ponomarenko / Depositphotos.com

Рост числа компаний, осуществляющих деятельность в онлайн-пространстве, неизбежно ведет к росту числа мошеннических действий в Интернете. Более того, существующие способы мошенничества постоянно трансформируются, что увеличивает численность атак на пользователей: как клиентов, так и сотрудников компании. Директор по корпоративной безопасности Ozon Дмитрий Мананников на мероприятии ИД «Коммерсантъ» «Атака клонов: чем опасны фишинговые сайты» отметил, что уловки, используемые мошенниками в настоящее время, разительно отличаются от тех, которые использовались три года назад, постоянно появляются новые способы мошенничества в сети. При этом преступные действия могут быть направлены как на инфраструктуру организации в целом, так и на конкретного человека. В контексте кибербезопасности для обозначения мошенничества в Интернете используют термин фрод (от англ. Fraud — «мошенничество») – неправомерный или преступный обман с использованием информационных технологий с целью получения финансовой или личной выгоды. Мошеннические транзакции при этом называют фродовыми.

Рассмотрим основные виды мошенничества в Интернете и определим, какие технические и правовые способы борьбы со злоумышленниками являются сегодня наиболее эффективными для компаний.

Фишинг

Одним из наиболее распространенных видов мошенничества является фишинг (от англ. phishing – преднамеренное искажение слова fishing – ловля на крючок, «выуживание») – совокупность действий, направленная на получение данных обманным путем.

Руководитель группы мониторинга и предотвращения атак отдела информационной безопасности Райффайзенбанка Павел Нагин выделяет следующие виды фишинга:

  • рассылки на электронную почту с призывом перейти по ссылке;
  • рассылки с сообщением о крупном денежном переводе;
  • фишинг в сфере электронной коммерции: покупка мошенниками мест в поисковой выдаче по популярным запросам;
  • использование на торговых площадках фишинговых страниц, имитирующих популярные платежные сервисы.

Профессионально сделанные фишинговые сайты едва отличимы от сайтов популярных интернет-ресурсов. В отдельных случаях такие сайты имитируют страницы платежных систем, собирая данные о пользователе: в первую очередь, данные банковской карты. Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд отметил, что в некоторых случаях в адресе фишингового сайта местами могут быть переставлены буквы в адресе, допущена ошибка или домен расположен в неверной зоне – это не сразу заметно для человеческого глаза. Например, вместо «cdek» – «cdeck», вместо «nalog.ru» – «nalog.org».

Стремительное увеличение числа организаций и пользователей, ставших жертвами фишинга, связано с тем, что фишинговые мошенники предпочитают работать с темами, которые находятся на повестке дня, считает начальник отдела по защите информации PROF-IT GROUP Эрик Нуртдинов. Использование психологической манипуляции с целью совершения мошеннических действий сформировало отдельный термин в сфере информационной безопасности – социальная инженерия. Алексей Дрозд отмечает, что самым простым способом реализации атаки является не штурм защищенной ИТ-инфраструктуры, а сотрудников компании, то есть использование метода социальной инженерии, обманом заставляя жертву выполнить нужное мошеннику действие.

В период пандемии мошенники используют все более усложненные методы социальной инженерии, утверждает директор по продукту DeepNess Technology Марина Масальская. Все большее распространение получает таргетированный фишинг (spear phishing), когда мошенники предварительно собрали определенную информацию о цели атаки (о компании или сотруднике). Эксперт полагает, что такой вид фишинга является наиболее опасным именно из-за своего целенаправленного характера.

Как отмечает Алексей Дрозд для организаций самым уязвимым каналом для фишинговых атак является корпоративная почта. С фишинговыми письмами могут распространяться ссылки или вложения с программами удаленного администрирования, вирусы-шифровальщики, загрузчики – любое вредоносное ПО. На корпоративную почту фишинговой рассылкой может прийти шпионская программа, которая при запуске будет незаметно собирать информацию с компьютера жертвы. Эксперт подчеркивает, что для мошенников представляют интерес не только компьютеры бухгалтера или директора (из-за доступа к платежной информации), но и компьютер в колл-центре, из которого можно «выудить» информацию о внутренней структуре компании, адреса корпоративной почты того же директора и бухгалтера. Старший консультант Центра информационной безопасности компании «Инфосистемы Джет» Равиль Зулькарнаев считает, что основной задачей фишинговых писем выступает намерение заинтересовать или напугать жертву атаки.

Компроментация корпоративной почты

Другим, часто встречающимся и одним из опасных видов мошенничества в Интернете является компроментация корпоративной почты (BEC-атака). При данном виде атаки мошенник получает доступ к корпоративному адресу электронной почты и от имени компании отправляет фишинговые письма и спам-рассылки, воздействуя при помощи социальной инженерии. Как объясняет Алексей Дрозд, сотрудникам присылают письма от имени руководства, контрагентов, клиентов с их реальных ящиков электронной почты и под разными предлогами просят провести платеж по указанным реквизитам, перейти на некий сайт, чтобы сменить реквизиты, платежные данные и т.д. Как правило, в таких случаях преступники ссылаются на срочность, что притупляет бдительность. Если мошеннику многое известно о жертве, он может построить разговор, который не вызовет подозрений. Эксперт приводит пример, когда жертвами BEC-атак становились даже бухгалтерии крупных ИТ-корпораций Google и Facebook: первая оплатила мошеннику счета на $99 млн, вторая – на $23 млн.

Спам

Спам – это телематическое электронное сообщение, предназначенное неопределенному кругу лиц, доставленное абоненту и (или) пользователю без их предварительного согласия и не позволяющее определить отправителя этого сообщения, в том числе ввиду указания в нем несуществующего или фальсифицированного адреса отправителя (Постановление Правительства РФ от 10 сентября 2007 г. № 575 «Об утверждении Правил оказания телематических услуг связи»). Спам-сообщения как вид мошенничества в сети существует достаточно давно, и на данный момент он является одним из наиболее распространенных и широко применяемых способов обмана в Интернете. По данным Лаборатории Касперского во II квартале 2020 года первое место в списке стран-источников спама Россия заняла первое место с долей 18,52%. При этом отмечается, что тема COVID-19 является основной темой мошеннических рассылок: редкая спам-рассылка обходилась без упоминания пандемии.

Противодействие мошенничеству в Интернете

Стремительное развитие мошенничества в сети мотивирует компании и пользователей на поиск новых методов и способов для защиты в Интернете. При этом специалисты в области кибербезопасности расходятся во мнении, кто из участников отношений должен обеспечивать безопасность: сотрудники или сами компании, основная деятельность которых протекает в Интернете.

Со стороны компании в первую очередь должны быть предприняты технические меры защиты от мошеннических атак. Как утверждает инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU Артем Мышенков, одним из ключевых моментов технической защиты является защита инфраструктуры компании. В качестве примера эксперт приводит использование доступа к внутренним ресурсам компании по локальной сети, а для удаленной работы настроить VPN-соединение [безопасное зашифрованное подключение. – ГАРАНТ.РУ]. При этом компания также должна взять на себя ответственность за безопасность данных клиента, в частности установить на сайт SSL-сертификат [протокол безопасной передачи данных. – ГАРАНТ.РУ]. Он защищает передачу данных между браузером клиента и сайтом (а точнее – сервером, где сайт размещён). Эксперт утверждает, что такой сертификат должен быть установлен на всех сайтах, где пользователи оставляют персональные данные. Для защиты корпоративной почты от фишинговых рассылок необходимо настроить на почтовом сервере проверку подлинности входящих писем, чтобы адрес отправителя было невозможно подделать. Эксперт также рекомендует использовать средства защиты от спама и антивирусную защиту не только на почтовом сервере, но и на рабочих станциях сотрудников.

Большинство специалистов по информационной безопасности сходятся во мнении, что лучший способ защиты от подобных киберугроз – это обучение сотрудников, считает Эрик Нуртдинов. Такое обучение должно включать в себя не только освоение теоретического материала, но и прохождение интерактивов, интервьюирование и выполнение внеплановых тестов. Самым эффективным в обучении считается практика: сотруднику присылают письмо с атрибутами фишинга (заранее подготовленное службами информационной безопасности) и оценивают его реакцию – обратится ли он за помощью в отдел информационной безопасности, перейдет по ссылке и заполнит данные или проигнорирует письмо. Эксперт считает, что проведение таких мероприятий на постоянной основе поможет сотрудникам приобрести «иммунитет» к фишинговым атакам. При этом Эрик Нуртдинов отмечает, что методы фишинга постоянно усовершенствуются, что в свою очередь требует совершенствование системы обучения сотрудников, так как это представляет собой непрерывный процесс. Помимо работы с сотрудниками необходимо реализовать полный комплекс организационных и технических мер с применением таких средств, как IPS, IDS, SIEM, DLP, Антиспам и т. д. Эти решения помогут детектировать фишинговые атаки как в реальном времени, так и провести ретроспективный анализ.

С такими доводами не согласен бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. По мнению эксперта, обучение сотрудников является важным методом борьбы с мошенниками в Интернете, однако не является основным, для корпоративных пользователей важны технические средства защиты. Дмитрий Мананников высказывает мнение, согласно которому внедрение массового воспитания цифровой грамотности в части бдительности в отношении фишинговых сайтов представляется достаточно проблематичным. Основная причина заключается в том, что мошенники эксплуатируют общечеловеческие эмоции. Эксперт отмечает, что в настоящий момент отсутствует однозначный метод борьбы с мошенничеством, в связи с чем складывающееся положение дел на рынке представляется непобедимой.

Противодействие фишингу также осуществляется со стороны банковских организаций. Павел Нагин на примере мошенничества в области электронной коммерции демонстрирует следующий способ противодействия банка осуществлению фродовых транзакций. При получении сигнала о подозрительном платеже, например, на основании реквизитов получателя денежных средств, система анти-фрод идентифицирует его как мошенника, банк останавливает транзакцию. Более того, существуют системы, способные выявлять аномалии в сессии еще до транзакции, которые на основании статистики по входу в интернет-банк. Эксперт обратил внимание, что одним из основных шагов банка в противодействии злоумышленникам является предупреждение об атаках пользователей, а также их информирование об основных подходах к безопасности, в том числе о мерах, которые пользователь должен предпринимать с целью противодействия мошенничества в сети.

Мошенничество в Интернете квалифицируется Уголовным кодексом как мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей (п. 1 ст. 159.6 УК РФ). Если сотрудник уже стал жертвой мошенников, следует обращаться в правоохранительные органы. Как отмечает Георгий Батиров, адвокат (Адвокатская палата города Москвы) адвокатского бюро «Батиров и партнеры», в целом порядок действий в случае, когда компания становится жертвой мошенничества в Интернете, не особо отличается от обычного мошенничества. В первую очередь следует собирать доказательства обманных действий в отношении компании или конкретного пользователя. К таким доказательствам относятся чеки об операциях перевода денежных средств, скриншоты социальных сетей и переписок с мошенниками, детализация звонков. Эксперт обращает внимание на важность своевременного сбора соответствующих доказательств, чтобы избежать утери доказательств ввиду удаления злоумышленниками информации об осуществлении мошеннических действий. После сбора доказательств необходимо подготовить объяснение потерпевшего и подать заявление в полицию.

Руководитель юридического отдела хостинг-провайдера и регистратора доменов REG.RU Павел Патрикеев предлагает иной способ противодействия фишингу. Эксперт отметил, что если фишинг выявлен в доменных зонах .RU и .РФ, то пострадавшее лицо вправе обратиться в специализированные организации, с которыми Координационный центр доменов .RU / .РФ заключил соглашения (Group-IB, RU-CERT, РОЦИТ). Заявка подается через сайт соответствующей организации (список размещен на сайте Координационного центра). Затем факт нарушения проверяется компетентной организацией и требование о снятии с делегирования доменного имени направляется регистратору домена. Регистратор также проверяет предоставленную информацию, в случае выявления нарушения доменное имя снимается с делегирования в предусмотренные Правилами сроки. Эксперт также обратил внимание на существование международных организаций, которые противодействуют фишингу в международных доменных зонах (например, APWG Anti Phishing Working Group, ICPEN). Заявитель также вправе обратиться к хостинг-провайдеру соответствующего сайта и предоставить доказательства нарушений законодательства и мошеннических действий. Однако по законодательству РФ хостинг-провайдер не имеет права устанавливать факт наличия или отсутствия правонарушения — в связи с этим заявителю может быть отказано. На это уполномочены только соответствующие судебные и правоохранительные органы. Также если из-за фишинга лицо пострадало или считает, что действиями администратора домена нарушается законодательство и совершаются мошеннические действия – можно обратиться с заявлением о мошенничестве в правоохранительные органы, подробно изложить факты и предоставить доказательства.

***

Георгий Батиров утверждает, что интернет-преступления были и остаются одними из самых менее раскрываемых в сравнении с традиционным мошенничеством. По данным эксперта, общий процент раскрываемости подобных преступлений колеблется около 25%. А за I полугодие 2020 года их количество выросло почти в 2 раза, по сравнению с этим же периодом 2019 года. При этом, по мнению адвоката, не стоит исключать вероятность, что процент раскрываемости снизится ввиду внушительного роста количества преступлений и сложности установления преступника.

Ввиду сложных процедур по поиску мошенников и возмещения ущерба наиболее удачным вариантом для борьбы с мошенничеством в Интернете представляется бдительность и предотвращение кибератак. При этом большинство экспертов в сфере информационной безопасности утверждают, что противодействовать мошенничеству в Интернете с помощью исключительно технических средств не представляется возможным. По мнению Эрика Нуртдинова, вместе с внедрением технических средств в обязательном порядке необходимо проводить обучение сотрудников организации навыкам информационной безопасности, причем не только с помощью теоретического материала, но и включая практическую отработку. Эксперты также придерживаются мнения, согласно которому бдительность сотрудников является лучшей защитой, в то время как технические средства выполняют исключительно вспомогательную функцию.