Кто и как ловит хакеров и кардеров

[Jollier]

В этой теме известный кардер беседует с Сергеем Никитиным, заместителем руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB, одного из главных мировых борцов с киберпреступностью.

Также вы узнаете о хакерах Анонимус и других хакерских группировках, как реальные хакеры взломали Твиттер и через аккаунты знаменитостей увели более 120 тыс. долларов в биткойне, правда ли русские хакеры самые опасные в мире, как самые опасные хакеры взламывают пароли и шифруют информацию на жестком диске компании или частного лица, требуя выкуп (т.н. Ransomware), как скрываются самые разыскиваемые хакеры мира, как хакеры взломали компьютеры Пентагона и различных телеканалов, о хакерах в чат-рулетке, как хакеры взломали веб-камеру мошенника, как взламывают телефоны и камеры, как хакеры взломали школьника-майнкрафтера, также расскажем о жизни черного хакера и лучших фильмах про хакеров (Хакеры 1995 года и Хакеры 2018 года).

Содержание:

• Сегодня в теме: Кто и как ловит хакеров и кардеров.
• Знакомство с Сергеем Никитиным, заместителем руководителя Лаборатории компьютерной криминалистики Group-IB. Илья Сачков отказался придти?
• На чём чаще всего попадаются киберпреступники? Самые распространённые ошибки.
• Что будет за одноразовую кражу $20 000 с помощью трояна?
• Кража какой суммы может спровоцировать интерес западных спецслужб?
• По каким странам лучше не работать хакерам и прочим киберпреступникам?
• Правда ли, что если не работать по России, то никакого наказания не последует?
• О схемах мошенничества на досках объявлений.
• Какого типа киберпреступления по СНГ чаще всего приходится расследовать?
• Возможно ли вернуть себе свои же украденные мошенниками деньги?
• Какой из российских банков самый защищённый и самый лояльный в плане помощи клиентам в случае пропажи денег?
• О вредоносных программах под Windows.
• Как и где пользователи чаще всего заражают свои смартфоны и компьютеры вредоносными программами?
• Основные методы хищения денежных средств у юридических лиц.
• «APT» (Advanced Persistent Threat) – про целевые кибератаки.
• О хакерской группировке «Cobalt» и как она работала.
• О работе проправительственных хакерских групп.
• «Криптолокеры» (вирусы-шифровальщики) – основной бич 2025 года. С чего всё начиналось и как они работают?
• Что делать в случае зашифровки компьютера криптолокером. Каков шанс вернуть свои данные?
• Вычисляла ли Group-IB в сотрудничестве с правоохранительными органами тех, кто занимается шифрованием данных?

Сегодня в теме: Кто и как ловит хакеров и кардеров.
Никитин:
Основные методы заражения — это почта. Вот, могу сразу сказать, если у вас Android версии меньше девятой - выставляйте его на доску объявлений и купите новый. Windows 7 уже тоже не поддерживается. В общем, вариантов нет, придется переходить на десятку. Первое — это можно заразить банкоматскую сеть. Вариант номер два — у банков есть свой клиент банк для банков.

Знакомство с Сергеем Никитиным, заместителем руководителя Лаборатории компьютерной криминалистики Group-IB. Илья Сачков отказался придти?
Павлович:
Наши читатели скажут, очень интересно.
Друзья, привет! Сегодня разговариваем с Сергеем Никитиным, зам. руководителем лаборатории компьютерной криминалистики Group-IB.
Его босс Сочков забоялся нашего интервью и решил отправить своего зама, можно сказать. Я занимался полжизни киберпреступностью, а это те люди, кто с другой стороны баррикад, на другом крае именно борцы с киберпреступностью, поэтому вы все ждали, вопросов много.

На чём чаще всего попадаются киберпреступники? Самые распространённые ошибки.
Павлович:
Итак, давай начнём, наверное, с такого, раз меня затронули, на чём чаще всего, из вашей практики, попадаются киберпреступники?

Никитин:
Ну, наверное, в основном на каких-нибудь глупостях. То есть человеческий фактор, он на самом деле во всех отношениях, он самый стойкий, что киберпреступники очень часто его эксплуатируют, чтобы там куда-то проникнуть. И социальную инженерию, то есть еще со времен Митника, он до сих пор также работает. Если мы посмотрим самые крупные взломы, это до сих пор обычные фишинговые письма, где просто заманивают людей что-то открыть там и так далее.

Павлович:
Точно так же… Вот как сейчас с Твиттером было, да? Когда Твиттер взломали.

Никитин:
Да, Твиттер – это прям отличный пример сошел инжиниринга. То есть там 17-летний парень, он смог взломать огромную корпорацию только за счет социальной инженерии, там никаких вредоносов, ничего, и вот сколько они там больше суток не могли с этим справиться. И обратный пример. Точно так же и сами кибер преступники попадаются на кучу разных мелочей. Внезапно отвалился VPN. И там человек в Подольске оказывается. Это прям один из реальных случаев. То есть там double VPN, но он отвалился и не было предусмотрено, чтобы рубило соединение при этом и там реально IPU засветился. Бывает, был случай. Ребята, которые заражали Андроиды, там уже от количества денег просто самый владелец этой бот-сети, он уже не знал, что делать, и он начал пополнять телефоны родных и близких.

Павлович:
Вот, то есть… Пополнять, ну, пополнение телефона – нет ничего запретного.

Никитин:
Нет, как его вычислили, стало было понятно, что эти украденные средства, да, он там их даже без отмыва начал прямо заливать на телефоны родных и близких, его поймали. Очень часто, даже если человек там скрывается в бегах, допустим, уже в розыске, он не прерывает полностью общение, опять же, с родными и близкими. Это такая самая большая слабость, то есть естественно это достаточно тяжело полностью разорвать все социальные контакты.

Павлович:
С девушкой там, с женой там.

Никитин:
Да, с девушкой в основном всех губят девчонки. Опять же много вещей не очень очевидных, например, люди думают, что если они просто вставили разовую симку в тот же самый телефон, то все хорошо, их никто не отследит.
Вот поэтому да какой-то такой вот человеческий фактор он всегда сбоит и я могу привести пример, частый вопрос - как быстро кого-то можно поймать и наверное может немножко жестко прозвучит но поймать человека там какую-то группу или человека который совершил там одно супер хищение, ну как в кино я не знаю там большой куш какой-то или 12 друзей Оушена и пропал наверное практически невозможно, но фишка в том, что большинство не останавливается, то есть если есть много эпизодов, то есть вот это некое продолжительное действие, то каждый эпизод добавляет некую частичку мозаики, в общую картину, как можно выйти на этих людей. И очень много в нашем примере, у нас есть много профрелизов, да, как там помогали задерживать какую-то конкретную хакерскую группу, очень много кого эта группа получилось задержать только, допустим, после пятидесяти-пятидесяти жертв. Да, только потом уже соберется достаточно количества каких-то ниточек, которые приведут к людям.

Что будет за одноразовую кражу $20 000 с помощью трояна?
Павлович:
Критическая масса такая. В общем, вы спрашивали этот вопрос, да, у меня тут записан. Я сделал нового Трояна, криптонул, заказал заливы, что мне за это будет и как быстро там, если я вот, допустим, украл там двадцать тысяч долларов один раз. Отвечаем на ваш вопрос, что 20 тысяч долларов в один раз украли, вполне возможно, что вам ничего не будет.

Никитин:
Да, если, грубо говоря, сам метод обналичивания денежных средств он какой-то проверенный, тут основная это причина, еще опять же, технари часто на чем валятся, на том, что они супер-боги в компьютерах, у них там все пошифровано, все шифровано и так далее, но потом у них сталкиваются с тем, что денег хочется как-то их получить, потрогать и так далее. И, как правило, у них нет своих готовых обнальных схем каких-то или еще чего-то.

Павлович:
Отмыва.

Никитин:
Да, отмыва. И, грубо говоря, они в технике, они отлично ориентируются, а в финансах совсем не так хорошо. И они либо заказывают услуги посредников, ну в том же Даркнете там есть куча услуг по обналу, самым каком-то таком миксером и так далее. И это уже слабое звено, да, то есть дополнительные посредники, это всегда некое слабое звено, нужно как-то потом встретиться, получить эти деньги.
И вот это вот сращивание киберприкриминала с классическим обычно происходит здесь, то есть есть классические мошенники, например, у которых все это отработано, уже там супер схемы - подставные ООО и прочее-прочее, они за проценты предоставляют эти услуги. И вот именно там обычно в основном такая, ну, земная преступность, а технари, они немножко вот сбоку. И вот технари очень часто в этом, в этом моменте тоже палятся, вот.
И тут опять же там украсть 20 тысяч долларов, это может быть не очень сложно, но куда их потом деть, как их потратить, как их вывести, чтобы им можно было пользоваться надежно – это вопрос, да, и не поймают ли вот именно на этом.

Павлович:
Ну это еще смотря в чем ты украл, если ты там с банковского счета украл, одна история, если ты допустим крипту украл, логи, чей-то поднял там кошельков, криптокошельков и вывел крипту, то через миксер прогнал по сути и...

Никитин:
Да, с криптой все проще, но если как бы потом спокойно получится обналичить, а наше государство начинает потихоньку бороться с этим, да, вот совсем недавно приняли закон, где, во-первых, впервые сказали, что такое крипта, да, и они сказали, что можно владеть, но нельзя расплачиваться и так далее, это как бы первый звоночек, что скоро крипту тоже зарегулируют.

Кража какой суммы может спровоцировать интерес западных спецслужб?
Павлович:
И часто спрашивают, например, после каких сумм начинают интересоваться вот американские минорганы, потому что многие ездят в США, по Европе, и вот они что-то украли, допустим вчера сегодня завтра да и боятся вот мне реально раза три наверное в неделю пишет вот я там на ebay краду там что-то там на такую-то сумму будет ли мне что-то? Откуда я знаю я им отвечаю вот со своей высоты своего опыта что ну как повезет то есть кто-то там и миллион украдет ничего не будет, а кто-то там три посылки с ebay скардит допустим и все. Что ты как ты можешь прокомментировать вот именно интересы именно вот западных спецслужб, особенно американских, относительно суммы, которые уже вот приведут, скорее всего, к твоему дальнейшему аресту?

Никитин:
Тут, наверное, три аспекта. Первое, очень важно, у кого они украли, да, то есть там может быть совсем незначительная сумма, но у какой-то важной компании. И там юристы будут, ну, американские лойеры, там всё серьёзно, они будут и писать заявление, как нужно, и вести это дело вообще, в том числе с местными спецслужбами, такими как ФБР или Секрет Сервисом, в зависимости от того, какой тип мошенничества.
И там может быть какая-то небольшая сумма по меркам этой корпорации, да и человека, который украл, но за ним уже будут прямо активно работать. Поэтому тут важна не только сумма, но еще у кого это крадется. Второй аспект это, грубо говоря, насколько они могут идентифицировать, допустим, множество маленьких краш с одним человеком связать, каким-то образом.

Павлович:
Доказать, что это все делал один и тот же человек.

Никитин:
Да. Опять же, если есть много заявлений, это у них станут начинается расследоваться, там может АНБ подключиться, и они поймут, что ага, это все-таки один след, одни тактики, техники, процедуры, и отлично, все, ущерб суммируется, уже этим занимаются. Ну и третий аспект, действительно, что это еще может быть такое, что никто, допустим, не заявляет, ну потому что какие-то небольшие ущербы, опять же, услуги адвокатов, они стоят денег.
Вот. И, грубо говоря, что я имею в виду, чтобы ввели это дело, не просто подать заявление. И какое-то время это может проходить безнаказанно, поэтому невозможно однозначно ответить на этот вопрос. Риск есть всегда, даже с небольшой кражей через PayPal, чего угодно, особенно если он как-то совершен грязно, по неопытности, оставил следы за собой, уже могут быть проблемы.

По каким странам лучше не работать хакерам и прочим киберпреступникам?
Павлович:
В общем, ребята, любая сумма, как мы, в принципе, и говорили, может привести к вашей поимке, особенно лучше вообще не крадите, а если крадете, то лучше обходите стороной США, потому что я замечал проблему у многих, ну вот у большинства русских киберпреступников, кардеров, хакеров, если мы откроем новости, у меня в том числе, они начались именно с США.

Никитин:
Я бы сказал США, Британия, ну и работать по России тоже достаточно стрёмная тема.

Правда ли, что если не работать по России, то никакого наказания не последует?
Павлович:
Ну, раз ты сам затронул работу по России, то есть до сих пор существует иллюзия такая, что если я не работаю по России, по СНГ, не долблю своих граждан, то у меня ничего не будет. Давай раскроем её раз и навсегда.

Никитин:
Нет, на самом деле нет, на самом деле я помню еще, чтобы не соврать, году в 2014-м, у нас были исследования в том числе компьютеров, ребят, которые работали только по Англии, вот, в чем основная фишка – бюрократия, то есть что нужно понимать – киберпространство, она действительно интернациональна, и на самом деле оно отлично использует противоречия между странами, и политические, то есть там вот как произошли события на Украине, часть кардеров прям сразу туда уехала, потому что знали, что оттуда выдачи не будет, и можно оттуда спокойно работать. И причём они теперь там отстёгивают местную спецслужбу, ну как за крышу и многие там хорошо устроились. А те, кто работали в России, пару. Но я это к чему? К тому, что основная проблема в том, что есть целый аппарат, как это придёт в Россию.
То есть в России пока нет заявителя, мало кто будет этим чем заниматься. Но если какая-то компания пострадавшая, зарубежная, ну или там даже уже большое дело, где заинтересованы спецслужбы западные, они уже будут долбить Интерпол, Европол, те будут уже обращаться к нашим спецслужбам, и в какой-то момент это наберется масса, критический бумаг. Это все небыстро происходит, когда у нас тоже начнут
отрабатывать материалы, а если те ребята хорошо постарались, я имею в виду западные спецслужбы, а у них именно технических возможностей значительно больше, то на самом деле людей в России могут достаточно быстро найти и принять. Поэтому это не панацея, не панацея, но, конечно, когда у вас потерпевший, то есть заявитель в той же самой стране, что и вы, весь этот процесс происходит сильно быстрее,
да, то есть прям, ну, очень быстро.

О схемах мошенничества на досках объявлений.
Павлович:
Вот сейчас все это мошенничество на Авито развито и в Wildberries все долбят почему-то, я не знаю схемы конкретные, но мне тоже пишут, вот мне предложили там участвовать в схеме обмана или кражи на Wildberries, я говорю, ну все, прощаемся, уже можем практически прощаться.

Никитин:
Да, действительно, на самом деле вот этих всяких мошенников, всех досок объявлений, да, а Wildberries там еще активно эксплуатируется с фиктивными доставками. А идея-то очень простая, то есть человек что-то хочет купить, ему говорят, отлично, или продать, допустим, отлично, вот вам сайт и там уже доставка и курьер и все оплачено и даже вам приведут денежки как приедет посылка и даже Авито доставка официальная, но фишка в том что все эти злодеи они делают там левый домен и основная фишка в том чтобы человек просто ввёл данные карты то есть ему говорить чтобы получить выплату там пишется прям сколько ему уже заплатили чтобы получить выплату на свою карту видите все данные в том числе CVV, ну и как бы там код sms допустим подтвердите получение, код sms и так далее и все, то есть само мошенничество не очень сложное, социал инжиниринг, да, то есть там, да, все готово, там, забираю, вот вам, якобы, Авито или там, Wildberries с доставкой, или там, я забыл сейчас, еще одна доставочная,
Боксбери, в общем, под них активно подделываются, там, поддельные домены, но фишка в том, чтобы просто получить данные карты.

Какого типа киберпреступления по СНГ чаще всего приходится расследовать?
Павлович:
Заговорили про Россию, про этот СНГ-шный сегмент, а какие тогда чаще всего преступления, какого типа, то есть хакерские атаки, обман на досках объявлений, либо еще что-то вам приходится расследовать именно по СНГ-сегменту?

Никитин:
На самом деле это можно представить себе любую преступность как некую пирамиду, то есть, грубо говоря, естественно, на низовом уровне это какие-то мошенничества с физлицами. Это на самом деле огромное количество звонков просто телефонных, мы знаем, что там ФСИН, в общем-то, не очень хорошо следит за наличием телефона в камерах, и там настоящие подпольные колл-центры на зонах, вот, и, наверное, первое, с чем сталкиваются сейчас все подряд, это звонки от имени банков. Благо с помощью SIP'а можно без проблем подделать номер, исходя, то есть вот это отображается звонившему, и точно так же номера sms'ок тоже можно подделать.

Павлович:
Они сейчас не заморачиваются, мне звонят уже вообще с каких-то московских номеров.

Никитин:
Ну и в общем основное да это просто обычный такой развод по телефону, которому тысячу лет, просто чуть-чуть немножко новых технологий. Причем мне звонили они даже эмулируют звук колл-центра вокруг - это прикольная тема вот это как бы низовой уровень и туда же в принципе сюда подходят фишинговые сайты такие простые да ну вот как вот доски объявлений и так далее. Мошенничество очень много по небольшим суммам, в основном жертвы физики, но как бы это массово. Если мы поднимемся на уровень выше.

Павлович:
А я перебью, извини, они заявления часто пишут в полицию?

Никитин:
Очень редко. И, кстати, это реальная проблема. То есть, если там у вас родные или близкие столкнулись с такими мошенничествами, всегда убеждайте их написать заявление. Но если хочется правосудия. Я поясню, на самом деле огромное количество таких преступлений в России не расследуются просто потому, что нету потерпевших. И если бы все потерпевшие просто там потратили свой час времени и принесли эту заявление, которая вроде бы ни к чему не обязывает, это все относятся к тому, Никто не будет расследовать, так оно так и есть.
Фишка в том, что есть опять же критическая масса, да, то есть как очень часто там мы работаем и с Управлением К, которое БСТМ МВД, и в принципе совсем там сейчас практически во всех подразделениях начинают создаваться специальные отделы по киберпреступлениям, то есть это там допустим ОЭП и ПК, да, то есть экономическая, но у них есть там подразделения, которые связаны с IT и так далее, то есть у нас не только БСТМ сейчас работает по по этой теме.
Так вот, очень часто мы находим злодеев уже, мы им передаем материалы, говорим, вот, все так далее, и они такие, так, нам нужны потерпевшие и заявители. Вот, типа давайте срочно искать потерпевших и заявителей.

Павлович:
Так, а разве не могут, вот как в Беларуси? Я сидел по факту, возбуждают, то есть нет заявлений, ну, и все равно ты сидишь. В УК РБ, я не знаю, не сравнивал с РФ, но они очень похожи. Есть формулировка, находясь там, в момент совершения преступления находился на территории РБ, например.

Никитин:
Нет, а там дело в том, что у нас есть преступление публичного заявления, когда может государство возбуждать дело, а есть частного, да, и вот, насколько я помню, там многие мошенничества подпадают, если это не против государства, то есть это не хищение бюджетных средств и так далее, то нужны потерпевшие.

Павлович:
Ну по 159-й, если там на Авито обманул физлицо, то без его заявления никто ничего не возбудит, да?

Никитин:
Там еще, может быть, даже по ущербу не пройдет, это да, то есть там есть моменты, да, нужны заявления, вот, и поэтому, в общем, и так как их нет, очень часто сложно потом что-то делать, это реальная проблема. Это вот первый уровень, такой базовый, там больше всего по количеству, но по суммам не очень много. Следующий уровень – это то, что связано с вредоносами.
Прежде всего, это огромное количество андроид-троянов, это прямо настоящий бич. Сейчас по России где-то, наверное, 5 или 6 групп активно работают по андроид-троянам, Вот, в принципе это тоже какой-то залив трафика, то есть людям шлют и в мессенджеры, и просто на сайтах показывают, и в sms-ках, и в досках объявлений, и огромное количество контекстной рекламы выкупают, то есть Яндекс.Директ и вот Google AdWords, и какое-то время можно было ввести что-нибудь типа там название банка, да, там Android или там Play Market, и самое верхнее объявление, которое, рекламное, оно ведет на фишинговый сайт, на мошеннический, а не на настоящий.

Павлович:
Почему Google, я тоже видел не раз эти объявления, почему тот же Google, там Яндекс, с этим не борются?

Никитин:
Ну, контекст на рекламу, деньги приносят.

Павлович:
То есть ты считаешь, что они просто намеренно это пропускают, либо нехватка сотрудников, либо еще что-то. Клоакинг, я знаю, используют, знаешь, модеру подсовывают одну объяву, к примеру, а на самом деле будет другая?

Никитин:
На самом деле прям комплекс всех этих вещей, то что это прям умышленно, да, они прям на этом зарабатывают, но не очень сурово контролируют. То есть действительно и клакинг все, как ты говоришь, и очень часто там всякие махинации с ключевыми словами, да, то есть в тексте объявления могут там немножко менять буквы, там подставить из албанского алфавита какие-нибудь буквки А и так далее. Ну то есть есть всякие моменты, что это не режется автоматом, то есть ботами. Вот, я имею ввиду ботами этих контекстных рекламщиков.

Павлович:
Ну то есть не доходит до ручной модерации, всякими техническими ухищрениями сделали так, что она автоматом прошла модерацию, особенно если прогретый рекламный аккаунт.

Никитин:
Да, отличный пример. Да, и вот в общем это была целая проблема и на сих пор она в принципе бывает и работает очень просто. Человек переходит по ссылке, скачивает APK, ставит ее в свой Android, ему говорят, знаете, это приложение оно вообще плохое, оно может у вас перехватывать sms, звонки совершать, революцию в Сирии устроить, все что угодно. Так кто говорит? Это андроид прям говорит. Человек все равно говорит, да, конечно, это же банковское приложение, это нормально, ну и все, потом у него крадут деньги.
Вариантов несколько, самое простое, это на Андроиде это возможность отправки СМС на короткий номер. Практически сейчас любой банк, можно просто отправив на номер именно sms, просто с номером карты и суммой, До 30 тысяч в день можно это все переводить в деньги. И еще фишка в том, что этот вирус, он скрывает sms-ки входящие, то есть человек даже не знает, что у него меняется баланс.

Павлович:
Особенно если у него не подключена услуга, то есть оповещение.

Никитин:
Даже если подключена, то есть сам вирус, он скрывает sms-ки от банка. И плюс есть немножко второй вариант, который в какой-то момент внезапно вам показывает окошко Play Market, будто бы настоящее, и он говорит, знаете, нужно активизировать данные вашей карты. Выводите туда данные вашей карты, все и код, все дела, а одноразовые коды он сам перехватывает и даже не показывает, что совершаются операции.
Так можно больше денег красить, то есть просто по смскам там перевод небольшой, а зная данные карты и одноразовый код для подтверждения, там можно любые суммы переводить.

Возможно ли вернуть себе свои же украденные мошенниками деньги?
Павлович:
Я как-то забыл недавно, что сам делал транзакцию, ну увидел у себя, ну просто реально забыл там в какую-то букмекерку там, мерчант написан там, Royal Pay, там я откуда знаю, что там за Royal Pay, если бы написали букмекера, там такая-то, допустим, я бы быстро разобрался. Я им звоню туда в support и спрашиваю, говорю, что за фигня, они говорят, так мы, даже если не вы, мы с этим переводом уже ничего не сделаем, потому что вы подтвердили по sms, и если вот в твоей этой схеме что-то рассказываешь, если перевод подтвержден по sms, то есть можно запить водой, то есть никак уже не вернешь этих денег?

Никитин:
К сожалению, именно вот этот пример, я немножко расскажу про то, как можно вернуть деньги, но вот этот пример, действительно деньги не вернуть, почему? У нас по закону, грубо говоря, есть дистанционное банковское обслуживание, там целый крутой договор, и банки очень круто себя обезопашивают, что, мол, мы вам выдали логин и пароли некой ЭЦП, это если мы юрлицо, да, или некий аналог собственноручной подписи, и если что-то с ними случилось, это ваши проблемы.

Павлович:
Ну, то есть аналогом этой собственноручной подписи является базовый код. Я так понимаю, выступают два момента, первый – это sms, который от тебя приходит, второй – пин-код, если ты там в банкомате. Все это подтверждает, что транзакцию совершил в глазах банка именно ты.

Никитин:
Да, и как бы вы подписываете этим свою транзакцию. Если это юрлицо, у них отдельные токены с электронной подписью. И действительно, если в общем подписано одноразовым кодом, это как она с обстановочной подписью, эта транзакция сразу улетает и уже все, ничего не сделать. А вот есть отличный пример, если, допустим, у вас украли карту или потеряли вы её, и кто-то с ней, допустим, бесконтактно расплачивается и так далее, вот эти деньги возвращаются вообще без проблем, потому что вы вы говорите без моего присутствия, никто не подписывался, не расписывался, ни пин-код не вводил, как бы все, эти все операции опротестовываются хорошо.

Павлович:
Ну и видеокамеру уж можно в магазине запросить, что это не ты на кассе стоял.

Никитин:
Верно. И даже если это белый пластик, то есть где-то в другой стране, а вы подтверждаете, что вы были здесь, да, то эти деньги тоже реально вернуть. Вот. И поэтому с интернет-операциями все плохо, а как бы с именно карточными, да, сильно лучше стало. Я не помню в каком году, у нас просто приняли закон о национальной платежной системе и там, в том числе, теперь благодаря нему есть возможности возвращать деньги. Я могу сразу сказать, там, если кто-то пострадал от таких мошенничеств, здесь нужен определенный уровень упорства.
Как это будет работать? Вы придете в банк, напишете заявление, опишете, что там случилось, вам скажут - нет. Вам нужно будет пойти написать в полицию заявление, получить такой талон КУСП, о том, что там завели дело, и с этим талоном КУСП снова прийти в банк и снова написать заявление. Обычно двух заявлений хватает, чтобы деньги вернули.

Павлович:
Это в любом случае, неважно, как у тебя украли?

Никитин:
Нет, ну то есть если украли там именно через взлом смартфона, шанс вернуть деньги, он очень небольшой. Но все равно пробовать можно. И повторюсь, нужна именно настойчивость, то есть у банков просто там есть некая линия первая, которая всегда отфутболивает людей. Нужно два раза написать, и есть шансы, есть шансы, что деньги вернутся.

Какой из российских банков самый защищённый и самый лояльный в плане помощи клиентам в случае пропажи денег?
Павлович:
Кстати, какой банк из российских, возьмем банков, самый защищенный, у меня есть свое мнение, я хочу ваше услышать, самозащищенный, раз, и самый лояльный в плане приема заявлений, этих возврата денег клиентов именно в расследовании, участвует в судьбе человека, если у него похитили деньги?

Никитин:
На самом деле сложно сказать, я просто работаю с кучей банков и банки часто наши клиенты. И очень зависит от случая к случаю, да, то есть еще зависит от того, у кого украли деньги, там бывает, хотят просто проявить лояльность, сам банк, и он возвращает какому-то там VIP-клиенту, например, все деньги и так далее, и поэтому очень разные варианты. А бывало такое, что, допустим, у одного банка украли деньги и раскидали по другим, прямо у самого банка, и он начинает обзванивать как бы своих коллег, просят остановить, и очень разные ответы приходят. Поэтому сложно сказать. Я могу сказать следующее, чем крупнее банк, тем у него медленнее внедряются антифроды, на том, что это огромная машина, и тем сложнее там что-то добиться от него. Но с другой стороны, у крупных банков намного больше денег на саму кибербезопасность и на сами решения. Поэтому очень сложно прям какой-то топ назвать по защищенности.

Павлович:
Ну мне нравится в этом плане Т-банк, потому что у меня порой, я там светану карту в эфире, что-то показываю, а потом сидишь дома, короче, всё смотришь, господи, начинается даже у меня. И мне в этом плане больше всего Тинькофф понравился, потому что они как-то, ну, как-то всё это сразу, любая подозрительная операция, они стопают её, звонят, Т-банк, и, наверное, у меня просто 5 банков, на втором месте, наверное, Альфа.
А вот эти Сбер там и прочее, как-то вообще, может быть реально, что крупные банки и уже старые, а тот же Т-банк, он как-то помоложе.

Никитин:
И он более диджитал, нет никаких этих самых офисов и так далее, они там все решают через чат, поэтому почему нет. Но именно с точки зрения защищенности, как они там именно вернут деньги, сложно судить, да, то есть это очень много зависит от того, что вы за клиент, то есть у всех банков есть некий рейтинг, ваш, в их глазах, я не только про кредитный рейтинг и как я говорю, то есть есть всякие моменты, что вы за клиент.

Павлович:
APK еще я могу добавить, у меня просто чат этот в Телеграме на 11 тысяч человек, постоянно арабские эти ублюдки, ну соответственно киберпреступники с арабским закосом, они постоянно APK вот этот спам шлют по три человека. И даже настолько стали изворотливы, что у меня стоит админ чатов, он не пускает, пока ты не пригласишь трех друзей, пока ты не примешь правила, и все равно они боты приглашают ботов, и постоянно вот эти APK- файлы. То есть, это исполняемое приложение, это Android.

О вредоносных программах под Windows.
Никитин:
Да, Android-пэкэджи, собственно, ну это и есть сами программы для Android. Вот, и это, мы поднялись на уровень 2, то есть, это уже с использованием вредоносов, и сюда же подходят еще вредоносы, которые направлены именно на физиков под винду. А что они делают? Они делают так, что вы вбиваете или переходите по закладке на свой сайт банка, как бы все хорошо, то есть, это не какой-то там поисковая система, выдача, но так И так как компьютер уже заражен, он перенаправляет вас на фишнинговый сайт, и причем есть вредоносы, которые сейчас позволяют даже делать так, что отображаться будет с адресной строки настоящий адрес.

Павлович:
Но тут перезаписывается файл hosts.

Никитин:
Нет, это самый примитивный вариант, тогда не будет гореть этот самый SSL, не будет гореть SSL, а он прямо патчит в памяти браузер, и показывается и настоящий адрес, и даже что защищенности не имеем, но мы на фишнинговом ресурсе.
Сначало это было так, что вы вводите логин и пароль, он выйдет на настоящем сайте и там запрашивает смс для входа, вы заходите, и потом им нужно совершить какую-то операцию, да, и обычно они ждали пока вы что-нибудь оплачиваете, и прислали левую операцию, код для левой операции, но сейчас все начали читать, что за код приходит, и фронт спал, и я встречал прикольную тему, когда человек вводит логин и пароль, одноразовый код заходит в свой банк, и ему сразу приходит sms там допустим на 500 тысяч рублей, а на сайте банка огромная новая форма, это на левом ресурсе, где написано если вам пришла sms об операции, которую вы не совершали, введите сюда код и мы ее отменим, вот, и ну люди вводят и как бы деньги крадутся, при этом еще очень часто на этих ресурсах номер телефона, он левый, не настоящий, если по нему позвонить, то прекрасная девушка прекрасным голосом скажет вам, что все нормально, всё так и должно быть вы молодец, вводите все вы на правильном сайте зря беспокоитесь вот такие в общем трояны тоже есть и они работают это как бы вот следующий пласт да то есть по пирамиде это вирусы которые направлены против физиков. Суммы хищений небольшие, в среднем я только 50 тысяч рублей за одну операцию, потому что физиков
не очень много денег и количество мошенничества ну достаточно большое, но не то, чтобы прям уже, ну поменьше, чем вот на уровне социальной инженерии.

Как и где пользователи чаще всего заражают свои смартфоны и компьютеры вредоносными программами?
Павлович:
Давай на этом уровне разберёмся уже, как чаще всего заражаются вот люди и где, заражают свой Android смартфон и вообще свои компы этими вредоносами.

Никитин:
В общем, скажем так, эксплойты под Android встречаются редко, чтобы просто открыть ресурсы, вы заразились. В основном люди сами ставят эти APK-приложения, я встречал самые разные формировки, как их уговаривают поставить, например, мне понравилась одна такая для вас романтический подарок и APK. Человек очень хочет этот романтический подарок и он уже не видит вообще никаких предупреждений. И вообще, Google неплохо сейчас прокачал Android именно в плане безопасности. И там уже встроен антивирус есть, который принудительно отправляет APK на проверку, если у вас в 8 или выше, в общем, Android.
Вот. И поэтому заражения несколько сейчас спадают. Но под Android люди сами ставят в основном себе вредонос. Могу сразу сказать, если у вас Android версии меньше 9, с обновлениями безопасности меньше июля 2020 года и он больше не обновляется, выставляйте его на доску объявлений и купите новый.
Это просто суровая реальность, которая связана с тем, что, в общем-то, производители недолго поддерживают аппараты, а вы именно с точки зрения кибербеза будете уязвимы ничего с этим не сделать, да, то есть аппарат просто придется сменить, чтобы он обновлялся.

Павлович:
Либо купить Айфон, да, потому что в Айфоне, насколько я понимаю, все приложения ты не можешь сторонне установить, они через клеймарк.

Никитин:
Про Айфон мы поговорим чуть позже, да, и да, мы вообще поговорим про разные вирусы, под Маки, под Айфоны, это без проблем, просто про Андроид, тут можно сразу рекомендацию дать, что, куда посмотреть и что делать. Сейчас у Андроида просто отдельно идут версии и отдельно идут патчи безопасности, вот, то есть сама версия уже не так важна, если там 9, 10, 11, это не принципиально. То есть до 9, короче, все выкидываем или продаём.

Павлович:
Или в зону, друзья, можете загнать, потому что мобилы там нужны всегда.

Никитин:
Да, им точно пригодится. В общем-то, самому лучше сменить. Это как раз вопрос о том, что эксплойты под андроид они бывают, но реже, что просто открыли сайт и уже заразились, ничего не нужно нажимать. А под компьютер обратная ситуация, большинство заражений это именно физлиц. Было именно просто вы посещаете некий ресурс, у вас стоит не обновленная Widnows или вы не обновляете свой браузер, там на этом сайте размещен эксплойт, а он сам все подгружает, не выходит океан из берегов, ни дым не идет ни из компьютера, просто эксплуатируя уязвимость в прикладном по которому стоит, вам ставится троян, при этом еще очень часто при эксплуатации уязвимости он повышает себе привилегию настолько, что даже если у вас есть антивирус, он, в общем, никак не поможет при этом. Вот и всё, вы заражены, и вы об этом не знаете. Естественно, троян, если это не шифровальщик, да, вымогатель, он будет просто сидеть, его задача вот перенаправлять вас там на этот ресурс.
Они еще при этом имеют возможность ставить любые дополнительные модули, можно DDoS-бота поставить, чтобы DDoS-ить, можно майнер какой-нибудь поставить, можно просто proxy, чтобы через вас трафик проходил, а потом к вам пришли маски-шоу. В общем, вариантов огромное количество. Поэтому в основном заражения именно физиков были через эксплуатацию уязвимостей. Куча народу до сих пор сидит на XP на каких-нибудь или на 7 которые уже тоже в общем-то прекратилась поддержка их или кто-то вообще никогда не обновляет ничего потому что вдруг что-то сломается и заражений было достаточно много сейчас их чуть-чуть меньше стало потому что потихоньку люди переходят на 10 вот и в десятке уже встроенный Aver хотя бы есть да но Windows Defender он конечно не дает какой-то прям супер защиты но это лучше чем вообще ничего. Поэтому, и конечно, еще огромное количество было заражений просто через соцсети и почту, то есть вам приходит какая-то штука, там, допустим, от друга или от письма, и там doc-файл в обложении, вы открываете этот doc-файл, а офис не пропатчен, офис какой-нибудь 2007-й, и точно так же вы сразу заражены. PDF-ки часто шлют. А доп, то есть, собственно, на самом деле, чтобы было понятно, вредоносы, они пишутся тоже по принципу там неуловимого Joe, то есть, если система очень редкая и никому не нужна, писать под нее просто экономически нецелесообразно, вирусню.
А так как у всех там большинства Widondows и Андроид и продукты это Java прежде всего, это Adobe Flash и Reader, и это сами браузеры, то есть там Chrome, Firefox и Word, и, естественно, Office. И, естественно, в них наибольше всего ищут дырки и через них пытаются проэксплуатировать наибольшее количество уязвимостей. Поэтому очень важно их своевременно обновлять, то есть именно чтобы зеродеями там кого-то массово ломали среди физлиц, такое редко бывает, зеродеи это уязвимости, которые в общем-то еще не опубликованы, да, то есть они есть, их начинают использовать, но еще о них не знает вендор, ещё не успел запатчить. И как бы вы не можете защититься просто, поэтому вот основные заражения, то есть это почта, соцсети, ну и просто вы открываете сайт, это может быть причем очень крупные ресурсы, их регулярно ломают, размещают на них эксплойт паки и у хороших эксплойт паков процент пробива допустим 20 процентов, а допустим у нас посещаемость ресурсов там не знаю тысяч 10 в час такие бывают, это даже не самые крупные и вот у вас 2 тысячи ботов, каждый час прирост средним. Поэтому будьте внимательны с вложениями, которые приходят и самое главное следите за обновлениями. Если мы говорим про вообще никаких вариантов сейчас нет, кроме Windows 10. Да, это, конечно, боль для юрлиц в основном, но если вы физ. лицо, переходите, не думайте, тем более сейчас там бесплатный апгрейд, с 7 и так далее, но он до сих пор действует, хотя там, в общем, пугали, что не будет действовать.
Все действует, обновляетесь, Windows 7 уже тоже не поддерживается, в общем, вариантов нет, придется переходить на 10.

Павлович:
Короче, Windows 10, подытожим, и Android, если то, девятой версии выше и последние настройки безопасности патчи.

Основные методы хищения денежных средств у юридических лиц.
Никитин:
Верно. Следующий у нас этап пирамиды, это уже юр. лица, у них система дистанционного банковского обслуживания, клиент-банки, там уже большие суммы, средний размер хищения около трех миллионов рублей, основные методы заражения это почта, то есть к бухгалтеру приходит ресурс, письмо, допустим, немедленно оплатите счёт или вот вам досудебная претензия, немедленно открываете ее.

Павлович:
Ну страх, используют эмоцию и страх, да, чтобы человек быстро, не включив мозги, полез смотреть, что ж там прислали, вдруг я накосячила и меня уволят завтра.

Никитин:
Да, и это, кстати, отличный пример вообще всех, всей социальной инженерии, и звонков по телефону и так далее, на вас все время будут давить, то есть что нужно срочно, у вас прямо сейчас крадут деньги, нужно срочно бежать и так далее. Я встречал телефонных мошенников, которые звонили именно пенсионерам, а пенсионеры они не в состоянии поставить клиентбанк или там что-то еще, и они их прямо по телефону вели, чтобы они бежали к банкомату, а через банкомат тоже можно переводить деньги, они просто им диктовали, что вводить, и там можно прям ввести номер карты, кому переводить сумму и так далее, и люди как зомби просто прям вводили и переводили деньги. И они все именно эксплуатируются, срочно мы видим там у вас еще тысячу украли, типа бегите-бегите, мы вас спасем, вот, поэтому, да, это активно эксплуатируется. И второе это взлом очень крупных ресурсов корпоративных, не могу назвать их названия, но, в общем, куда ходят всякие
клерки, бухгалтера и там вот такой персонал, который имеет возможность работать с клиент-банком, вот, и…

Павлович:
Ну, налоговая инспекция, кстати.

Никитин:
Да, и их тоже часто взламывают, чтобы вот именно целевая аудитория туда заходила, и потом через клиент-банк крадут деньги. В какой-то момент все банки перешли на токены, ну электронные и цифровые подписи на флешках, их нельзя именно саму подпись оттуда украсть.
Но никаких проблем, злодеи ставят программу для удаленного управления и прямо с этого компьютера в параллельной сессии заходят, переводят деньги.

Павлович:
Перехватывают код именно для этой сессии, пришел который.

Никитин:
Да. И плюс еще, например, это может быть, допустим, выгрузка из 1С, и она передается через файл, и программа автоматом меняет реквизиты в момент передачи, то есть и выгрузки из 1С в сам клиент-банк, это передается через файл. И в этом файле перед всем, то есть вирус сам меняет реквизиты. Человек думает, что оплачивает одно, а уходит совершенно другое.

Павлович:
Ну, то есть я поясню, кто не понял, быструю мысль. То есть бухгалтер, например, владелец фирмы знает, что сегодня ему там 10 миллионов в налоговую перечислять или там за оборудование какое-то. И он знает об этом, бухгалтер знает, там бухгалтерия составлял этот счет, вписывал реквизиты налоговые туда образная или магазина, там, ДНС-шоп, и они все оплачивают, но в этот момент уже реквизиты заменены на реквизиты злоумышленника.

Никитин:
Да и деньги уходят в совершенно другое направление. Но вот тут уже размеры хищения - миллионы, иногда десятки миллионов рублей, потому что у юрлиц много денег, и здесь уже, скажем так, более, ну, такой целевой подход, то есть трояны посложнее, уже заморачиваются с рассылкой, уже заморачиваются с покупкой эксплойтов, уже бывают кастомные трояны, вот приватные трояны, которых нет в публичной продаже, то есть какая-то группа просто ими пользуется и никому их не отдает. Вот, и наверное где-то года с 2009 в России появился прям вал мошенничества с клиент-банком, именно с юр. лицами. Сейчас он немножко спал, потому что банки очень сильно внедрили антифрод-решение, неплохо их настроили, и вот эти аномалии, они хорошо срабатывают просто.
Но я помню ещё, я работаю с апреля 2010 года, да, вот недавно было 10 лет. 1И я отлично помню, как в 2012 году аптека купила 20 экскаваторов, и это не вызвало никакого удивления в банке, то есть в платежке прям было написано, значение платежа, там 20 экскаваторов, так, на сумму там несколько десятков миллионов рублей, и как бы транзакция ушла.
Сейчас, скорее всего, такое бы не прошло, да, то есть немножко с этим начали бороться, то есть объем и количество мошенничества немножко упало, но оно еще имеет место быть.

«APT» (Advanced Persistent Threat) – про целевые кибератаки.
Никитин:
И, наконец, верхушка пирамиды это APT, то есть Advanced Persistent Threat, то есть это сложные, многоуровневые вот такие атаки и угрозы, длительные, как правило, и здесь, как ни странно, основной целью являются сами банки, то есть зачем красть деньги у каких-нибудь там старушек, у каких-то там бизнесменов, если можно деньги украсть у банка, а у банка на корреспондентском счету может быть сотни миллионов рублей. И всё это может быть, в общем, похищено. И где-то примерно с 15-го года появилось прям много хакерской группы, у которых прям были названия, на которых мы писали отчёты и так далее, которые активно работали именно по банкам. То есть, крали деньги непосредственно у самого банка, и тут на самом деле всего три пути.
Первое, это можно заразить банкоматскую сеть, и потом просто человек подходит к банкомату с мусорным мешком, даже не мусорным, для трупов, мешком огромным, с плотным пластиком. В банкомате гаснет экран, и он через диспенсер просто выплевывает все, что есть в кассетах.

Павлович:
Ну сколько денег в банкомате? Я знаю, если в валюте заполнен банкомат, там если вот в долларах, допустим, около 200 тысяч долларов в банкомате, если в долларах.

Никитин:
Да, в рублях где-то было, по-моему, 6 миллионов стандартная загрузка в одном банкомате, а так как взломана вся банкоматская сеть и, допустим, бывают фае офисов банков, где много банкоматов стоят в крупных отделениях, они… У меня в Альфе 6 вот фае. Вот и, собственно, человек, который забирает деньги, он вообще ничего не понимает, что происходит, он просто ходит к одному банкомату, к другому и оттуда вываливается бабло. А на самом деле оператор уже контролирует сервис управления банкоматами, он залил вредонос на этот банкомат, который позволяет это делать, вот, и такие мошенники, такие хищения были, и там сумма ущерба сотни миллионов рублей, потому что это может происходить там по всей стране, вот, по там многим филиалам и так далее.
Вариант номер два, у банков есть свой клиент-банк для банков. Он называется АРМКБР, или автоматизированное рабочее место клиента Банка России.

Павлович:
Это он подключается к Нацбанку,

Никитин:
Да, к Банку России, и это, собственно, та штука, с помощью которой банки отчитываются перед Центробанком о проведении транзакций. Например, когда делается межбанковский перевод, он проходит вот таким вот образом. А что делается? На этом АРМКБР просто подменяются реквизиты всех транзакций, которые сейчас идут, на которые нам нужны. То есть, грубо говоря, там висит какой-то стэк операций, который сейчас произойдет, там кто-то платит куда-то, и вот вместо этого просто подставляются реквизиты того, кого нам нужно, и все эти транзакции уходят на, в общем-то, мошеннические реквизиты, и прямо с корреспондентского счета банка эти деньги снимаются. То есть они снимаются не с счетов людей, а с корреспондентского счета банка, и там, может, в какой-нибудь будний день, особенно где-нибудь в пятницу, до миллиарда легко быть, а у крупных банков там могут быть запредельные суммы.
И мы встречали примеры, когда у банка украли с корреспондентского счета практически всё, что там было, и это автоматом отзыв лицензии, потому что у банка не хватает ликвидности, то есть капитализация, охват капитала просто по закону у них больше не работает и у них отзывали лицензии.

Павлович:
Но когда у банка под такой схемой украдут 10-20 миллионов рублей, миллиард, это же быстро станет известно и эти деньги не успеют просто обналичить.

Никитин:
На самом деле банк понимает о том, что у него как произошло в конце финансового дня, а за это время деньги поступают там на счета и начинают раскидываться просто такими деревьями.

Павлович:
Раскидываться куда, на физ. лица, с банкоматов?

Никитин:
Сначала на юр. лица, а потом уже, как это обычно бывает, есть там ООО "Обнал", ООО "Обнал" выпускает бриллиантовые карты, ну короче платиновые карты на каких-то фиктивных лиц, там просто большой лимит снятия.

Павлович:
Ну корпоративные.

Никитин:
Да, корпоративные. И набирает этих людей, они просто ездят и снимают с банкоматов весь лимит, который могут. Всё, что там приходит, там просто платиновых карт у них большой лимит за раз. Вот, и причем какое-то время очень любили для этого Екатеринбург, ну за Уралом в общем, чтобы это происходило все, на Урале. Вот, где-то года до 18-го.
Почему? Просто потому что меньше камер, меньше отслеживаются перемещения, причем я помню как-то был смешной вариант, это был какой-то город, небольшой уральский город, где злодеи просто на Газели приехали с этими людьми, и они распотрошили все банки, банкоматы всех банков, ну имею ввиду распотрошили в смысле просто снимали оттуда деньги, им плевать на комиссии было и так далее, и короче в городе пропал нал. Полностью пропал нал, и они прям с мешками денег на этой Газели уехали оттуда.

Павлович:
Сколько таких случаев в СНГ было, вот чтобы так вот через этот ЦБРФ, там, обменник с банком украли деньги?

Никитин:
Больше 30, наверное, или 40.

Павлович:
Это вот за время, что ты работаешь?

Никитин:
Да, была такая группа Anunnak, она очень активно работала, Anunnak или Karbanak, то есть в Касперском их называют Karbanak, мы выпустили отчет немножко раньше, он назывался Anunnak, можно, кстати, почитать, он публичный, доступен на сайте, вот, там описаны сами утилиты, с помощью чего, как они это крали, и даже схема мошенничества. То есть там бухгалтеру прислали письмо с RAR-архивом, а внутри этого RAR-архива был файлик с расширением, документ, он с расширением там названия, .Doc.Scr, вот, SCR – это, в общем, файл скринсервера, вроде бы, но на самом деле это то же самое, что exe, но просто об этом немного кто знает.
В общем, бухгалтер открыл, и там всякие заражения происходили, и таких банков было много.

Павлович:
Мне недавно, знаю, что прислал тоже, опять же, вот это говорит об эксплуатации просто человеческого фактора социальной инженерии. Мне недавно в VK кто-то пишет, вот зацените, я вам сделал новое крутое превью для канала, на котором мы сейчас, собственно, находимся, да, там заставку и все, и он мне присылает файл с расширением, это просто напомнил SCR, я говорю, ну ясно, а он даже не учел, что у меня Mac, понимаешь?

Никитин:
Ну да, это неловко, неловко, и в общем-то фишка в чем? В том, что ломают, допустим, в банке человека, который вообще никакого отношения к деньгам не имеет, это может быть менеджер, например, я встречал, например, одну из таких писем, от имени юр. лица пишут, что хотят открыть депозит на миллион евро, вот, и вот наши там реквизиты, и менеджер, естественно, такой «О, ну отличный клиент, надо завести заявку» и так далее, его заражают, и как бы вот с этого компьютера ничего сделать нельзя вообще.
Но в том-то и фишка, что это сложные и долговременные угрозы.

Павлович:
Ну, доступ к его e-mail корпоративному, по крайней мере.

Никитин:
Да, на самом деле уже к компьютеру, то есть у него есть доступ к компьютеру, что делать? Что-нибудь ломают на этом компьютере и ждут пока sysadmin, допустим, PRDP подключится, чтобы порешать этот вопрос, и в этот момент можно украсть пароль с админа, особенно если это семерка, то есть есть там программа Mimikatz, она позволяет прямо в явном виде красть логины и пароли на старых Windows, и все, они уже, допустим, support admin, потом они тогда ходят в домен админа, вот уже весь домен, в принципе, в их власти, они начинают искать, откуда можно украсть деньги, потому что у разных банков разные там системы защиты, вот на этих системах, через банкоматы, через АРМКБР, через SWIFT, тут кстати третий вариант это SWIFT, если международные платежи, SWIFT терминал тоже можно проводить деньги.
Находят где им проще и оттуда уже крадут и фишка в том, что от первого заражения до вывода денег может пройти несколько месяцев, и всё это время злодеи будут внутри сети банка, будут передвигаться от компьютера к компьютеру повышать себе привилегии все больше и больше в какой-то момент они могут вообще отказаться от троянов, потому что у них уже будет, допустим, украденный VPN в банк, у них будут логины и пароли, они будут двигаться как настоящие админы. И это будет выглядеть, будто бы это настоящие админы.

Павлович:
Ну уже просто сотрут следы, затрут, зачем им троян, через которые они проникли.

О хакерской группировке «Cobalt» и как она работала.
Никитин:
Да. И, в общем-то, вот все это двигается, и потом крадутся деньги. И это уже вот вершина пирамиды, да, то есть это действительно сложная группа, у них там разделение обязанностей. Потом у нас следующая группа была Cobalt, да, потому что есть такой фреймворк, называется Cobalt Strike, он на самом деле фреймворк дайпинг-тестов. У него есть легальный создатель, он продается и так далее. Хакеры взяли его крякнутую версию и просто, он очень удобный, и просто активно его эксплуатировали для того, чтобы двигаться по сети банка, и отсюда эта группа получила название.
Они, например, активно делали немножко другую хитрость. Они, во-первых, атаковали не только в России, но и кучу банков в Европе и в Таиланде, в Юго-Восточной Азии, вот, и…

Павлович:
Одним и тем же инструментом.

Никитин:
Да, инструменты они тоже, у них были именно сами вектора заражения, но свою, да, нагрузку он дает от этого кобальта. И там они что делали?
Они получали доступ к процессингу. Что это такое? Это карточный процессинг, и с оператором можно что сделать. Я могу взять какого-то конкретного человека и просто ему дать кредитный лимит, допустим, в миллион евро, ну, овердрафт. Это может быть либо кредитка, либо просто дебетовка, но с огромным овердрафтом, я просто меняю этот лимит в процессинге и все.
И вот был пример атаки в Восточной Европе на один банк, там восточно-европейские цыгане, они пришли в банк, совершенно легально получили карты дебютовые, это ни к чему никого не обязывает.

Павлович:
Ну им повысили лимит овердрафта потом, да?

Никитин:
Да, хакеры им через процессинг резко подняли в евро невероятный лимит, по-моему там по 200 что ли тысяч евро, сколько можно вот на эту карту там в теории там случайный какой-то вот и потом они совершенно легально просто приходили снимали деньги с этой карты вот ну и исчезли они прям по всей Европе перемещались и тут примечательно было то что банк находился в одной стране а деньги снимали в других странах в европейских, но других у этого банка прям филиальная сеть вот и это пример еще что можно атаковать.

О работе проправительственных хакерских групп.
Никитин:
И там тоже, грубо говоря, хакеры находились внутри банка достаточно долго, то есть это прям месяцы. Ну и сюда можно, наконец, в эту группу не финансовый фрод отнести, ну вообще не фрод, а именно вот на этой вершинке пирамиды находится все, что связано с проповедительными хакерскими группами. То есть, которые атакуют не ради денег, не чтобы что-то украсть, а ради информации.
Они взламывают всякие НИИ, всякие промышленные объекты, военные объекты.

Павлович:
Это шпионаж уже.

Никитин:
Да, это уже шпионаж. И у меня есть пример такой атаки, где хакеры находились, то есть вражеская разведка находилась там больше шести лет. То есть шесть лет в этой организации находились хакеры, и то, возможно, мы не откатились достаточно далеко, потому что в какой-то момент там списывали компьютеры просто и могли не остаться следов первого самого захода туда.
Оборонное предприятие, и такое тоже бывает, но, естественно, в процентном соотношении это совсем-совсем немного. Вот, вот примерно вот такая вот пирамида мошенничеств, и, наконец, эта как бы историческая такая, да, больше, как это что все происходило.

«Криптолокеры» (вирусы-шифровальщики) – основной бич 2025 года. С чего всё начиналось и как они работают?
Никитин:
Прямо сейчас, если мы говорим про 2020 год, с января 2020 года основной бич и основная атака на всех – это вирусы-шифровальщики.
То есть злодеи опять же с помощью тех же инструментов - фишинговые письма с вложениями, эксплуатацию уязвимости и так далее, заражают ваш компьютер и после этого просто все шифруют и просят, вымогают деньги.

Павлович:
Ну это локеры такие, они просто блокируют и реально то есть бич, я слышал об этом уже, не первый год я об этом слышу, но сам столкнулся недавно, ну как сам, одна моя знакомая написала, у них она бухгалтер в нескольких фирмах, и у нее получается, она схватила эту херню где-то и шифронули там всю эту 1C, ну это реально восстанавливается очень долго, и он просил 500 долларов, я ему пишу, слушай, ну я такой-то такой-то, как бы ты можешь, знаешь кто, как бы тебе заплатят, но заплатят 200.
Ну реально просто. И все. Она говорит, ну 200 я готова долларов дать, как бы просто, чтобы вручную эту. Но он говорит, нет, типа, нифига, она говорит, я это, ну я восстановлю, короче. Ну принципиально. И все. И мы его уже послали, и потом он мне на следующий день, по-моему, писал, что типа там, давай, окей, за 200.
Я говорю, ну уже все, поезд ушёл. Но 200 это, ну 500 долларов, вот он с нас просил, да, я читал случаи всякие в интернете, они блокируют больницы какие-нибудь, где реально люди подключены ко всяким искусственным аппаратам, ИВЛ и прочим, и они просят у них тысячи, миллионы, порой в биткоине, естественно, выкуп миллионы долларов, и они платят, дело в том, что многие.
И получается, ты говоришь, что сейчас вот это основной бич киберпреступности.

Никитин:
Кратко-то, еще исторический рекрус. Все это началось с вирусов-блокировщиков, которые просто не давали зайти в Windows, это было в 2010 году, они просили отправить общую смс-ку на платный номер, и вам приходит код разблокировки. Но ничего не шифровалось, это копеечки, ничего не шифровалось, просто для юзеров, для домашних, которые в общем паниковали, и это были вирусы Locker, их прям было много.
Причём это был такой интересный момент, что эти номера платные, они легально оформлялись у операторов, то есть это было давно.

Павлович:
Но можно же вычислить, если легально оформлено.

Никитин:
Их там нормально ловили потом, то есть Отдел К нормально отработал, и это был очень такой интересный прецедент, потому что это работало только в странах СНГ, потому что только у нас были такие операторы, которые соглашались оформлять такие номера, даже несмотря на то, что идет фрод такой.
Я знаю, что оператор Orange в Европе, у них произошло что-то такое, и там это был буквально один прецедент, потому что им сразу сказали, что ещё раз повторится, и мы отдаем вас к лицензию связи.

Павлович:
Знаешь, возможно, почему? Потому что, я не помню точных цифр, но если ты вот пойдешь, такой, завтра платный номер там в мегафоне образно говоря оформит, ты будешь отдавать, по-моему, вот около 60% своего заработка, ты будешь оператором. Возможно, просто все дело в бабках коррупции.

Никитин:
И, в общем-то, с этим поборолись, там, поймали людей. Следующей итерацией были вирусы и шифровальщики примитивные, когда сами алгоритмы шифрования были написаны хакерами собственноручно, программистами на самом деле. Они часто были написаны отвратительно и там было симметричное шифрование, и если говорить простыми словами, если отреверсить и исследовать этот вирус, можно было найти ключ и можно было расшифровать файлы.
И в какой-то момент антивирусные вендоры даже выпускали расшифровщики для конкретного типа вирусов и в принципе.

Павлович:
С этим боролись. Ну вот в описанном мной случае, мы поняли там по ряду признаков, что это за шифровщик, но почему я вообще заговорил с ним о деньгах, там, да, попытавшись уменьшить сумму, потому что расшифровки для него не было, вот именно для этой версии.

Никитин:
Нет, сейчас это говорю. Это было где-то, наверное, году в 15-16-м, сейчас хакеры вообще не парятся с этим, они что делают, ну даже вирусописатели, если быть точным, есть отличные там в библиотеке OpenSSL готовые, оттуда можно взять алгоритм RSA, это асимметричное шифрование, то есть открытый ключ, он хранится прямо в вирусе.

Павлович:
Какая там длина ключа в РСА?

Никитин:
2048. Вот, значит, открытый ключ, он хранится внутри вируса, вот, и на нем шифруется все.
Ну там обычно немножко не так, там шифруется на каком-нибудь АЕСе, а ключ АЕСа шифруется на РСА, но это уже детали. Наши зрители скажут, очень интересно, но нифига.
Это не суть. Суть в том, что, грубо говоря, ключ, на котором все шифруется, он открытый, его никто не он прям в стиле вируса зашит, а закрытый ключ он только на сервере злодея, и именно из-за этого расшифровать вообще невозможно без закрытого ключа, то есть такие вирус-шифровщики современные, они используют именно асимметричное шифрование, то есть не симметричное, а асимметричное, это когда у нас есть открытый ключ, закрытый и закрытый он хранится у злодеев, и есть примеры, когда к ним упускают расшифровщики, но это когда? Это когда, например, там INB пришло, изъяло этот сервер, взяло все ключи и сделало из этого тулзу для расшифровки. И такие примеры от Microsoft и так далее, когда у них там есть совместные операции, когда они изымают эти сервера, это редкость, это редкость. И поэтому они супер эффективны, да, то есть я имею ввиду эти вымогатели. Зашифровав, расшифровать невозможно, брутить просто бесполезно. Ну, огромная длина ключа.
И тут есть, наверно, ну таких два подтипа, это Ransomware, ну Ransomware это вот класс вирусов-вымогателей, куда подходят как раз шифровальщики, и самые простые, действительно, вы домашний компьютер зашифровали, там что-то открыли и все. Просит реально там сколько-то долларов, немного.

Павлович:
В твоей практике сколько больше всего, минимум просили и максимум?

Никитин:
Ну вот максимум, это публичный случай, Гармин - 100 биткоинов.

Павлович:
100 биткоинов, это миллион долларов, посчитаем.

Никитин:
Да, значит мы сейчас дойдем до атаки на Гармин, но есть более сложные группы, они в основном как атаковали, атаковали юрлиц и атаковали очень примитивно, у кучи юр. лиц открыт RDP порт, ну для удаленного управления рабочим столом Windows, просто админ себе сделали, чтобы было удобно. Ремонт дестоп, удаленный рабочий столб.
Да, и никакого защиты от brute force, и туда просто брутили учетки, попадали прямо по RDP внутрь компании, и там все шифровали, Огромное количество как раз 1С удаленно управляется, они висят где-то в инете, это виртуальный сервак с 1С, туда доступ RDP, его сбрутили и зашифровали.

Павлович:
Да это через Шотдан делается, как вот это кофеварки интернет вещей взламывается, то есть у меня там хакер один дома сидел, он прямо при мне за час насканил с определенным открытым портом, да, кучу этих кассы всякие, там видеокамеры, кассы, домашние компы, вот у которых открыт этот порт, поэтому все неиспользуемые порты, вот это sysadmin и многие просто по халатности, они просто забывают отключить все неиспользуемые порты, естественно.

Никитин:
Ну и брутят, и все, и шифруют, но сейчас появились более сложные группы, которые также засылают e-mails, засылают с вложениями, или просто перейти по ссылке, но все, смысл заражения, и они, прежде чем попадают в сеть, они не шифруют сразу, они изучают, что за организация, и самое главное... Они, самое главное, ищут сервер бэкапов и шифруют бэкапы прежде всего, а потом шифруют все остальное, и люди не могут восстановиться из бэкапов, а очень часто бэкапы просто на виндовой шаре, то есть они не используют какой-то специальный ПО и какой-то внешний носитель, а виндовая шара, если у нее есть право на запись, мы так же без проблем шифруем.

Павлович:
Это даже можно стереть просто их, и все, можно не шифровать.

Никитин:
Если стереть, то надо вайпить, чтобы нельзя было, перезаписывать нужно, чтобы нельзя было восстановить, потому что если просто удалить, восстановить все можно без проблем. Вот. А им проще шифровать. То есть шифрование тоже как перезапись, перезапись зашифрованным. И на самом деле вот сейчас мы столкнулись, там много групп работает разных, из разных стран, это видно даже по стилю там написания, кто-то напишет на русском с ужасными ошибками, там иранцы мы встречали. Вот. Но они именно изучают организацию, прежде чем все шифровать.
В какой-то момент, ну щелчок и все пошифровали. И прежде всего шифруют бэкапы. Контора не может восстановиться из бэкапов и они вынуждены платить.

Павлович:
А надежда-то есть? А, зашифровали, а сейчас мы посмотрим бэкапы, они лезут в бэкапы, и тут облом, и все, и ты понимаешь, что у тебя выхода нет.

Никитин:
Да. И тут ещё тоже просто забавное такое, вирусня, с помощью которой все шифруют, наверное, всегда хорошо написано. Не всегда. Не всегда. То есть вернее как, ребята, которые пишут шифровальщик, они хорошо дебажат все, что связано с шифрованием, но плохо все, что связано с расшифрованием. И у нас было несколько примеров, когда люди заплатили выкупы, всё там договорились, сконнектиться с хакерами. Сторговались. Да, все-все там нормально. Они говорят, вот вам ключи и так далее.
И они не могут расшифровать, потому что сама прога была с багом, и она вообще шифровала неправильно, и даже зная ключ, там данные просто испортились, и все. И такое было несколько раз.

Павлович:
Но деньги, интересно, они возвращали?

Никитин:
По-разному. Бывало, что возвращало, да. Бывало, что возвращали. Вот. И поэтому, грубо говоря, когда просят вымогательство, я могу сказать просто вероятность, да, то есть примерно половина после оплаты выкупа просто перестает выходить на связь, ну им плевать. И только половина контактирует, и где-то примерно еще у третьей не получается расшифровать их же, ими же расшифрованные.

Что делать в случае зашифровки компьютера криптолокером. Каков шанс вернуть свои данные?
Павлович:
Тогда оптимальный алгоритм действия, если данные на твоем компе, ну вот у меня, у меня очень много всего, у меня есть бэкапы, да, на внешнем устройстве, но допустим, если бы мой комп расшифровали, и бэкапов не было, я бы, наверное, ну пару тысяч долларов я был бы готов заплатить, ну просто, чтобы не потеряться, не восстанавливать, так это я, физ. лицо, если юр. лицо, то там, понятно, заплатят и 50, и 100 тысяч долларов.
Самый правильный путь тогда, если комп физического лица, либо юр. лица, с ценной инфой, вот заблокировали.

Никитин:
Прежде всего, проверить, что это за тип вируса, надо понять, что это за шифровальщик, вдруг там, какой тип шифрования там применяется, то есть асимметричный или симметричный. Есть огромное количество сейчас ресурсов, когда вы будете даже писать просто ransom note, в общем, все вирусошифровальщики оставляют некое предупреждение, типа «мы вас шифровали, свяжитесь с нами вот так-то».

Павлович:
Там название файла часто есть, какая-то DLL-ка, что-то такое.

Никитин:
Да, это просто текст или прямо на экране появляется и так далее. Это по-английски ransom note, то есть требование о выкупе. И, грубо говоря, если даже вы начнете искать это требование, вы сразу увидите кучу, во-первых, других жертв, и вы поймите, что это за вирус. Вот, если его можно расшифровать, отлично, скачиваете утилиту, расшифровываете. Если нет, если асимметричное шифрование, то, либо восстанавливаться из бэкапов - это оптимальный вариант, либо уже принимать решение платить или не платить.
Ну, я говорю, вероятность, что расшифруют, вот, 50 на 50, что после того, как заплатите выкуп, выйдут на связь или не выйдут. И еще от этих 50, что с вами вышли на связь, ещё треть не получится расшифровать.

Павлович:
То есть получается, что у нас вообще всего там 50 и треть, короче, у нас всего, если мы даже платим бабло, шансов меньше 20%, 15-20%, что мы восстановим эти данные и успешно расшифруем даже если заплатить.

Павлович:
И что тогда? Не платить вообще?

Никитин:
Тут каждый решает сам по себе, да, и организации тоже решают сами по себе, то есть все зависит от критичности данных на самом деле. Вот, опять же, информация может стоить вообще бесценно, Некоторые невосстановимы никаким образом. Тут сложно сказать, то есть мы всегда нашим клиентам, когда к нам обращаются с просьбой прореагировать на инцидент, мы им говорим, что типа платить или не платить, решать вам. Мы просто говорим, у нас есть там практика среди потерпевших, которые к нам обращались, вот такая вероятность.
А уже как бы основываясь на этих рисках, можно принимать решение, платить или нет. А в основном к нам обращаются, прежде всего, конечно, расшифровать, но, как я говорю, это редко возможно, вот, а мы в основном занимаемся тем, что мы узнаем, как попали в сеть, да, с помощью чего, как передвигались и не оставили закладки.

Павлович:
Найти козла отпущения, кому руки поломать.

Павлович:
Ну, это вот такая российская тема, на самом деле, за рубежом мы, может быть, работаем по международке, там поспокойнее к этому относятся. В России, да, часто пытаются привлечь виновным админ или что-то такое, но суть в том, что бывают еще следующие, что злодеи, они оставляют закладки где-нибудь в планировщике или еще где-то, а вы заплатили выкуп, все расшифровали, а они через две недели снова заходят и снова шифруют. Опять тот же самое. И в основном, когда мы реагируем, мы узнаем, как попали, что сделать, чтобы не попали, да, и проверяем, не осталось ли закладок.
Потому что, повторюсь, расшифровать практически никогда невозможно.

Вычисляла ли Group-IB в сотрудничестве с правоохранительными органами тех, кто занимается шифрованием данных?
Павлович:
Вот ты говоришь, вот этих админов, этих серверов, самих зломышленников, спецслужбы там по миру, уровня АНБ образно, да, вычисляют. То есть вы хоть раз со своей конторой Group-IB сотрудничаете с правоохранительными органами РФ или СНГ, вы вычисляли вообще хоть раз, кто занимается этими шифровками?

Продолжение следует...