расследования, проведенного полицией совместно с Group-IB, было установлено, что авторами писем и организаторами схемы являются молодые люди в возрасте 18 лет и 21 года. По материалам расследования возбуждены уголовные дела по ст.272 УК РФ (неправомерный доступ к компьютерной информации). На данный момент задержанные дают показания, ведется следствие.
"Хотим еще раз напомнить пользователям о необходимости соблюдать цифровую гигиену в интернете - использовать двухфакторную аутентификацию и сложные пароли, периодически их менять и не применять одинаковые пароли для разных сервисов. Это позволит обеспечить надежное хранение информации и защитит ее от попадания в руки третьих лиц, которые смогут воспользоваться вашими денежными средствами", - отметил вице-президент, директор по безопасности Почта Банка Станислав Павлунин.
Руководитель отдела расследований Group-IB Сергей Лупанин рассказал, что в последнее время продажа учетных записей клиентов различных интернет-компаний, сервисов и финансовых организаций стала доходным бизнесом для киберпреступности. "Настораживает тот факт, что в данном случае хакеры представлялись "киберзащитниками", якобы действующими из лучших побуждений с целью усилить информационную безопасность компаний-жертв. На деле же преступники, вероятно имеющие легитимный опыт тестов на проникновение, попросту вымогали деньги. Мы еще раз предупреждаем, что оплата подобного выкупа в большинстве случаев приводит к новым случаям вымогательства. Не спонсируйте киберпреступность: если вы столкнулись с подобной проблемой - обращайтесь в органы охраны правопорядка и инициируйте исследование инцидента профильными компаниями, специализирующимися на кибербезопасности", - пояснил Сергей Лупанин.
В пресс-службе Group-IB напомнили, что это не первое дело, связанное со взломом учетных записей. "В мае 2018 г. сотрудниками управления "К" МВД России при содействии Group-IB были задержаны участники другой преступной группы, занимавшиеся взломом и кражей аккаунтов участников программ лояльности популярных интернет-магазинов "Юлмарт", "Биглион", "Купикупон", PayPal, "Групон" и многих других. Всего было скомпрометировано около 700 тыс. учетных записей, 2000 из которых хакеры выставили на продажу от $5 за аккаунт. Задержанные признались, что заработали как минимум 500 тыс. руб. Им предъявлены обвинения по ч.2 ст.272 УК РФ ("Несанкционированный доступ") и 228 УК РФ ("Незаконные приобретение, хранение, перевозка, наркотиков")", - рассказали в пресс-службе Group-IB.
Станислав Павлунин рассказал, что ранее "Почта Банк" с подобной схемой киберпреступлений, когда хакеры представляются сотрудниками компаний из сферы информационной безопасности и начинают требовать деньги, не сталкивался.
В то же время Станислав Павлунин отметил, что такая схема достаточно широко распространена. "Несмотря на растущий уровень финансовой грамотности, по-прежнему многие недостаточно заботятся о своей цифровой безопасности и халатно относятся к тому, что их персональные данные - телефоны, e-mail довольно легко найти в интернете", - пояснил Станислав Павлунин.
В пресс-службе Group-IB пояснили, что случаи использования такой схемы киберпреступлений, когда хакеры представляются сотрудниками компаний из сферы информационной безопасности и начинают требовать деньги, были, однако не являются очень распространенными. "Например, по данным Group-IB, как минимум один из хакеров группы Silence работал - или продолжает работать - в компании, специализирующейся на информационной безопасности. Чем дольше мы изучали группу, тем более устойчивой становилась версия о том, что мы имеем дело с одним или несколькими Whitehat, которые перешли на "темную сторону", - отмечают в Group-IB.
В пресс-службе Group-IB пояснили, что в России это, по-видимому, один из первых подобных случаев киберпреступлений. "Будем надеяться, что правоохранительные органы смогут довести дело до суда", - подчеркнули в пресс-службе Group-IB.
В то же время, по информации пресс-службы Group-IB, в компании нет данных относительно того, увеличивается ли количество случаев, когда киберпреступники применяют подобную мошенническую схему.
Как сообщил специалист технического сопровождения сервисов компании Eset Russia Андрей Ермилов, релевантную статистику относительно подобных киберпреступлений в компании не собирают. "Но схема выглядит интересной с точки зрения потенциальных злоумышленников. Причина в том, что проверка безопасности корпоративных ресурсов не наказуема и даже поощряется", - пояснил Андрей Ермилов.
"Чтобы не стать жертвой подобной схемы, стоит понимать, что настоящие Whitehat не используют информацию в корыстных целях. "Белые хакеры" ищут уязвимости безвозмездно на добровольной основе или за заранее объявленное вознаграждение в рамках bug bounty, чтобы помочь разработчикам сделать продукт более защищенным", - говорит Андрей Ермилов.
В то же время, по мнению Андрея Ермилова, социальная инженерия остается одним из наиболее популярных мошеннических инструментов. "Не исключаю, что мы увидим новые попытки действовать таким образом. С другой стороны, эта схема представляется довольно трудозатратной для злоумышленников: нужно провести переговоры с жертвой и быть при этом крайне убедительным", - добавил Андрей Ермилов.
Основатель и владелец юридической фирмы "Катков и партнеры", член совета ТПП РФ по интеллектуальной собственности, член Ассоциации юристов России Павел Катков рассказал, что неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, наказывается штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок (ч.1 ст.272 УК РФ).
"То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, наказывается штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок - ч.2 ст.272 УК РФ", - пояснил Павел Катков.
"Деяния, предусмотренные частями первой или второй данной статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, наказываются штрафом в размере до 500 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок - ч.3 ст.272 УК РФ", - говорит Павел Катков.
В то же время, по словам Павла Каткова, деяния, предусмотренные частями первой, второй или третьей указанной статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, наказываются лишением свободы на срок до семи лет.
"Крупным ущербом в данном случае признается ущерб, сумма которого превышает 1 млн руб. Таким образом, можно говорить о том, что наказание по ст.272 УК РФ варьируется от штрафа в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев до лишения свободы на срок до семи лет", - подвел итоги Павел Катков
По словам Павла Каткова, дела по статье 272 УК РФ нередко доходят до суда. "В конечном счете это зависит от решимости заявителя и качества работы адвокатской и экспертной группы. Часто рука об руку с этой статьей идет ст.273 УК РФ "Создание, использование и распространение вредоносных компьютерных программ", ст.165 УК РФ "Причинение имущественного ущерба путем обмана или злоупотребления доверием" и ст.159 УК РФ "Мошенничество", - добавил Павел Катков.
"При этом справедливо будет сказать, что суды широко применяют институт условного наказания по данному составу. Кроме того, осужденные периодически попадают под амнистию, а также имеют право на условно-досрочное освобождение. Однако известны и случаи реальных сроков. Один из наиболее нашумевших - это так называемое дело Попелышей, когда двое из фигурантов которого получили реальные сроки, по восемь лет лишения свободы каждый", - подчеркнул Павел Катков.
"С учетом того, что преступления совершались организованной группой, данное деяние должно быть квалифицировано по п.3 ст.272 РФ. Минимальное наказание в соответствии с данной нормой выражено в виде штрафа в размере до 500 тыс. руб., максимальное - лишение свободы на срок до пяти лет", - говорит управляющий партнер юридической фирмы Axis Pravo Алексей Сулин.
"Сама ст.272 УК РФ посвящена неправомерному доступу к охраняемой компьютерной информации. Однако злоумышленники не просто получали доступ к аккаунтам, но путем введения в заблуждение пытались получить плату за несуществующие уязвимости в системах пострадавших компаний. Это является основанием для привлечения их к ответственности и по другим составам преступлений - например, за мошенничество. Если необходимая доказательная база будет собрана, можно ожидать, что правоохранительные органы дополнят квалификацию другими составами преступлений", - говорит Алексей Сулин.
По его словам, в данном случае можно с большой долей уверенности утверждать, что уголовное дело дойдет до суда, и по нему будет вынесен обвинительный приговор. "Суровость приговора зависит от совокупности смягчающих и отягчающих обстоятельств, которые выявит следствие", - добавил Алексей Сулин.