По киберпреступности ударят «черными списками»

На минувшей неделе Министерство внутренних дел, Национальный банк Украины и Независимая ассоциация банков объявили о начале масштабной совместной кампании под названием «Противодействие киберпреступности», в рамках которой даже запущен специальный просветительский интернет-ресурс «Антикибер». Причина внезапно возникшего с их стороны интереса к этой теме, на первый взгляд, непонятна ведь никаких резонансных преступлений или громких скандалов, связанных с киберпреступностью, в последнее время не наблюдалось, а официальная статистика по этой линии вовсе не выглядит угрожающей.

Успокаивающая официальная статистика

По данным НБУ, в 2010 г. количество противоправных операций с использованием платежных карточек украинских банков составило 2,9 тыс., в 2011 г. – 7,6 тыс., в 2012 г. – 11,2 тыс. При этом объем неправомерно списанных средств равнялся, соответственно, 6,3; 9,1 и 11,0 млн грн. Как сообщил заместитель председателя Национального банка Украины Валерий Прохоренко, это менее 0,002% (двух тысячных процента) от общей суммы денежных средств, которые были сняты украинцами через банкоматы в 2012 г. А она, между прочим, составляет 741 млрд грн (для сравнения: в 2003 г. – 28 млрд грн).

Приведем еще немного успокаивающих фактов. В 2012 г. в Украине в гнездах банкоматов было обнаружено 80 противоправно установленных скимминговых устройств, в 2011 г. – 45. В России эти цифры равняются, соответственно, 2070 и 397. Если сравнить с Западной Европой, то там за все время существования банкоматов плотность выявленного «чуда преступной техники» составляла 1 скимминговое устройство на 500 банкоматов, а у нас в Украине – всего 1,5 на 10 тыс.

Объясним, что такое скимминговое устройство. Это тончайшая пластинка, изготовленная из крепчайшего металла и напичканная микросхемами. Она тайно помещается в гнездо банкомата, и когда ничего не подозревающий клиент вставляет туда свою карточку, она копирует информацию, содержащуюся на ее магнитной ленте. Затем устройство вынимается, информация переносится на другую магнитную ленту, которая наклеивается на подходящий по размерам кусок белого пластика. И с помощью этой кустарной подделки можно через банкомат снимать деньги со счета клиента. Понятное дело, что вдобавок к описанному выше предмету нужен еще и пин-код. Но этот вопрос решается еще проще: в удобном месте монтируется миниатюрная, но очень мощная видеокамера, которая с высокой точностью снимает движения пальцев человека на клавиатуре.

Как сообщили в Управлении по борьбе с киберпреступностью МВД, мошенников этой категории недавно поймали в Киеве. Это были несколько граждан Румынии, которые накануне Евро-2012 установили в столичных банкоматах несколько скимминговых устройств. К счастью, они вовремя были пойманы и впоследствии осуждены к 3 годам лишения свободы, причем реальным, а не условным.

Оборотни в белых воротничках

Несмотря на этот характерный случай, официальная статистика не дает повода для излишнего беспокойства. Однако чрезмерная активность заинтересованных ведомств косвенно намекает на то, что причина для тревоги есть, и она очень серьезная. Завесу тайны над ней приоткрыла на пресс-конференции директор генерального департамента информационных технологий и платежных систем НБУ Наталья Синявская. Дело в том, что приведенная статистика базируется на информации, которую посчитали нужным предоставить Нацбанку коммерческие банки. Она не отражает и не может отражать реального положения дел, ведь ни для кого не секрет, что банки не желают показывать убытки от мошеннических операций с платежными карточками, опасаясь потерять доверие клиентов. Поэтому на сегодняшний день настоящие объемы мошенничества оценить очень сложно.

Некоторое представление о подлинных масштабах этого вида преступности дал в своем выступлении начальник Управления по борьбе с киберпреступностью Максим Литвинов. Он, в частности, сообщил, что в электронном устройстве одного из задержанных правоохранительными органами мошенников было обнаружено около 200 тыс. дамп платежных карт. Поясним: дампой называется содержание электронной информации, которая наносится на магнитную ленту платежной карточки. Процесс, в ходе которого жулики копируют ее с карточки своей потенциальной жертвы, на языке узких специалистов называется «снимать дампу». Но если на винчестере компьютера одного из аферистов обнаружили 200 тыс. дамп, то весьма сомнительно, что преступники могли собрать их таким громоздко-трудоемким способом, как установка скимминговых устройств – это же сколько нужно обойти банкоматов?!

Гораздо логичнее предположить нечто другое, а именно то, в чем банки не хотят признаваться ни правоохранительным органам, ни, тем более, широкой общественности. Воровать дампы в таких огромных количествах реально могут лишь сами сотрудники банков – те из них, которые в силу своих функциональных обязанностей работают с базами данных клиентов. Этим клеркам ничего не стоит скопировать сотню-другую тысяч дамп заодно с пин-кодами, спрятать в каком-нибудь секретном почтовом ящике, а уже оттуда без лишнего риска через интернет продавать эту информацию специалистам по изготовлению поддельных платежных карт.

Если прикинуть, что по каждой из этих 200 тыс. дамп могли быть изготовлены поддельные карточки, а по каждой из них снято в среднем хотя бы по 1 тыс. грн, в сумме получится цифра, перед которой меркнет приведенная выше официальная статистика Национального банка Украины. А если учесть при этом, что М. Литвинов позволил себе обнародовать лишь малую толику известной ему информации о количестве поступивших в распоряжение злоумышленников дамп, то станет ясно, что масштабы этого явления действительно приняли угрожающий характер.

Конфиденциальные «черные списки»

В этом свете весьма логичной выглядит инициатива банкиров создать под эгидой НБУ единую систему обмена информацией о случаях киберпреступности, куда будут стекаться данные от финансово-кредитных учреждений. На их основе можно будет создавать информационные базы с «черными списками» сотрудников, заподозренных в недобросовестности либо неблагонадежности. Большим плюсом такой базы будет обезличивание источника информации, что в некоторой степени обезопасит банки от репутационных и прочих потерь, стимулируя их заинтересованность «делиться» этой конфиденциальной информацией с другими. Ибо сегодня, как честно признали выступавшие на пресс-конференции финансисты, банку порой удобнее «замять» дело. Наличие же такой единой системы должно кардинально изменить ситуацию.

А в перспективе у отечественных банкиров появится новый серьезный источник головной боли, связанный с развитием системы безналичных денежных расчетов, которая именуется дистанционным банковским обслуживанием (ДБО), а проще говоря – интернет-программой «клиент-банк». В настоящее время отечественные финансовые учреждения обслуживают подобным образом 11 млн клиентов, и число последних с каждым месяцем стремительно растет. Но при этом, как сообщил М. Литвинов, в 2012 г. правоохранительными органами было установлено 139 фактов несанкционированного списания средств со счетов предприятий, которое было произведено путем несанкционированного вмешательства в работу систем ДБО. По всем этим фактам были возбуждены уголовные дела (в некоторых случаях по признакам мошенничества, в некоторых – кражи). Общая сума причиненных убытков составляет 116 млн грн, но 75% из них удалось вернуть потерпевшим.

Это очень интересная тема для исследования ее судебно-юридической составляющей, однако ее мы попытаемся раскрыть в следующих номерах нашей газеты.