С развитием сферы криптовалют очень остро встали вопросы и кибербезопасности. Мошенничества в Сети - это далеко не новая тема, которая существовала еще задолго до появления цифровых активов. Однако, с годами киберпреступники стали становятся все более изобретательными и масштабы их атак растут. Если раньше речь шла о взломах кошельков и банальном фишинге, то сейчас хакеры парализуют работу государственных компаний.
О том, как развивается киберпреступность, что регулирующие органы предпринимают для борьбы с этой проблемой и какую роль во всем этом играют криптовалюты нам рассказал Алексей Гусев, доцент экономического факультета РУДН. Он работал на руководящих позициях в ведущих российских банках (Уралсиб, Центрокредит, Глобэкс, Петрокоммерц, Русский международный банк), отвечая за построение и развитие систем эффективного обслуживания VIP-клиентов и реализацию технологий private banking. В настоящее время занимается внедренческой практикой и консультированием по данному направлению, а также проводит учебные курсы и семинары в ИМЭБ РУДН.
- За последние годы уровень киберпреступности в криптовалютной сфере существенно вырос. Как вы думаете, с чем связан интерес злоумышленников к цифровым активам.
- Изначально, анонимность и легкость, с которой средства могут отправляться по всему миру, сразу превратили криптовалюты в потенциально привлекательный объект атаки киберпреступников. Оставалось дождаться концентрации капитала в крипте, пока атаки не станут выгодными, что мы и наблюдали перед пандемией по данным Group IB, CipherTrace и Carbon Black. Дальше - уже понятные технологии атак, в основе которых экономика.
Так отдельные кошельки мошенникам были не столь интересны, тогда как криптобиржи и платежные системы пострадали больше всего. Их было проще взломать (о слабой защищенности горячих криптовалютных кошельков, на которых хранились средства пользователей, говорилось неоднократно), чем те же холодные кошельки, а прибыль была несравнимо больше, даже с учетом атак не одиночек-хакеров, а целых организованных команд. Именно командная игра позволяет не только организовать атаку, но и обналичить украденные средства, пропуская их множество раз через систему других криптокошельков, обменников и одноранговых транзакций до того, как обменять их на фиат.
Но уровень защиты растет, а правила КYC уже не позволяют быстро осуществлять непрозрачные транзакции. Однако слабая регулируемость крипты, позволяет до сих пор активно реализовывать мошеннические ICO и фейковые Twitter-аккаунты, использующие технологии тех же нигерийских писем в маркетинговом продвижении, но все это происходило до поры до времени, как и незаконный майнинг — криптоджекинг. Все мы учимся, и здесь положительная динамика налицо.
- А если говорить об уровне киберпреступности, то случаи мошенничества возросли или люди стали внимательнее относиться к хранению цифровых активов?
- Если быть точным, то мы наблюдаем сейчас лишь незначительный рост индивидуальных платежей на мошеннические адреса, тогда как новыми жертвами становятся те, кто не следит за уже апробированными до пандемии схемами мошенничества, и это новые игроки, привлеченные на рынок крипты как раз сейчас, во многом на волне хейпа альтернативных инвестиций. Но в целом объем мошенничества падает. Крупномасштабных схем Понци (финансовых пирамид на основе тех же мошенническихе ICO и фейковых Twitter-аккаунты) гораздо меньше. В конце-концов, переплюнуть шесть схем (одна PlusToken афера, чего стоит!) на которые в 2019 году пришлось 7 млрд. долларов криптовалюты, что более чем в два раза больше, чем все категории мошенничества, совершенных в 2020 году, уже невозможно! И не будем забывать, что несмотря на то что объем транзакций, связанных с криминалом криптовалют составляет порядка 10-15 млрд. долларов, и даже растет в постковидной экономике, его доля от всего объема транзакций криптовалют не превышает половины процента. Фактически она весьма незначительна, а в связи со значительным ростом интереса к крипте (объективный рост постковидной экономики), и существенно падает, просто за счет увеличения общего объема операций.
- Если в целом говорить о криптовалютах и преступности, то известно, что цифровые активы нередко используются для спонсирования незаконной деятельности: торговля оружием и наркотиками, терроризм и т. д. Почему теневой рынок отказался от фиата в пользу цифровых активов?
- Давайте начнем с того, что часто власти аргументируют какие-либо ограничения наших свобод защитой спонсирования незаконной деятельности: торговля оружием и наркотиками, терроризм и т. д., прикрывая различные лоббистские идеи этой высокой целью. Тем более анонимность и неподконтрольность криптовалют предоставляют для этого весомые аргументы. Еще где-то в середине прошлого десятилетия была на слуху дискуссия о том, что именно биткоин используется для финансирования терактов, которая весьма наглядно проецируется на нынешнюю ситуацию по крипте вообще.
Напомню тезисы не потерявшие актуальность:
- Криптовалюта остается привлекательной для террористов, отмывания денег и преступности из-за анонимности, глобальной доступности, скорости передачи денег, отсутствии дополнительной проверки или валидации, низкой комиссии за сам перевод, простоты использования, сложности в отслеживании транзакций, слабом регулировании.
- При этом криптовалюта может быть и непривлекательной, причем по тем же причинам, что и для всех пользователей, не обязательно исключительно для злоумышленников. Здесь могут оказаться существенными сходные риски непредсказуемости смены курсов, взлома кошельков и бирж, более четкого отслеживания транзакций со стороны различных регуляторов.Также конвертация в фиат осложняется выбором тех практик которым можно доверять. В любом случае криптовалюту надо вывести и использовать для каких-то операций в рамках общей схемы работы злоумышленника.
- То есть криптовалюты, с одной стороны, привлекательны для осуществления незаконной деятельности, но с другой, и для самих мошенников являются довольно рискованным вариантом?
- Да крипта хороша, если ее рассматривать как отдельную частную операцию, например, перевода средств. Но эти средства надо обналичить, отмыть, ими профинансировать покупку того-же оружия. А там FATF со своими требованиями к биткоин-биржам по соблюдению процедур AML и CFT, которые даже сейчас не всегда реализуются, но со временем будут все-равно внедрены. Исходя из этого, злоумышленникам гораздо эффективнее осуществить все операции через фиат, через традиционную банковскую систему. Для этого существуют и давно разработаны совершенно другие схемы работы, которые прекрасно адаптируются к новым условиям, и включают в себя возможности новых технологий (тот же мессенджер Telegram и соцсети, в качестве еще одного примера, поэтому давайте и их запретим!). Здесь нельзя ссылаться только на биткоин, рассматривая его, как причину процветания преступной деятельности. в этом деле нужен комплексный подход.
- Выходит, проблема довольно глобальна и действительно требует разностороннего подхода. Что же предпринимается регуляторами для ее предотвращения?
- К сожалению, в этой сфере мало что изменилось. Только-только появляется аналитика, свидетельствующая о зрелости подхода к проблеме. Те же новые исследования уже напрямую посвященные более конкретным ситуациям о том, как в новой цифровой экономике меняются предпочтения, в частности при осуществлении тех же транзакций, например у наркопреступников, в зависимости от их функций как организаторов, координаторов, контрабандистов, наркокурьеров, разработчиков психоактивных веществ, «маркетологов», «складменов», «диспетчеров», «кураторов», «кадровиков», закладчиков («кладмены»), «кассиров», «промоутеров» («граффитчиков», «райтеров», «трафаретчиков», «спамеров»), «коллекторов» и «дроппперов».
Да, периодически обнародуются случаи поимки каких-нибудь международных террористов, которые собирали донаты по подписке через какую-нибудь крипту, ареста нарокодельцов, с конфискацией их криптокошельков, предложением, ввести на законодательном уровне арест криптоактивов полученных незаконным путем. Но глобально, все остается по-прежнему. Ведь регуляторы смотрят на крипту по-прежнему отдельно, а террористы в комплексе, как на одно из средств в рамках общей схемы финансирования, поддержки и вывода заработанных средств на данный конкретный момент. И в этом существенно опережают регуляторов, которые не могут жестко ограничить крипту, поскольку ей пользуются не только злоумышленники.
- Если говорить кибербезопасности более глобально, то что больше способствует росту киберпреступности: недостаточная грамотность пользователей по вопросам безопасности и способов защиты своих данных и цифровых активов или стремительное развитие технологий, которыми пользуются мошенники? Или у вас есть свое мнение по этому поводу?
- Скорее всего, здесь правильней говорить о том, что мошенники просто лучше владеют теми новыми технологиями, которые появляются в повседневной практике, причем используют их в своих целях. И это объективно. То, что мы теперь живем в новой цифровой действительности – реальность, которую восприняли далеко не все. Именно последние и есть объект атак преступника, который пока просто пользуется их незнанием. Но все это до поры, до времени. Когда общая грамотность, на примерах резонансных афер и в рамках «средней температуры по больнице» начинает расти, мошенникам приходится придумывать что-то принципиально новое.
То же самое бывало неоднократно и ранее, достаточно вспомнить резонансные случаи с различными «пирамидами». Тогда все тоже о финансовой грамотности. Но постепенно такие аферы сходят на нет, хотя отдельные, редкие казусы еще до сих пор и случаются. То же самое и с кибербезопасностью происходит сейчас. Цифровая реальность, необходимость «беречь цифровой след смолоду» - есть не что иное, как новое умение, новая грамотность как правильно вести себя в нынешнем цифровом мире. Существенное отличие лишь в том, что сами технологии здесь начинают эволюционировать гораздо быстрее, так что разрыв, пока большая часть населения еще не привыкла к этому, растет гораздо быстрее. Это уже немного другая парадигма – надо научиться менять свои привычки гораздо быстрее, чем раньше. В конце-концов, надо привыкнуть к тому, что необходимо даже не меняться, а просто учиться чему-то новому в цифровом мире, который нас уже окружает, теперь приходится гораздо быстрее. А пока к этим изменениям и тому, что учиться новому надо быстрее, гораздо лучше готов именно кибермошенник.
- Выходит, все сводится к тому, что победителем выйдет тот, кто окажется быстрее, прозорливее и умнее?
- Когда мы говорим о технологиях цифрового мошенничества, нужно уточнить следующее. Кибермошенник лучше владеет не только меняющимися технологиями хард скилз, напрямую связанными именно с цифровой спецификой и объективным разрывом в понимании их с общей массой населения, но и софт скилз, ориентированными на психологию конкретного человека, его старые, привычки и поведение стремительно устаревающее в новом цифровом мире.
Посмотрите, как радикально изменилась социальная инженерия, которая позволяет достаточно точно определить тот же психологический профиль конкретного человека так, чтобы он отреагировал на конкретное предложение мошенника – это просто высший пилотаж психологического воздействия! Казалось, все привыкли к фишингу и не открывают подозрительные письма, но добавьте коммент в виде «новые требования государственного регулятора» и кто-то из финансистов все-таки откроет письмо!
Так что одним-лишь изучением новых цифровых технологий, причем изучением, которое надо будет для себя поставить на поток, защита от кибермошенников не ограничивается. Приходится поневоле изучать азы той же психологии, чего ранее почти не встречалось. И придется ликвидировать не один разрыв, а еще и второй, уже в восприятии. Хотя в этом разве что может помочь та же общая финансовая грамотность, надо лишь этим суметь воспользоваться. В конце-концов, как нас заставляют покупать в супермаркетах определенные товары, которые нам не очень нужны, мы в целом и общем понимаем. Надо лишь суметь провести соответствующие аналогии. Но пока разрыв и здесь в цифровом мире слишком большой. Посмотрим, как он будет меняться.
- А как вы оцениваете кибернетические угрозы современности? Есть мнение, что угрозы стали серьезнее, так как затрагивают не только частных пользователей и но и целые компании и даже государственные структуры. Вы согласны с этим?
- Здесь важно понять монетизацию. Атаковать будут того, кого атаковать эффективней. И надо считать экономику. Прибыль. Издержки. Готовые наработки, которые можно адаптировать. Компания-банк-государство? Да, денег больше, но появляются издержки индивидуальной подготовки, плюс надо суметь замести следы. И еще не просто вывести – обналичить, так чтоб никто не заметил! С частника, если не говорить о состоятельных VIP-клиентах, можно взять меньше, но издержки на персонификацию гораздо меньше, и возможно неплохое масштабирование, когда одна и та-же атака идет сразу на несколько клиентов. Вот тут-то и посчитаем затраты и суммарную прибыль. Где, как и кому выгодно. Вроде бы простейшая рыночная экономика атак и защиты, где в последнем случае достаточно защищаться не лучше всех, или не на уровне затрат на защиту в виде процента макисмальной суммы возможных потерь, а «средняя температура по больнице (в плане защиты) плюс один», так чтобы атаковали соседа, а не меня.
- Получается, здесь не все так очевидно, как кажется на первый взгляд?
- Как раз сейчас экономика уже не всегда работает. Атаки хакеров, близких к государственным структурам, фактически спонсируемые государством и в его интересах - это первый пример иной экономики. Второй - атака на компанию критической инфраструктуры, которая может быть легко проведена хорошо известными средствами.
Социальной инженерией вскрывается защитный периметр и получается доступ к управляющим системам базового уровня. То есть не сам работник атомной станции устанавливают медиа-плеер с вирусом, а через бухгалтерскую, самообновляемую систему получается доступ к управлению стержнями атомного реактора. Причем неожиданный доступ, поскольку атака идет массовая на обычные бухгалтерские программы любой компании, не обязательно из атомной промышленности. Только вот риски совершенно другие, поскольку запускается шифровальщик, действия которых нивелируются, если Вы не заплатите, скажем, десятую часть биткоина (усредненная цифра оценки возможных потерь и приемлемой оплаты). А что, даже полицейские участки на Западе таким образом атаковали, и успешно! Только вот возможный ущерб, если атомная станция с ее бюрократией принятия решения, не сможет вовремя заплатить, будет уже на уровне Чернобыля!
И кто это все начал? Часто не профи, а и молодой, только проходящий курс молодого бойца, ученик хакера. Он только отрабатывает навыки и еще не имеет опыта, поэтому и ударил по площадям. Ему что частное лицо, малый бизнес, или отдельное юридическое лицо, что дочернее предприятие, осуществляющее юридическую поддержку атомного холдинга, все едино! А экономика уже другая. С учетом специфических узкоспециализированных и легко тиражируемых атак в период пандемии и постковидной экономики, до их прямой адаптации для атак на атомные станции, даже с учетом, что защита не стоит на месте, совсем близко. Это и пугает.
- Уверена, для многих читателей эта информация будет неожиданной, что проблемы кибербезопасности стали уже настолько глобальными и пугающими. Тогда остановимся подробнее о методах киберпреступников. Известно, что чаще всего злоумышленники используют вирусы или другое вредоносное ПО для того, чтобы завладеть личными данными и с помощью них взломать криптокошельки пользователей и т. д. Эти “фишки” используются мошенниками десятилетиями: электронные письма с ссылками на вредоносное ПО, скачивание программ из непроверенных источников, переход по подозрительным ссылкам в Сети. Почему люди до сих пор становятся жертвами таких атак? Почему все еще нет эффективного способа борьбы с вирусами и вредоносным ПО?
- Давайте начнем с того, что 100% гарантии от атак нет. При желании можно вскрыть защиту различными вариантами атак. Останавливает лишь цена вопроса – издержки, прибыль, последующая безопасность для злоумышленника. Например, вскрыть банк и похитить миллионы можно, а вот безопасно обналичить такую сумму?
Да и вредоносное ПО уже не то, что буквально пару лет назад. Это не отдельная программа, а даже если и программа, то она интересна в комплексе мер, как заключительный вектор подготовленной атаки. Вскрыть письмо с вирусом можно было и десять лет назад, а вот вскрыть подмененное письмо от конкретной компании, в котором стоят необходимые реквизиты и которое сейчас ждет сейчас финансовый директор, это уже технологии сегодняшнего дня, как и та же подмена номера при внешнем звонке. Нет, к вчерашней войне мы более-менее готовы, но при желании всегда можно придумать что-то новое, а главное - найти слабое звено, которое, как и десять лет тому назад, найдет перед входом на работу флэшку, вставит ее, слава богу уже не в рабочий компьютер (спасибо тем кто занимается информационной безопасностью – хоть чему-то научили!), а в домашний, где стоит антивирус, не обновленный по забывчивости уже пару месяцев, и запустит файл с какой-нибудь игрушкой. А там уж и персональные данные.
- Можно сделать вывод, что не последнюю роль в этом играет человеческий фактор?
- Забывчивы мы, забывчивы в общей массе, хотя число готовых обманываться, постоянно сокращается. Слабо учимся мы на чужих ошибках, слабо. Только на своих! До сих пор срабатывают всем известные нигерийские письма, не говоря о уже об их модификациях типа, «я обнаружил на Вашем компе нелицензионное программное обеспечение и детскую порнографию. Не хотите, чтобы я переслал эту информацию в следственные органы – заплатите по этим реквизитам!».
Не будем забывать и о том, что и сам список действий по обеспечению защиты (и не 100% защиты, а так, косметической, на уровне техминимума буфетчика, но хоть какой-то) постоянно растет и усложняется. Молодежь эту гонку сложности еще воспринимает, а остальные? Нет-нет, лучший вариант защиты – это постоянные проверки, с попыткой проникновения, и жесткое наказание тех, кто не следует правилам. Только так. Продаем не управление рисками, а фактически страх!
- Теперь о глобальном. Хакерские группировки в последнее время выходят на новый уровень. Достаточно вспомнить недавний случай в США, когда действие киберпреступников парализовало действие трубопровода. Какие угрозы для международной безопасности несут новые вирусы и что нужно предпринять для противостояния таким угрозам?
- Насчет атаки трубопровода, я бы не говорил о новом уровне – все в рамках прогноза и описания действий группировок, где я бы упомянул хорошие и качественные исследования Group IB и Positive. Есть экономика – что эффективнее атаковать, есть группы связанные с государством – нанесем значительный вред конкретной компании или оттестируем на примере мелкой инфраструктурной фирмы возможность грохнуть всю трубопроводную сеть. Просто это стало более отчетливо и обсуждаемо. Но не факт, что это сразу же к чему-то приведет.
Вот возьмем совсем простой и наглядный пример так расплодившихся у нас в пандемию мошеннических мобильных колл-центров из 25-30 легко набираемых по объявлению сотрудников с чистой прибылью под 50-75 млн.руб. в месяц, которые так и не исчезают, хотя отдельные из них периодически разоблачаются правоохранителями. Нет-нет, слава Богу, Президент в марте подписал закон, по которому ФСИН может обязать сотовых операторов отключить связь в местах не столь отдаленных, и звонки из последних почти прекратились. Но остались русскоязычные колл-центры на Украине. Попробуй закрой. Только международное взаимодействие. Что и описывается во всех учебниках, когда идет речь о противостоянии преступным группировкам и о международной безопасности и о киберзащите в рамках страновой экономической безопасности. Аналогии-аналогиями, но не будем забывать, что почти половина оставшихся колл-центров - у нас внутри страны. Сейчас не март, а июль, и тут-то ситуация не слишком изменилась!
- Как вы считаете, достаточно ли серьезно правительства стран относятся к нависшей угрозе со стороны киберпреступников? Если говорить о России, какие меры принимаются у нас, чтобы бороться с этой проблемой. В какой стране, по вашему мнению, наиболее ответственно подошли к решению этого вопроса?
- То, что идет атака не только на экономику страны, но и в рамках гибридной войны, сразу определяет значимость не просто выявления, но и неизбежного наказания. В последнем сильны, хотя и не всегда в рамках своего же законодательства американцы, за ними европейцы и Китай. Выскажу парадоксальное мнение, но в России, Украине и Белоруссии все более-менее хорошо вопреки экономике киберпреступности. Просто в большинстве группировок состоят наши с Вами соотечественники. А по своим бить, как-то не принято. Ну такая своеобразная этика. Вот по чужим да! На этом, кстати, во многом строится и вербовка новых членов.
- В завершении, дайте несколько советов нашим читателям. Как пользователям Сети защититься от угроз в киберпространстве?
- Не буду оригинален и повторюсь. Береги цифровой след смолоду! Никому верить нельзя, мне…. тоже.
Любые защитные меры усложняют нам жизнь. Подумайте за что Вы готовы платить, например подключаясь к публичному WiFi, где злоумышленник может получить доступ к Вашему устройству? Абсолютной защиты нет, и не будет. Но составьте список, оцените риски. Это хоть что-то на первый раз.
