Український дiловий тижневик "Контракти" / № 19 вiд 12-05-2008

Спецпроект

Віртуальні злодюжки

Олена СТРУК

Дрібний кіберзлодій заробляє до $2 тис. на місяць. Для досягнення своїх цілей інтернет-злодіям не доводиться використовувати складні технології. Головне – фантазія

Розвиток комп’ютерних технологій, систем електронної передачі даних спровокував появу нового виду злочинів. Дистанційно, не виходячи з кімнати, злочинці примудряються красти мільйони доларів, озброївшись лише комп’ютером. Віртуальні кишенькові шахраї успішно конкурують зі своїми реальними колегами. За оцінками компанії McAfee, нинішній рівень розвитку технологій робить інтернет-злочинність, що приносить мільярдні доходи, вигіднішим бізнесом, ніж торгівля наркотиками.

В Україні бізнес інтернет-аферистів за масштабами поступається шахрайству в США, Західній Європі або Росії, але наші злочинці швидко переймають досвід своїх колег з інших країн. «Ми, наприклад, щодня стикаємося зі спробами юних шахраїв через крадені банківські картки поповнити рахунки мобільних телефонів», — розповідає президент міжбанківської системи електронної доставки й оплати рахунків Portmone.com Ігор Горін.

Зростання кількості кіберзлочинів підтверджує і заступник начальника департаменту Головного управління з боротьби з економічними злочинами МВС України Сергій Лебідь. За його словами, 2005 року у сфері електронних платежів було зафіксовано 83 злочини, а в 2007-му — вже 205.

На руках в українців понад 50 млн пластикових карток, у мережі зареєстровано 8,4 млн користувачів інтернету, кількість абонентів мобільного зв’язку перевищила 55 млн. Постійно поповнюються і лави жертв кіберзлочинців.

Мета зловмисників — віртуальні гроші, будь-які платіжні засоби, що не мають фізичного втілення. Оскільки українське законодавство не дає визначення віртуальним грошам, ми до таких зарахували пластикові картки, які дають можливість їхнім власникам скористатися грішми, не знімаючи їх фізично з рахунка. Крім того, це кошти на рахунках мобільних телефонів, а також електронні гроші, введені в обіг платіжними системами спеціально для розрахунків в інтернеті.

Тисяча й один спосіб

Шахраї полегшують чужі гаманці, використовуючи пластикові картки, інтернет, електронні платіжні системи, системи грошових переказів і мобільні телефони. Найбільших збитків завдають карткові шахраї, які крадуть гроші за допомогою пластикових карток.

«Пропонуємо європейські кредитні картки з ПІН-кодом. Усі картки робочі, баланс — від $1 тис. За докладною інформацією і цінами звертайтеся***. Прохання писати тільки у справі».

Інтернет заполонили такі пропозиції. Бізнес карткових шахраїв процвітає, а безкарність тільки підігріває до нього інтерес із боку новачків, які мріють про легку наживу.

Щорічні збитки від шахрайських операцій з банківськими картками у світі оцінюють приблизно у $200 млрд. У нашій країні, за оцінками банкірів, обсяги злодійства сягають $18 млн. Утім, на відміну від американців, чиї картки підробляють найчастіше, українці зазвичай стають жертвами власної неуважності. Переважно шахраї наживаються на вкрадених і загублених картках, з яких знімають готівку в супермаркетах або через банкомати. Підробляти картки клієнтів вітчизняних банків шахраї почали лише кілька років тому, тож поки що такий бізнес не набув масового характеру. Залишки на українських картках невеликі — $500-600. Професійних карткових шахраїв такі суми не цікавлять.

Щоб украсти гроші через платіжні системи (WebMoney, PayCash, Portmone.com, «Яндекс. Деньги») і системи грошових переказів (Western Union, MoneyGram, Anelik), злодії мають виявити неабияку винахідливість. Адже для цього їм треба переконати жертву добровільно розлучитися з грішми. Кіберзлочинці за останні роки вигадали сотні способів виманювання коштів. Найпопулярніший і поки ще найефективніший — продаж неіснуючих товарів в інтернет-магазинах та на онлайн-аукціонах. У мережі процвітають віртуальні фінансові піраміди та інвестиційні фонди. А користувачі електронної пошти щодня отримують десятки листів з повідомленням про виграш у лотерею, пропозиціями про роботу в інтернеті, можливість отримати безплатно товар або кредит на вигідних умовах. Автори таких листів рано чи пізно просять своїх жертв переказати їм певну суму на зазначений рахунок. Оскільки суми незначні, люди необережно надсилають гроші адресатові. Завдяки таким благодійникам кіберзлочинці навіть найнижчого рівня можуть заробляти на місяць до $2 тис.

Для досягнення своїх цілей інтернет-шахраям не доводиться використовувати складні технології. Головне — фантазія. Кілька років тому в інтернеті з’явився сайт американця, який шантажував любителів і захисників живої природи погрозами вбити, засмажити і з’їсти свого кролика до Різдва. Злочинець давав можливість відвідувачам сайту врятувати тварину, запропонувавши зібрати викуп у розмірі якихось $200 тис. Попри абсурдність шантажу, гроші надходили на рахунок афериста, а спеціальний лічильник, розміщений на сайті, показував, скільки ще залишилося зібрати.

Мобільні шахраї завдають неабияких проблем операторам стільникового зв’язку та їхнім абонентам. Ідеальним з погляду злодіїв виявилися sms-сервіси і sms-платежі. Як стверджують оператори, уже кілька років стабільним джерелом доходів злодіїв є розсилання повідомлень абонентам про виграш призу. Щоб отримати його, людині пропонують продиктувати номер картки для поповнення рахунка. Власник мобільного телефону навіть не підозрює, що сам передає гроші в руки злочинців. Таким бізнесом промишляють не лише дрібні злодії, а й цілі угруповання, які заробляють до $50 тис. щомісяця.

Віртуальні Бонні й Клайди

Найбільші кіберзлочини зазвичай скоюють не шахраї-одинаки, а міжнародні угруповання, що створюють мережі з інформаторів та виконавців, серед яких, звісно, й IT-фахівці. За даними досліджень компанії McAfee, кіберзлочинці добирають нових працівників в університетах, комп’ютерних клубах та на онлайн-форумах. При цьому ставку зловмисники роблять на студентів. Часто кіберзлочинцями стають IT-фахівці з країн Східної Європи.

В Україні зламами промишляють здебільшого школярі. 14-річні комп’ютерні генії самі напрошуються у підмайстри до інтернет-шахраїв на спеціалізованих форумах. Юний мозок здатний швидко засвоїти найскладнішу інформацію, тому аферисти із задоволенням користуються послугами підлітків. Кар’єра таких виконавців закінчується зазвичай до 20 років.

Загалом оцінити обсяги злодійства віртуальних грошей складно. По-перше, багато жертв мобільного та інтернет-шахрайства ніколи не заявляють про зникнення грошей. По-друге, правоохоронні органи зазвичай ніколи не виходять на лідерів угруповань, а ловлять здебільшого дрібних найманих робітників, які не володіють корисною для слідства інформацією.

Великі шахраї потрапляють за грати рідко. В Україні відомий лише один такий приклад. У 2005-му міліція оголосила про затримку «батька карткового шахрайства» у СНД, творця сайту сarderplanet.com. Ним виявився 23-річний одесит Дмитро Голубов. Уже через півроку він був на свободі, його вину досі не доведено, хоча слідство все ще триває, а правоохоронні органи назбирали 10 томів справи. Крім того, за хлопця поручилися два народні депутати Володимир Демехін і Володимир Макеєнко. «Я навіть не розбираюся в комп’ютерах», — сказав в інтерв’ю Контрактам 28-річний Голубов. Одесит мріє стати депутатом і вже створив власну партію (Інтернет-партія України).

Захисти себе сам

У зростанні кількості кіберзлочинів, з одного боку, винні самі споживачі. Вони дозволяють обманювати себе, заманювати на фальшиві веб-сайти, необережно користуються реквізитами банківських карток в інтернеті, відмовляються від антивірусних програм. З іншого боку, частина відповідальності лежить на самих банках, платіжних системах, інтернет-магазинах, які не зуміли забезпечити 100% захист своїх систем.

Ще 2004 року Visa і Master Card розробили нові стандарти безпеки PCI Data Security Standard для всіх компаній, що працюють з міжнародними платіжними системами (банків,  сервіс-провайдерів,інтернет-торгівців тощо). Для підтвердження відповідності стандарту підприємства мають пройти обов’язкову процедуру зовнішнього аудиту. В США на заклик Visa і Master Card відгукнулися 40% банків, в Україні єдиною компанією, яка отримала сертифікат, стала Portmone.com. «Встановлення системи безпеки не потребує великих витрат (близько $100 тис.), а ось на підготовку до аудиту може знадобитися більш ніж рік. Тому українські банки не поспішають отримувати сертифікат, адже ліцензію на користування картками в них усе одно не заберуть», — припускає Горін. З 2008 року Visa почне застосовувати штрафні санкції до компаній, які не пройшли аудит.

На думку екс-хакера Neron’a (історія кардера на стор. 40), з упровадженням нових ускладнених систем захисту наявні способи шахрайства поступово зникнуть, а їхнє місце посядуть психологічні методи виманювання грошей. «Немає такої системи, яку не можна зламати, головне питання — чи варто це робити? У якийсь момент злам нових програм захисту виявиться просто нерентабельним», — визнає колишній інтернет-кардер.

Абсолютно нові механізми крадіжок віртуальних грошей з’являться з поширенням технології платежів з мобільного телефону. Але ними займатиметься вже нове покоління шахраїв. А нам поки що розібратися б з нинішніми шахраями і зрозуміти їхню схему крадіжки наших грошей.

Хроніки кіберзлочинів

1994 рік Програміст Володимир Левін зламав комп’ютерну мережу нью-йоркського банку Citibank і зняв з рахунків клієнтів більш ніж $12 млн. У березні 1995-го хакера заарештували. Суд Нью-Йорка засудив Левіна до 3 років позбавлення волі й депортував до Росії.

1999 рік 16-річний хакер Джонатан Джеймс зламав сервер НАСА і вкрав файл із вихідним кодом міжнародної орбітальної станції, завдавши збитків у $1,7 млн. Кіберзлодію загрожували 10 років в’язниці, але покарання йому вдалося уникнути, оскільки на момент злочину він був неповнолітнім.

2001 рік Двом хакерам із Челябінська — 20-річному Олексієві Іванову й 25-річному Василеві Горшкову — вдалося вкрасти з баз даних Western Union 15,7 тис. номерів кредитних карток. Загальні збитки, завдані шахраями, оцінили у $25 млн. Їх затримали в 2001-му. Горшкова позбавили волі на 3 роки, Іванова — на 4.

2005 рік Зламавши у 2005 році базу даних великої американської торговельної мережі TJX, група хакерів за півроку викрала дані про 46,5 млн кредитних карток, якими користувалися її клієнти. Шахраї зняли з украдених карток мільйони доларів. Точний розмір збитків підрахувати так і не вдалося.

2006 рік У 2006 році група хакерів з Росії розіслала клієнтам шведського банку Nordea листа від імені банку з рекомендаціями встановити спеціальну програму захисту від спаму. У програмі виявився вірус, що передавав дані про клієнтів шахраям. Хакерам вдалося вкрасти близько мільйона євро.

Злочин і кара

1 Злочин:

підробка пластикових карток.

Стаття 200 Кримінального кодексу України. Підробка документів на переказ, платіжних карток та інших засобів доступу до банківських рахунків, а також їх придбання, зберігання, перевезення, пересилання з метою збуту.

Покарання: штраф від 8,5 до 17 тис. грн або ув’язнення до 3 років. Якщо шахрай діяв у змові з групою осіб або в разі повторного порушення — ув’язнення від 3 до 5 років.

2 Злочин:

мобільне та інтернет-шахрайство, шахрайство за допомогою платіжних систем і систем грошових переказів.

Стаття 190 Кримінального кодексу України. Шахрайство.

Заволодіння чужим майном, або придбання права на майно шляхом обману, або зловживання довірою.

Покарання: штраф до 850 грн, або виправні роботи строком до 2 років, або обмеження свободи до 3 років.

Шахрайство, здійснене повторно, за попередньою змовою групою осіб або яке завдало значних збитків потерпілому.

Покарання: штраф від 850 до 1700 грн, або виправні роботи строком на 1-2 роки, або обмеження свободи до 5 років, або ув’язнення строком до 3 років.

Шахрайство, скоєне у великих розмірах або шляхом незаконних операцій з використанням електронно-обчислювальної техніки.

Покарання: ув’язнення строком від 3 до 8 років.

Шахрайство, скоєне в особливо великих розмірах або в організованій групі.

Покарання: ув’язнення строком від 5 до 12 років з конфіскацією майна.

3 Злочин:

викрадення банківської інформації.

Стаття 361 Кримінального кодексу України. Несанкціонований збут або поширення інформації з обмеженим доступом, що зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації.

Покарання: штраф у розмірі від 8,5 до 17 тис. грн або ув’язнення строком до 2 років, а в разі повторного скоєння злочину або його скоєння у змові з групою осіб — ув’язнення строком від 2 до 5 років.