Алексей Голенищев: о безопасности криптовалют, дипфейках и новых каналах атак

Логотип компании
Один из видных в РФ экспертов в сфере безопасности платежных систем Алексей Голенищев в своем интервью порталу IT-Word рассказывает о том, с какими новыми рисками столкнутся участники криптовалютных платежей, почему заботиться о криптозащите нужно не только банкам, что нового в социальной инженерии и почему мошенника так трудно распознать.

Алексей, вы — признанный эксперт по вопросам безопасности банковской сферы, со стажем свыше 20 лет, лауреат премии платежной системы Visa за значительный вклад в безопасность карточных операций. Последнее время выступаете независимым экспертом. Почему?

Статус независимого эксперта дает гораздо больше свободы в плане высказывания своего мнения, своей позиции. Нет сдерживающих рамок, которые ставит компания-работодатель. Более того, последние два года, как вы знаете, я работал в ЦБ РФ, возглавлял Центр мониторинга и анализа информационной безопасности и киберустойчивости, а в ЦБ РФ все еще строже.

Сегодня я работаю в новой, очень интересной сфере, где могу применить свои знания. Это криптовалюты, все вопросы, связанные с криптобиржами и криптообменниками, с кибербезопасностью применительно к криптоиндустрии, вопросы комплаенса и внутреннего контроля. Учитывая, что сегодня на глобальном рынке уже функционирует две-три сотни различных блокчейнов и обращается больше тысячи криптовалют, токенов, цифровых финансовых активов (ЦФА) и так далее, это достаточно интересная тема для бизнеса. Капитализация этого рынка достигает порядка $4 трлн. Там, где высоки обороты, процветают и мошенники, а значит, актуальны и антифрод, и комплаенс, и меры противодействия фишингу, социальной инженерии и многим другим мошенническим методикам, позаимствованным ими из арсенала мошеннических операций в банковской сфере.

В РФ в экспериментальном режиме начинается тестирование трансграничных операций с использованием криптовалют. Что он даст участникам ВЭД?

Использование криптовалюты во внешнеэкономической деятельности — тема весьма современная и нужная. Есть очень большие проблемы как для экспортеров, так и для импортеров, работающих с Китаем, Турцией, ОАЭ и многими другими юрисдикциями в оплате контрактов, в возврате экспортной выручки. И применение криптовалют позволяет обезличить источник происхождения платежей, поскольку зачастую сам факт того, что платеж идет из России, является поводом для его блокировки, даже если оплачиваемый товар далеко не подсанкционный. Помимо проблем и рисков на уровне традиционного банковского бизнеса, связанных с фиатными валютами, появляется целый спектр рисков, связанных именно с криптоиндустрией.

Какие риски поджидают пользователей криптовалют?

Блокчейн, на котором работают все криптовалюты, очень безопасная среда. Формат построения этого криптографически защищенного способа хранения и передачи данных — синхронизированные, распределенные реестры — предусматривает, что даже если кому-то из хакеров удастся взломать один из узлов этой цепочки, то изменить, подменить или удалить информацию в таком формате хранения данных невозможно.

Но мошенники взламывают не сам блокчейн, атакам подвергаются криптобиржи, пиринговые платформы, криптокошельки и их владельцы, по аналогии с держателями карт и банковскими приложениями, а также различные программные сервисы, которые написаны поверх блокчейнов. Криптовалюты обеспечивают анонимность платежей очень высокого уровня. Несмотря на то, что блокчейн — это открытая технология, и по адресу криптокошелька, по адресу транзакции любой участник сети может посмотреть, что за операция была проведена, на какие суммы, при этом имен участников транзакции никто узнать не сможет. В лучшем случае такие данные клиентов есть на криптобиржах, когда клиент оставляет их в момент регистрации, но в транзакциях эти данные не участвуют.

Технология криптовалют достаточно молодая — первые криптомонеты появились в 2009 году. И у многих сложилось представление лишь о том, что это сверхволатильный рынок, на котором можно хорошо заработать. В нюансах работы данной технологии и осуществлении платежей разбираются немногие. И мошенники умело этим пользуются. Зафиксировано достаточно много случаев, когда владельцы крипты попадали на сайты мошеннических поддельных криптобирж, проходя по фишинговым ссылкам либо скачивали мошеннические приложения для криптокошельков. Но особенность децентрализованной виртуальной валюты в том и заключается, что средства хранятся не в банке и не на криптобирже, а в блокчейне, ну а в криптокошельке находятся приватные ключи, предоставляющие доступ к криптовалюте владельца кошелька. И как только мошенники получают доступ к этим ключам или выуживают из жертвы Seed-фразу (набор слов, который используется для восстановления криповалютного кошелька при утере закрытого ключа или физического доступа к кошельку), жертва расстается со своей криптовалютой мгновенно.

Каковы сегодня основные тренды в сфере информационной безопасности? Какие отрасли наиболее подвержены DDoS-атакам и с чем связана их уязвимость?

Как я уже сказал, мошенники в плане применения различных видов атак, в том числе и DDoS, активны в тех сегментах и отраслях, где есть большие финансовые обороты. DDoS-атакам подвергаются не только приложения и сайты банков и иных финансовых институтов, но и сферы, которые, казалось бы, не представляют для мошенников особого интереса — нефинансовые компании, сервисные, новостные или информационные ресурсы, турагентства, компании в сфере недвижимости, а также сами ИТ-компании.

Такие атаки могут быть связаны, например, с недобросовестной конкуренцией, поскольку делают невозможной работу того или иного сервиса — он фактически выбывает из строя и не может выполнять свой основной функционал, а атаки могут продолжаться часами. Финансовые организации уже традиционно уделяют вопросам информационной безопасности пристальное внимание. Но компании, напрямую с финансами не связанные, до сих пор не особо беспокоятся о инфраструктурной безопасности, защите корпоративной сети и периметра (причем не только от DDoS-атак, но и от рисков заражения каким-нибудь вредоносным ПО), операционной надежности, киберустойчивости, в том числе защите от DDoS-атак, обеспечении программными и аппаратными средствами информационной безопасности и т. д. Хотя всем известно, что иногда информация может быть гораздо более ценной, чем финансовые ресурсы, а ее утрата или раскрытие способны нанести ущерб гораздо больший, нежели прямые хищения. Есть предприятия с критическими производствами, взлом и несанкционированные изменения, например, в технологических процессах, могут привести к серьезным техногенным последствиям, вплоть до катастроф, и массовым человеческим жертвам. Например, отключение электричества в хирургии, процесса охлаждения на атомной станции, процесса разлива расплавленного металла, сбой в движении поездов.

По данным за 2024 год, предоставленным порталу IT-World компанией BI.ZONE, в 21% случаев главной целью атак на российские организации являлся шпионаж. Группировки, атакующие с целью шпионажа, незаметно проникают в ИТ-инфраструктуру и остаются в ней как можно дольше (иногда до нескольких лет), не нанося видимого ущерба. Достигнув основной цели, они меняют тактику и стараются разрушить ИТ-инфраструктуру жертвы, парализуя процессы компании. Например, с 2022 года шпионский кластер Paper Werewolf реализовал не менее семи кампаний, нацеленных на российский госсектор, энергетику, финансовый сектор, медиа и ряд других отраслей.

Вся новая цифровая реальность, которая и хороша, и удобна, привносит и коррективы в список актуальных рисков. Например, взломы систем «Интернета вещей» (IoT). Если удаленное отключение бытового холодильника грозит лишь тем, что испортится еда, то удаленное отключение каких-то вспомогательных сервисов или тормозов в автомобиле (а такие случаи уже зафиксированы) — аварией.

Сейчас вступает в силу новое законодательство (Федеральные законы № 421-ФЗ и № 420-ФЗ — прим. ред.), устанавливающее ответственность должностных лиц именно за информационные утечки. Причем меры наказания могут быть достаточно суровыми — от крупных штрафов в размере процентов от оборота компании вплоть до уголовной ответственности.

Как вы считаете, эти законы будут работать на практике? Реально ли найти виноватого?

Я думаю, да. Иногда сложно доказать сам факт утечки данных. Как правило, компания, где эта утечка произошла, старается не афишировать такие данные. Когда я работал в ЦБ РФ, мы достаточно серьезно занимались темами утечек данных в плане аналитики, в плане надзора. И на моей памяти не было ни одного случая, чтобы компания, где утечка произошла, созналась бы в этом сразу, а не тогда, когда мы предъявляли ей уже неопровержимые доказательства. А утечки были довольно серьезные.

Как организованы и работают современные хакерские группировки?

Здесь, в принципе, ничего нового. Но меняются технологии, меняются техники. Теперь это не просто холодный обзвон либо рассылка СМС-сообщений с фишинговыми ссылками. Сегодня угрозы достаточно серьезны, в атаках задействуются новые технологии. Например, создаются дипфейки. Злоумышленники проводят целевые, хорошо подготовленные атаки на определенные группы людей и на отдельные личности, поэтому и риски могут быть гораздо выше, и размер ущерба гораздо серьезнее.

У хакерских группировок всегда есть организатор или группа организаторов, кодеры, которые пишут программное обеспечение, тестировщики, которые его тестируют, загрузчики, которые удаленно заражают информационные системы. Один из форм-факторов — мошеннические кол-центры, через которые проходят связанные с обзвоном атаки, сообщники с SIM-боксами, позволяющими организовать мобильный кол-центр и выводить похищенные средства с банковских счетов. Этими группами управляют администраторы, каким-то образом связанные друг с другом. И если целью атак является хищение денежных средств, то задействуется еще группа дропперов.

В середине декабря МВД РФ обнародовал информацию о пресечении деятельности мобильной SIM-фермы, позволявшей подменять номера зарубежных абонентов на российские. С ее помощью телефонные мошенники похищали деньги у россиян, действуя из-за границы. На территории Казани она действовала несколько недель, но за это время мошенники успели дистанционно похитить у россиян около 3 млн рублей. Задержан организатор фермы, обеспечивавший работу оборудования — SIM -бокса, GSM-шлюза и роутеров, которые были спрятаны в автомобильном сабвуфере. Но действовал он по указаниям анонимного куратора из-за рубежа.

Как правило, правоохранительным органам удается задержать дропперов, ликвидировать какой-то из кол-центров, что, к сожалению, не часто, так как в большинстве они находится за границей, но дойти до организаторов атак удается очень редко. К тому же в последнее время организаторы большинства таких атак находятся не только на территории Украины, но и в более безопасных местах где-нибудь на берегу Тихого океана. И могут в любой момент такую же структуру еще раз воссоздать.

Хотя есть немало случаев, когда хакеры действуют в одиночку. В 2018 году был громкий случай, когда 15-летний английский школьник, подверженный аутизму, взломал рабочую почту заместителя директора ФБР, главы ЦРУ, министра внутренней безопасности США, получив доступ к крайне секретной информации - спискам агентов спецслужб, отчетам о секретных операциях и др. Симптомы аутизма, как сообщалось, помогали ему входить в доверие и получать необходимую информацию даже от техподдержки спецслужб.

Суммы, которые мошенникам удается украсть у банковских клиентов, грандиозны. По отчетам ЦБ РФ, по итогам второго квартала 2024 года банковские счета граждан и компаний были обчищены на 4,8 млрд рублей, а по итогам третьего квартала — на 9,3 млрд рублей. По данным МВД, в несколько раз больше. О мошенниках знают почти все, но попадаются на их уловки. Почему?

На мошеннические схемы разводов ведутся даже люди, вроде бы информированные и обученные, и даже работающие в сфере кибербезопасности. И таких случаев немало. Очень часто такие схемы связаны с дипфейками. Например, сейчас распространена схема массового целевого фишинга — рассылка мошеннических писем сотрудникам компании. А поскольку рассылка производится якобы от имени руководства, очень многие таким письмам верят.

Приемов, чтобы «подцепить сотрудника на крючок», очень много — это рассылка файлов якобы с результатами оценки работы сотрудников за год, списками на увольнение, итогами проверки сотрудников, сливших персональные данные в Сеть, списками для проведения консультационных бесед с представителями ФСБ и т. д. А при загрузке файла с этой информацией на гаджет жертвы загружается вредоносное ПО, крадущее логины и пароли от банковских приложений.

Эксперты «Лаборатории Касперского» сообщили IT-World об актуальной в 2024 году схеме распространения троянца Mamont, использующегося для кражи средств пользователей через СМС-банкинг. В схеме задействованы сайты поддельных оптовых интернет-магазинов с привлекательными ценами. Ссылки в контактах магазина вели на закрытый Telegram-чат, в котором троянец рассылался жертвам под видом трекера для отслеживания заказа из интернет-магазина.

Почему компании ИБ не могут справиться с мошенниками?

Справляется лучше тот, кто достаточно хорошо инвестирует в эту область и у кого работают серьезные специалисты по информационной безопасности. Сегодня во многих российских вузах уже преподаются отдельные курсы, и выпускаются специалисты по ИБ.

Сейчас, конечно, есть определенные проблемы с тем, что многие поставщики известных решений по противодействию кибератакам, утечкам данных ушли с российского рынка. Но и раньше были и появляются новые качественные и эффективные отечественные решения и в этой сфере, которые замещают освободившиеся ниши.

Как вы обрисуете последние тренды в мошенничестве в дистанционном банковском обслуживании?

Нельзя сказать, что в каком-то сегменте ДБО, либо еще в каком-то виде и формате банковских операций, дела с мошенничеством обстоят лучше или хуже. Злоумышленники подвергают атакам все каналы. Кто-то из банков придумал карты для семьи с совместным счетом или привязкой к семейной группе, кто-то применяет упрощенную идентификацию клиента при открытии счета — мошенники ищут уязвимости и слабости во всех продуктах, услугах, в каналах предоставления этих услуг.

Правильнее говорить не о том, в каких сегментах ДБО мошенники наиболее активны, а о том, что мошенничество направлено против клиентов кредитных организаций, а дальше все зависит от того, к какому сервису мошеннику удастся получить доступ, какие продукты и услуги к этому сервису привязаны и какими из них он может воспользоваться.

Мошенники понимают, что антифрод-программы и программы фрод-мониторинга банков научились успешно отслеживать аномальные операционные цепочки, начиная от момента поступления входящего звонка на телефон клиента либо повышенного интернет-трафика, после чего клиент начинает совершать в приложении какие-то нехарактерные для него действия. Сейчас для того, чтобы обходить связанные решения, мошенники часто используют тактики «прерванной цепочки», вынуждая жертву снимать наличные в банкомате, и затем уже в другом банкомате вносить эту сумму на «безопасный» счет (счет мошенника) либо отдавать наличные «курьеру» (посреднику мошенников). Таким образом, цепочка до мошеннического счета, которую банк может отследить программными средствами, прерывается — банк видит только операцию по снятию наличных.

Как изменился за последние годы ландшафт банкоматного мошенничества?

Сейчас случаев скимминга, некогда популярной у мошенников кражи реквизитов банковской карты, практически не встречается. По крайней мере, у меня такой информации нет. Переход карточной индустрии на чиповые (EMV) технологии этот риск полностью свел на нет. Несмотря на то, что есть случаи «взлома» чипа в условиях научной лаборатории, в массовом порядке этого не делают — это дорого, да и взламывать одну карточку бессмысленно, когда есть более бюджетные способы хищений. А данные карты, полученные в результате скимминга, в лучшем случае мошенники могли бы использовать для покупок в Интернете — но там они защищены протоколом 3D Secure. Социальная инженерия — вот что менее затратно и более эффективно.

Что нового в социальной инженерии?

Все более популярной становится и тема «фишинг как сервис» (Phishing-as-a-Service). Нужна всего пара сотен долларов, чтобы мошенник смог купить в даркнете этот сервис и, по сути, управлять процессом фишинга, моделировать политики, выстраивать фишинговую кампанию под конкретную потенциальную жертву.

В даркнете продается и пользуется спросом у злоумышленников программный сервис OTP-бот. Этот бот позволяет взломать или обойти двухфакторную аутентификацию, применяемую для подтверждения личности пользователя. В качестве второго фактора верификации чаще всего используется одноразовый код (One Time Password, OTP), и пользователь может получить этот код самыми различными способами — по СМС, в виде голосового сообщения, в письме на почту, в сообщении от официального бота сервиса или в пуш-уведомлении. Для перехвата этих кодов «социальные инженеры» и используют OTP-боты. Бот можно так настроить для звонка, что он очень правдоподобно смоделирует не только живую речь, но и произношение, акцент и сленг. Этот бот «социальные инженеры» сейчас активно используют для кражи одноразовых кодов в популярных мессенджерах, в том числе в телеграмм. OTP-бот может звонить клиенту от имени любого сервиса, банка, службы безопасности, ФСБ — все зависит от того, как мошенник его настроит. Потенциальную жертву называют его по имени и отчеству, и далее в разговоре бот воспроизводит написанный мошенником текст. В момент разговора мошенник, пытаясь получить доступ к личному банковскому кабинету жертвы, инициирует сброс пароля, например, в банковском приложении, и бот под разными предлогами просит клиента назвать его голосом либо ввести в ссылку в Телеграмм-боте.

Сбер и МВД РФ подписали соглашение о сотрудничестве в разработке и совершенствовании технологий для борьбы с дипфейками. Технологии по выявлению дипфейков, позволяющие обнаружить подделку с точностью 98%, Сбер запатентовал в 2022 году Теперь они станут основой для новых решений для борьбы с кибермошенничеством, которые намерен разработать экспертно-криминалистический центр МВД.

Какие каналы общения с потенциальными жертвами мошенники используют наиболее часто?

Мобильные операторы стали очень активно бороться с подменой номеров исходящих звонков, их к этому обязали. Поэтому мошенники быстро освоили такой канал, как мессенджеры. Можно, например, зарегистрировать какой-либо контакт под ником или брендом известной компании или личности, можно подменить номер телефона и контакт звонящего. Но при этом сотовый оператор не будет иметь информации о том, что произведена подмена реквизитов.

Будет, конечно, идти повышенный интернет-трафик, особенно если мошенники задействуют дипфейки. И некоторые операторы и банки уже заявляют, что могут идентифицировать факт риска мошенничества. Тем не менее, пока бороться с мошенничеством с использованием мессенджеров очень тяжело.

По данным на октябрь 2024 года, каждый месяц мессенджером Telegram пользуются 86,78 млн россиян.

Ежемесячная российская аудитория WhatsApp составляет 79% россиян старше 12 лет. Каждый день в этот мессенджер заходят 67% россиян.

Мессенджером Viber пользовались 28 млн россиян. Но с 13 декабря Роскомнадзор сообщил об ограничении Viber на территории РФ за нарушения законодательства.

Мессенджеры — очень удобный канал для того, чтобы подсунуть во время коммуникации потенциальной жертве дипфейк, кружок из видео, сгенерированный голос. Сейчас таких сервисов, и недорогих, и бесплатных, хватает в Сети, и ими легко воспользоваться. Учитывая, что строгого административного надзора и модерирования со стороны владельцев мессенджеров нет, пользователям придется самим научиться определять, общаются ли они с мошенником или своим родственником, другом, знакомым. Но конфиденциальные сведения нельзя сообщать никому.

Да и сами мессенджеры превратились в очень удобные каналы продаж всех этих мошеннических сервисов - платформ по зарабатыванию денег, инвестиций в криптовалюты, услуг, дипфейков, ботов и так далее.

Неудивительно, что у некоторых пользователей растет недоверие к этому виду коммуникаций. Как и к сбору биометрических данных для совершения платежных операций. Все эти пользовательские «фишки», конечно, красивые и удобные. До поры до времени, пока мошенники не находят в ней какую-нибудь уязвимость и не начинают активно ее разрабатывать.

Последнее время очень часто целью «социальных инженеров» является пароль от кабинета на Госуслугах. Что они могут там найти и использовать для мошенничества?

Есть достаточно большое число сервисов, идентификация в которых производится через Госуслуги. Поэтому, если мошенники получили доступ к кабинету в Госуслугах, они могут поменять контактные данные и телефон, и воспользоваться этими сервисами от имени клиента. Например, для получения микрозаймов, для проведения операций с недвижимостью жертвы и т. д. Могут получить личные данные пользователя — данные паспорта, СНИЛСа, полиса ОМС, сведения о пенсионных накоплениях — и воспользоваться ими в следующих атаках.

Учитывая, что сейчас двухфакторная аутентификация для доступа к Госуслугам обязательна для всех пользователей, одноразовые пароли к кабинету могут также выманиваться мошенниками через мессенджеры.

Записала: Наталья Соловьева

Опубликовано 21.12.2024

Похожие статьи