Мобильная зараза: твой телефон на службе киберфашистов

Полиция — прессе: «Вы можете сыграть на руку преступникам»

Антихакерский брифинг МВД по РТ сразу после попытки вывода 60 млн рублей со счетов « Алтынбанка» привлек внимание СМИ. Однако стоило журналистам вспомнить про эту хакерскую атаку и более раннее (якобы имевшее место быть) хищение 250 млн рублей в «Энергобанке», как стало ясно: о расследовании именно этих преступлений начальник отдела УЭБиПК МВД по РТ подполковник Ринат Акчурин говорить не готов.

Подполковник «включил программу»: «Ведутся следственные действия, я бы не советовал об этом писать — можете сыграть на руку преступникам...» И взломать этот полицейский код законопослушным участникам брифинга за полтора часа так и не удалось.

Зато выяснилось, что в МВД Татарстана до сих пор не отслеживают частоту кибератак на банки, предприятия и счета граждан. Возможно, какая-то статистика появится в 2016 году — предположил, отвечая на вопрос «Реального времени», начальник отдела МВД по РТ и поспешил передать слово более информированному в части IT-преступности представителю коммерческой структуры — главе департамента киберразведки международной компании Group-IB Дмитрию Волкову.

Доходы хакеров упали, атаки участились

Киберразведчик Волков объяснил, что его компания специализируется в области компьютерной криминалистики и, занимаясь предотвращением и расследованием киберпреступлений в интересах клиентов, сотрудничает с полицией. Согласно данным исследования Group-IB, ежедневный рынок высокотехнологичных преступлений в России и странах СНГ в прошлом году составил 3 млрд 996 млн рублей, то есть хакеры каждый день воровали в среднем 11,8 млн рублей.

При этом всего в ходе целевых атак на банки за год было похищено 638 млн, в интернет-банкинге у физических лиц — 38 млн, а в интернет-банкинге у юрлиц — 1,9 млрд, объем обналичивания похищаемых средств составил 1,9 млрд, оборот кард-«шопов» — 155 млн, размер хищений у физлиц с Android-троянами — 61 млн рублей.

Популярность последнего способа хищения, по словам Волкова, резко выросла: если год назад ежедневно фиксировалось по 25 успешных попыток, то сейчас — 70. Правда, из-за введения банками лимитов на снятие средств средний размер хищений сократился с 13 до 3,5 тыс. рублей, а итоговая сумма похищенного — 61 млн рублей — оказалась значительно ниже хакерских доходов за 2013 год в 105,8 млн рублей.

Если верить киберразведке, в 2016 году хакеры могут поставить новый рекорд. Число преступных групп, специализирующихся на мобильном заработке за чужой счет, увеличилось с 5 до 13. Как правило, россиян виртуально грабят носители русского языка, которые при этом могут находиться в любой точке мира.

Конец «Пятого рейха» и его последователей

В уходящем 2015 году в России усилиями сотрудников подразделения «К» МВД и ФСБ были задержаны несколько групп киберпреступников. Последнюю при участии специалистов коммерческой киберразведки взяли 23 декабря в Нижнем Новгороде. Группа под кодовым названием «404» занималась массовой рассылкой СМС с вредоносным кодом, попытка его прочитать заканчивалась заражением мобильника, а злоумышленники получали доступ к банковским картам владельца. В числе потерпевших — более 50 человек. По словам Дмитрия Волкова, в их числе есть и татарстанцы.

Уголовное дело расследуется по двум статьям УК РФ: «Создание, использование и распространение вредоносных компьютерных программ» и «Мошенничество в сфере компьютерной информации». При обысках у четырех подозреваемых нижегородцев было изъято более 4 тыс. SIM-карт разных операторов связи, более 100 банковских карт и компьютерная техника.

В апреле в Челябинской области сотрудники МВД задержали группу создателей вредоносной программы «Пятый рейх». С ее помощью киберфашисты, по данным полиции, смогли заразить более 300 тыс. мобильных и, в частности, получить доступ к кодам 20 тыс. клиентов «Сбербанка». Только предотвращенный размер ущерба следователи оценили в 50 млн рублей.

В реальных хищениях на сумму в 11 млн рублей обвиняют питерскую группу хакеров во главе с задержанными в мае братьями-близнецами Дмитрием и Евгением Попелышами. В 2012 году они были осуждены условно за хищение средств с помощью поддельных страничек ВТБ24, однако, по версии полицейских, продолжили совершать преступления.

Вражеское приложение: способы установки и маскировки

— Доходы киберпреступников могут составлять от 0 до 1-5 млн рублей в день, — рассказал на казанском брифинге киберразведчик Дмитрий Волков. По его словам, сейчас хакеры почти прекратили атаки на персональные компьютеры рядовых пользователей и сосредоточились на распространении вредоносных приложений для мобильных устройств. С них денежные переводы можно осуществлять с помощью СМС-команд, и все нужные преступнику данные о логине и пароле, балансе, банковской карте хранятся на смартфоне.

Главная трудность — убедить владельца телефона поставить себе вражескую программу, выдав ее за игру, смешную заставку, плеер и т.п. Это может быть даже СМС о новом отклике на сайте «Авито», но если пользователь перейдет по ссылке, то увидит: «Для просмотра сообщения нужно установить обновление». В таких случаях на предложение «Установить?» большинство доверчивых абонентов отвечают «Да» и потом, слепо следуя инструкции, передают неизвестному приложению права администратора, права отправки СМС и другое. А внедрившийся в мобильник «паразит» лишь имитирует работу приложения, а на деле передает на сервер своих хозяев всю перехваченную информацию. В том числе коды доступа к банковским счетам, если таковые привязаны к этому номеру.

Выявить программу-вредителя подчас не способен даже антивирус. Так что о заражении своего телефона владелец может узнать лишь после снятия денег со счета. И то не сразу: банковские СМС-уведомления о движении средств «паразит» перехватывает и не показывает абоненту. Так что бывают случаи, когда с одного счета деньги снимаются многократно: чтобы обойти лимиты, преступники просто переводят их на свою карту. Шансы вернуть похищенное таким путем через банк представители полиции и киберразведки считают незначительными.

Защити себя сам

Специалисты советуют при работе с мобильными приложениями соблюдать меры безопасности:

• не загружать приложения из недостоверных источников, например, не из Google Play (хотя и там нужна осторожность);
• не давать приложению права администратора на системе;
• если какие-то из приложений запрашивают у вас логин/пароль или номер карты — сообщите об этом в банк;
• не игнорируйте просьбу банка об очистке и проверке телефона;
• самый надежный способ избавить устройство от вредоносной программы — сброс до заводских настроек.

Подполковник полиции Ринат Акчурин объясняет, что пользователи сотовой связи, подключившись к мобильному банку, часто забывают отключиться после смены оператора и номера. В результате оператор перепродает номер другому абоненту, и тот начинает получать СМС о движении денег на счете прежнего владельца. «Многие поддаются соблазну и воруют средства», — констатировал Ринат Акчурин, впрочем, наотрез отказавшись сообщать, сколько уголовных дел по данным фактам возбуждено в Татарстане и каков размер ущерба.

Кстати, о телефонах. Участники брифинга констатировали, что все зараженные преступниками мобильники сделаны на платформе Android.