МВД предупреждает: вслед за киберворами пришли виртуальные шантажисты
За полтора года из татарстанских банков и предприятий хакеры увели полмиллиарда рублей
Почему полиция отпустила семерых задержанных по делу о веб-краже 60 млн рублей из «Алтынбанка», как бывший пациент психиатров атаковал IP-адреса госструктур в Астрахани и Казани, а татарстанский завод «проспонсировал» хакеров, выяснила журналист «Реального времени» по итогам брифинга в МВД Татарстана. Особый акцент на этой встрече руководители следствия и отдела «К» сделали на способах защиты от виртуальных угроз, дав рекомендации директорам и бухгалтерам предприятий всех уровней.
Кто зажигает «экраны смерти»
400 млн рублей без стрельбы и шума увели хакеры у татарстанских компаний и предпринимателей в 2015 году. Еще 103 млн рублей компании по вине виртуальных преступников потеряли за 5 месяцев этого года. В МВД республики винят в беспечности самих представителей бизнеса и призывают их активно защищаться. Замначальника Главного следственного управления МВД по РТ Максим Машин делится прогнозом экспертов мирового уровня: «В 2016-м и последующих годах широкое развитие получит так называемое кибервымогательство».
Метод — не новый. Наверняка многие пользователи Сети хоть раз ловили там паразита, который блокирует операционную систему компьютера и обещает помощь в обмен на перевод определенной суммы. С такой локальной бедой справится было несложно. Но веб-вымогатели пошли дальше — стали шифровать чужие базы данных и пугать «экраном смерти» с информацией: оплата в 2-3 дня или данные будут стерты. Угроза враз лишиться всей клиентской базы, налоговой и бухгалтерской отчетности приводит руководителя любой компании в ужас. В МВД констатируют: на попытки понять, что происходит, найти специалистов для дешифровки и прийти к выводу, что за столь короткий срок сделать это почти нереально, уходит уйма драгоценного времени.
Лишь в этом году по весне шифровальщики добрались до базы крупного татарстанского автосалона и потребовали заплатить порядка 100 тысяч рублей в биткоинах, ведь эта не рекомендованная к обороту в РТ криптовалюта позволяет сохранить получателю средств анонимность. Автосалон на требования шантажистов не поддался, и те просто уничтожили его базу. По словам Максима Машина, крупная компания способна пережить такой удар и восстановиться, а вот мелкой начать все с нуля почти нереально.
«Герои» нашего времени
Из собственных источников «Реальному времени» стало известно: недавно кибервымогатели атаковали не меньше сотни мелких и средних компаний Казани. В МВД по РТ эту информацию не подтверждают — ссылаются на то, что официальных обращений… не было. При этом на брифинге представители ведомства объясняли, что данный вид преступлений выявить сложно, поскольку далеко не каждый руководитель готов признаться, что его компанию хакнули. Так в 2014 году таких сознательных оказалось лишь восемь на всю республику, а в 2015-м уже вдвое больше.
Ну а на днях в Советский райсуд Казани пришло уголовное дело двух безработных казанцев, обвиняемых в таком же виртуальном шантаже. По версии следствия, 26-летний Илья Коровин два года назад с помощью вредоносной программы пытался получить получить удаленный доступ к рабочему столу системы «Windows», атакуя IP-адреса десяти татарстанских ведомств, включая минсвязи, госалкогольинспекцию, комитет по тарифам и агентство инвестиционного развития. Нашествие пережили сервера правительства Астраханской области и казанской частной клиники, специализирующейся на услугах косметологии и стоматологии.
Именно в базу клиники, как полагает следствие, взломщик проник «с черного хода», а затем поделился паролем и логином с неким Русланом Сибагатовым, который зашифровал все персональные данные о пациентах учреждения, начиная от диагноза и заканчивая результатами анализов и обследований. Далее в адрес собственников клиники ушло письмо: «Если хотите разблокировать доступ к вашей информации, вы должны перевести 22 тысячи рублей». Средства предлагалось отправить на электронный кошелек. Но руководство клиники платить отказалось и в течение трех месяцев смогло восстановить захваченную вымогателями базу. По данным МВД, этому весьма помогло регулярное резервное копирование базы данных. Правда, по словам начальника подразделения отдела «К» МВД по РТ Максима Максимова, такой предусмотрительный потерпевший в его практике пока всего один.
Как удалось выяснить «Реальному времени», Коровин в ходе предварительного следствия вину признал, а Сибагатов нет. Причем на счету сознательного хакера есть и непогашенная судимость за наркотики по приговору 2015 года, и победа в Европейском суде по правам человека в 2014 году. Тогда Страсбургский суд присудил семье Коровиных 27,5 тысяч евро за нарушение прав человека в Казанской психиатрической больнице и в судах. Впрочем, этой информацией в МВД с журналистами не делились и фамилии обвиняемых не называли, отметив лишь, что у обоих парней имелся за плечами опыт работы «на нескольких телекоммуникационных предприятиях». Очевидно, отсутствие образования им в этом нисколько не помешало — незаконченное высшее у Коровина и всего 9 классов у Сибагатова.
Пермский след хакеров «Алтынбанка» был тупиковым?
Не забыли на антихакерском брифинге и дела о хищениях средств из «Энергобанка» (февраль 2015) и «Алтынбанка» (декабрь 2015). По словам полицейских, расследование идет, но хвастаться пока нечем. В частности, после оперативного ареста счетов в московских банках, следователям удалось предотвратить хищение 52 из 60 млн, украденных из «Алтынбанка» путем подмены реквизитов платежного поручения. А вот 8 млн преступники уже на следующий день после кражи успели обналичить с карточек в банкоматах Перми. Снимали за раз до 100 тысяч рублей. Идя по следу этих получателей, оперативники побывали в нескольких регионах страны и смогли задержать семь человек. Однако после допросов их пришлось отпустить — каждый оказался слишком мелким звеном в большой цепочке и даже близко не привел к организаторам аферы.
Предположение журналистов, что у хакеров могли быть сообщники в банках, подполковник юстиции Максим Машин назвал голословным, но заметил: «Все версии совершения данных атак пока еще живы, и ни одну мы не исключили». По данным МВД, в феврале 2016 года с помощью вирусного контента преступники подменили реквизиты поставщиков бензина и сжиженного газа, которым челнинская сеть автозаправочных станций намеревалась перечислить 15 млн рублей. Деньги ушли, но подмену почти сразу обнаружили и счета заблокировали. Но уже в мае хакеры забрали 20 млн рублей одного из крупных татарстанских заводов, указав в платежках названия его реальных партнеров со своими ИНН и расчетными счетами.
На аналогичных атаках лишилась 1,2 млн рублей сеть косметических салонов, 2,5 млн рублей — казанский ресторан и другие. «Руководители предприятий и граждане к своей информационной защищенности относятся весьма легкомысленно и небрежно. Там, где у нас произошли хищения, там имелось достаточное большое число уязвимостей [в системе информационной безопасности], которые способствовали совершению преступления», — подвел итог сказанному замначальника ГСУ МВД по РТ и, объявив каждый используемый гаджет, стационарный компьютер, умный телевизор и проч. потенциальным источником угрозы, призвал: «Нужно защищаться!»
Пароль на блюдечке
Максим Машин советует любому руководителю регулярно, проходя по коридору и кабинетам, задумываться — где и какие уязвимые места в его компании есть, а далее принимать меры. Кроме того, советует взять на работу или заключить договор аутсорсинга со специалистом по обеспечению информационной безопасности. А еще — исключить свободный проход посторонних лиц по помещениям фирмы и установить лицензионные антивирусники с регулярным обновлением.
Впрочем, антивирусные программы в МВД называют лишь первым рубежом обороны. Во-первых, любой код, придуманный одним талантливым человеком, другой человек может разгадать. Во-вторых, в 2015-м году в наиболее популярных антивирусных пакетах пользователи и эксперты нашли 53 уязвимых места. А в-третьих, нельзя забывать, что с момента появления новых вирусов и хакерских бомб до их выявления и нейтрализации, путем совершенствования программного оборудования, проходит от 1 часа до 10 дней. И за это время виртуальный вредитель может многое успеть.
Свои советы получили и бухгалтеры — ни в коем случае не оставлять флэшки с цифровыми подписями в компьютере и не копировать на диск данные электронных ключей «для удобства». «Было бы неплохо, если процесс онлайн-переводов и платежей на предприятии будет систематизирован, скажем с 9 до 10 утра и все», — предложил Машин. И назвал абсолютной глупостью расхожую привычку пользователей клеить стикеры с логинами и паролями рядом с офисным местом или на стену, где их может увидеть любой.
В свою очередь представитель отдела «К» Максим Максимов объяснил, что законом охраняется лишь неправомерный доступ к информации, которая находится под охраной государства. А если речь идет о клиентской базе, патентах и разработках предприятия, то ради их сохранности руководство компании должно активировать режим коммерческой тайны. Максимов также призывает к бдительности. Известны случаи, когда на сайте фирм хакеры в интересах конкурентов меняют контакты отдела сбыта и службы по работе с клиентами, уводя последних в буквальном смысле слова. Впрочем, и свой сотрудник тоже может стать врагом, поэтому при увольнении лучше отобрать у него оружие в виде логинов и паролей. Один такой в Казани после увольнения из мести просто стер всю клиентскую базу своей бывшей организации. Теперь ему грозит до 7 лет колонии.