Всего новостей: 2554804, выбрано 4 за 0.001 с.

Новости. Обзор СМИ  Рубрикатор поиска + личные списки

?
?
?  
главное   даты  № 

Добавлено за Сортировать по дате публикации  | источнику  | номеру 

отмечено 0 новостей:
Избранное
Списков нет

Сачков Илья в отраслях: СМИ, ИТвсе
Сачков Илья в отраслях: СМИ, ИТвсе
Россия. Евросоюз > СМИ, ИТ > forbes.ru, 3 июля 2018 > № 2662648 Илья Сачков

Небезопасная политика: чем обернется уход Касперского из Европы

Илья Сачков

Основатель компании в сфере информационной безопасности Group-IB

Компания Евгения Касперского рискует вместе с европейскими клиентами потерять не только деньги, но и доступ к данным, необходимым для развития новых продуктов. А Европа может остаться без главной преграды на пути русскоязычных киберпреступников

Я часто говорю коллегам: неважно, насколько высоко ты забрался, важно, как долго ты сможешь удержаться на этом уровне. История с «Лабораторией Касперского», которая объявила о вынужденной приостановке сотрудничества с европейскими правоохранительными органами, включая Европол (на фоне решения Европарламента принять резолюцию об усилении киберзащиты от России, Китая и КНДР), — как раз об этом.

Выход на европейский рынок для компании с московской пропиской всегда был непростой задачей. Сейчас компании, работающие в странах Евросоюза, проходят очередную проверку на прочность своих позиций прежде всего в силу обострившихся политических отношений между Европой и Россией. Безусловно, свое влияние на происходящие процессы оказывают США. Означает ли это, что пора сворачиваться? Нет.

Что теряет «Лаборатория Касперского»?

Если обычная компания уходит с рынка, она теряет деньги. Если компания, специализирующаяся на кибербезопасности, уходит с рынка, она теряет данные и деньги. Современный уровень развития технологий информационной защиты требует постоянного обучения своих систем (и машинного, и ручного). Объясню проще: системы получают данные в результате работы команды компьютерной безопасности по реагированию на инциденты (incident response — это когда, предположим, взломали банк, приехали специалисты ПО и разобрались, как технически произошла атака), а также в результате постоянного изучения методов, инструментов и технологий, применяемых киберпреступностью в каждом конкретном регионе (это threat Intelligence, то есть киберразведка). Кроме того, поставщиками данных являются сами продукты для раннего предупреждения атак, позволяющие выявить все формы вредоносного кода, который «стучится» в сети локальных компаний (это класс продуктов Threat Detection System, например). Все эти источники данных обогащают продукты вендора и делают их более сильными в деле противостояния киберугрозам в любой стране и на любом континенте.

Хакеры по большей части сфокусированы на деньгах: в разных странах они будут стремиться атаковать ту инфраструктуру и те компании, в которых эти деньги есть. Только изучая профиль злоумышленника в каждой стране, можно бороться с киберпреступностью в глобальном пространстве. Такова специфика работы вендоров в области «инфобеза». Теряя рынок, теряешь знания и становишься слабее технологически. Это важно понимать.

И страдает не только продукт. Страдает бизнес, который годами защищался с помощью этого продукта, а теперь вынужден искать замену: это перестройка процессов, технологической стратегии, ресурсного обеспечения. И снова убытки.

Думаю, в долгосрочной перспективе «Лаборатория Касперского» сумеет восполнить денежную просадку, образовавшуюся из-за ухода с европейского рынка, за счет клиентов в Латинской Америке и Азии. Но уходить из Европы нельзя по другим, нефинансовым, причинам. Во-первых, рынок Европы является одним из самых высокоразвитых. Правоохранительная система здесь представляет собой один из немногих примеров эффективных расследований компьютерных преступлений во всем мире. В Европе работают важные организации в сфере борьбе с киберкриминалом: Совет Европы, ОБСЕ и, безусловно, Европол.

Есть известное высказывание: «То, как ты встречаешь поражения, определяет твой успех» (она принадлежит певцу Дэвиду Фегерти). На мой взгляд, даже если какая-либо компания получает от государства недружественный сигнал, то это еще не повод паковать вещи. Повторюсь: уход означает глобальную потерю прежде всего аналитических возможностей, необходимых для обеспечения защиты клиентов в других странах. Учитывая, что в Европе находится ряд глобальных объектов критической инфраструктуры, разрыв отношений с ней лишит компанию Евгения Касперского возможности изучать угрозы и разрабатывать глобальные инновационные технологии для борьбы с киберпреступлениями и кибершпионажем.

Что теряет Европа?

Было бы ошибкой полагать, что, выдав «ноту недоверия» такой компании, как «Лаборатория Касперского», европейский рынок, защитив свои политические интересы, не потеряет экономически. Глобальных игроков рынка информационной безопасности с международной сетью аналитики Европа фактически не имеет. Ни Avast (Чехия), ни ESET (Словакия), ни Sophos (UK), ни другие компании назвать лидерами по экспертизе в области анализа международных угроз, киберразведки и, главное, глобальной аналитики пока нельзя. Это во-первых.

Во-вторых, все крупнейшие киберпреступления на территории Европы — чаще всего дело рук русскоязычных хакерских групп (не русских, а именно русскоязычных — это важное отличие). По официальной статистике Европола, 15 из 18 кейсов в области информационной безопасности, которыми он занимается, связаны с русскоязычной киберпреступностью. Ими, например, созданы все новые Android-трояны, ущерб от которых неуклонно растет (по нашим данным, рост только в России по итогам 2017-го составил 136%). При этом ни одна европейская компания не имеет крупного аналитического центра, занимающегося изучением и анализом инцидентов информационной безопасности, на территории государств бывшего советского пространства. Действуя против глобальных игроков с российскими корнями, в долгосрочной перспективе Европа снижает собственный уровень информационной безопасности.

На мой взгляд, наиболее адекватным решением в данной ситуации было бы внедрение на уровне государства тактики эшелонированной защиты. Когда в одной инфраструктуре используются продукты и технологии нескольких вендоров (проще говоря, они «стоят» друг за другом и анализируют зеркалируемый трафик). Тогда никакой «вотум недоверия» не скажется на уровне обеспечения информационной безопасности в организации в целом. Если говорить еще проще, технологии будут проверять и перепроверять друг друга, уровень детектирования угроз вырастет, благодаря чему риск утечки данных или реализации каких-либо других рисков будет минимизирован, а сам рынок будет по-прежнему защищен как от киберугроз, так и от последствий сиюминутных политических решений. Вопросы кибербезопасности должны быть вне политики. И только так.

Есть ли выход? Думаю, в ближайшее время самой «Лаборатории Касперского» исправить ситуацию вряд ли удастся. Компания выбрала такой путь, это ее право. Но данный шаг ни в коем случае не означает, что другим российским игрокам, как стремящимся на рынок Европы, так и уже работающим на нем, дверь закрыта.

Россия. Евросоюз > СМИ, ИТ > forbes.ru, 3 июля 2018 > № 2662648 Илья Сачков


Россия > СМИ, ИТ. Финансы, банки > forbes.ru, 27 февраля 2018 > № 2514609 Илья Сачков

Безудержный взлом. Почему так трудно вернуть деньги, похищенные хакером

Илья Сачков

Основатель компании в сфере информационной безопасности Group-IB

Сейчас практически невозможно вернуть из-за границы средства, украденные хакерами в России. Гораздо проще и эффективнее предотвращать кибератаки еще на этапе их подготовки

В октябре 2017 года хакеры из северокорейской группы Lazarus атаковали банк Far Eastern International Bank на Тайване. Получив доступ к международной системе передачи финансовых сообщений и платежей SWIFT, киберпреступники смогли вывести почти $60 млн на счета в Камбодже, США и на Шри-Ланке. Полиция заблокировала три счета на Шри-Ланке с $1,3 млн и задержала двух человек, пытавшихся снять в банке деньги.

Киберпреступность становится еще более быстрой, масштабной и трансграничной. Лучше всего это заметно на примере целевых атак на банки с использованием SWIFT. Хакеры находятся в одной стране, их жертва-банк — в другой, а обналичивание происходит в третьей.

Атаки с использованием SWIFT в прошлом году прокатились по всему миру. Они были зафиксированы в Эквадоре и Непале, а в конце 2017 года впервые в истории российской финансовой сферы группа Cobalt провела успешную целевую атаку на российский банк с использованием SWIFT. Хакеры пытались украсть 55 млн рублей, но, как сообщали СМИ, вывести им удалось только 10% — остальные транзакции были оперативно заблокированы.

Впрочем, в середине февраля Банк России объявил, что потери гораздо серьезнее. Оценивая прошлогодний ущерб российских банков и платежных систем от действий киберпреступников в 1,35 млрд рублей, регулятор уточнил, что в результате одной успешной атаки из банка вывели через SWIFT 339,5 млн рублей. Какую сумму удалось вернуть в Россию и удалось ли вообще — ЦБ не уточнил.

Для того чтобы оперативно замораживать и возвращать деньги, выведенные за рубеж в результате кибератак, Центробанк предлагает использовать возможности Росфинмониторинга и систему взаимодействия финразведок 150 государств и юрисдикций, входящих в группу подразделений финансовой разведки «Эгмонт». Росфинмониторинг — член «Эгмонт» с 2002 года, и в прошлом году он даже стал победителем конкурса Best Egmont Case Award (BECA).

Каждый за себя

Из-за масштаба проблем рынку стоит поддерживать инициативы, направленные на арест денег киберпреступников и разрушение их финансовой экосистемы. Однако идея ЦБ нуждается в существенной доработке, так как в предложенном формате она вряд ли «выстрелит». Основные трудности связаны с различиями в законодательстве стран, входящих в «Эгмонт», и отсутствием оперативного взаимодействия между финразведками разных государств.

У Росфинмониторинга нет инструментов и полномочий блокировать транзакции, которые уходят за рубеж, в режиме реального времени. Росфинмониторинг, хоть он и называется финразведкой, не занимается оперативно-розыскной деятельностью — ведомство только накапливает информацию о сомнительных сделках, подпадающих под действие закона об отмывании доходов.

Деньги, похищенные в результате кибератак, быстро перебрасываются на другие счета и размываются. Координация работы международных ведомств должна достигаться в течение нескольких часов, еще лучше — минут. Пока же финразведки мира не взаимодействуют в круглосуточном режиме, а скорость реагирования на запросы составляет 30-60 суток. Мгновенное реагирование осуществляется только на уровне прямых контактов руководства.

Стоит учесть, что на фоне санкций и политического противостояния между государствами общий язык можно найти далеко не со всеми. К слову, этим пользуются киберпреступники — они часто выводят деньги или скрываются в странах, где потерпевшая сторона не сможет их достать в силу определенных межгосударственных процессов.

Сейчас даже внутри России у банков нет возможности быстро блокировать и задерживать денежные средства. Например, у некой аптеки похитили логин и пароль электронной подписи и от ее имени купили 30 экскаваторов. На самом деле злоумышленники провели платежи на большую сумму и написали договор о покупке машин, которых не существовало. Банальное хищение средств: деньги уходят из одного банка в другой, оттуда еще в пять других банков, после чего успешно обналичиваются. Сами банки ничего сделать в такой ситуации не могут.

Учитывая, что платеж совершен с использованием легальной подписи и формально выглядит законно — банк не имеет права, опираясь на свои подозрения, задержать средства, тем более на долгое время. А для того чтобы подтвердить факт хищения, необходима криминалистическая экспертиза инфицированного компьютера того же аптечного бухгалтера, по результатам которой можно возбудить уголовное дело и потенциально получить судебное решение на арест средств. Очевидно, этот процесс может занимать от одного месяца и больше.

Кооперация против хакеров

В одиночку ни у одного государства нет возможности эффективно бороться с киберпреступностью, которая не имеет границ. Сейчас на уровне ООН необходима разработка и синхронизация законов о противодействии киберкриминалу. Нужен обмен оперативной информацией между правоохранительными органами разных стран в режиме реального времени, а также четкие правила блокировки счетов, через которые выводят деньги, и неблагонадежных транзакций в режиме 24/7.

Отказывать в проведении платежей, замораживать счета — это верное, но второстепенное решение. Когда боксер на ринге уже пропустил «двоечку» и летит в нокаут, поздно ставить блок — самое время вдохнуть нашатыря и приложить пакет со льдом. То, что реально нужно финансовым организациям — это технологии предотвращения преступлений на максимально ранней стадии. Это может быть мониторинг активности кибепреступников на закрытых хакерских форумах, где продают новые банковские трояны, собирают группы для совершения преступлений, а также сбор и анализ технической информации, «цифровых следов» уже совершенных атак и своевременное предупреждение кредитных организаций о готовящихся атаках.

Россия > СМИ, ИТ. Финансы, банки > forbes.ru, 27 февраля 2018 > № 2514609 Илья Сачков


Россия > СМИ, ИТ > inosmi.ru, 4 июля 2017 > № 2231468 Илья Сачков

«Нельзя выиграть бой, когда ты один на ринге»

«Те, кто защищает критически важную инфраструктуру, считают, что они в безопасности; это связано с тем, что хакеры „охотятся" за деньгами в каком-то другом месте»

К. Бхарат Кумар (K. Bharat Kumar), The Hindu, Индия

Илья Сачков — генеральный директор российский компании Group-IB, работающей в сфере информационной безопасности. Он выглядит и ведет себя как настоящий интеллектуал в сфере программирования: блестящие манеры, обходительность, невозмутимость — даже тогда, когда сообщает шокирующую информацию в самом разгаре интервью для The Hindu. Он достает ноутбук, загружает защитную программу, разработанную его компанией, и показывает экран автору статьи, а там… информация о последней успешной атаке хакеров и кража ими учетных данных пользователя из Министерства иностранных дел на домене, принадлежащем правительству Индии.

Group-IB, основанная господином Сачковым 14 лет назад, недавно участвовала в преследовании злоумышленников, и это был 120-й случай совершения киберпреступления, которым она занималась. Последнее преступление оказалось наиболее тяжким — преступники были осуждены на 20 лет за мошенничество, от которого пострадали люди в 60 странах.

Выдержки:

The Hindu: Похоже, что сейчас наблюдается резкий рост числа киберпреступлений. Почему?

Илья Сачков: Организованная киберпреступность в основном имеет целью получение денег. Здесь распространено мошенничество в банковской сфере. Когда хакеры атакуют корпоративные аккаунты, они могут также повлиять на работу критически важной инфраструктуры. Однако если разобраться, цель взлома — получить деньги. Соотношение случаев взлома ради получения денег к количеству взломов, совершаемых с другими целями (доступ к политической информации или кибертерроризм) — 99 к одному. Когда инструменты, которые используют для взломов ради наживы, начинают применять для кибершпионажа, — это опасно. В обоих сценариях одни и те же инструменты и вирусы работают эффективно. Вот почему важно, чтобы кто-то вроде нас преследовал и тех и других преступников, ведь у них одинаковые методы «работы». Методы, которые изначально применялись организованными преступными группировками, были «переработаны» и использовались спецподразделениями Северной Кореи для кибершпионажа. След в деле о хищении 81 миллиона долларов из Банка Бангладеш уходит четко в Северную Корею, это данные нашего исследования.

— Какова ваша специализация?

— В первую очередь, наш опыт работы и бизнес в целом связаны с расследованием преступлений в цифровой среде и компьютерной криминалистикой. Мы являемся крупнейшей криминалистической лабораторией в Восточной Европе, занимаемся как «классическими» цифровыми технологиями, так и расследованиями случаев применения вредоносного ПО. Мы осуществляем защиту инфраструктуры очень высокого уровня — на уровне интернет-провайдеров в некоторых странах, с помощью ботнетов и т. д. Кроме того, мы предлагаем услуги киберразведки.

Мы участвуем в тысяче хакерских форумов по всему миру. Большинство из них имеют закрытый характер, и попасть туда не так просто. Мы также обеспечиваем защиту российских доменов.ru,.rf,.su и т. д.

— Как вы обеспечиваете чью-то защиту, если не знаете киберпреступника?

— Ключевое значение имеют инфраструктура и интеллект сотрудников. В настоящее время в нашей команде работают 200 человек; мы рассматриваем возможность расширения штата до 300 сотрудников в следующем году. Наши клиенты — это IT-компании, компании, предоставляющие банковские, финансовые услуги и услуги страхования (BFSI), а также государственные ведомства и знаменитые бренды, поскольку их защита является основной областью нашей работы.

— У вас совместное предприятие с госкорпорацией Ростех. Это маловероятное сочетание?

— Мы являемся стартапом, а Ростех — крупная государственная корпорация с диверсифицированным бизнесом «под одной крышей». Посредством Ростеха мы становимся участниками очень крупных проектов. В свою очередь, они нуждаются в технологиях высокого уровня. Поэтому и было создано совместное предприятие. Мы применяем технологии для защиты критически важной инфраструктуры и намерены экспортировать такие технологии в разные страны. Например, для начала работы с очень крупным государственным ведомством в другой стране необходимо три года — это только базовый подготовительный этап. Мы предпочитаем продвигаться быстрее. И Ростех нам в этом помогает.

— Каких необходимых элементов не хватает для защиты критически важной инфраструктуры во всем мире?

— Всем странам нужны законы о киберпреступности. Хотя безопасность критически важной инфраструктуры чрезвычайно важна, хакеры в основном нацелены на деньги. Нам всем кажется, что такая инфраструктура защищена; но это потому, что ее не слишком часто атакуют. Если такие атаки происходят, у нас возникают проблемы с этой инфраструктурой. Тем, кто отвечает за ее защиту, кажется, что все нормально, тогда как на самом деле это не так. Здесь можно привести такой пример: когда боксер один на ринге, он уверен в своем мастерстве, однако для того, чтобы в этом убедиться, нужен другой боксер.

— Осуществляете ли вы продажи в Индии?

— Мы налаживаем инфраструктуру продаж в Индии. Мы создаем базу в Дубае, которая также будет охватывать Индию. Мы ищем торговых партнеров, или интеграторов, в Индии, и Ростех может быть заинтересован в том, чтобы предложить услуги по защите правительства, военных объектов или инфраструктуры и т. д.

Мы видим огромный потенциал в банках, финансовых и страховых компаниях Индии, а Ростех видит потенциал в защите индийских военных и правительственных активов. Индийский рынок услуг по обеспечению безопасности начинает стремительно расти. Мы также намерены предлагать услуги провайдера в сфере управления информационной безопасностью на абонентской основе, а не только продавать продукцию.

— Вы показали нам пример взлома. Как это работает?

— При отслеживании кражи данных важно отслеживать сетевую коммуникацию безо всяких установок и делать это удаленно. Мы отслеживаем все это и затем связываемся с клиентами, если обнаружен взлом.

Для получения данных о счетах хакеры используют фишинговые сайты и вредоносное ПО. Обычно они охотятся за регистрационными данными, хранящимися во внутренних системах компаний или внешних клиентских сервисах, таких как интернет-банкинг. Вредоносные программы загружают украденные данные на командные серверы (C&C), контролируемые хакерами. Такие серверы являются центральными пунктами сбора данных. Мы отслеживаем скомпрометированные данные, анализируя сетевые протоколы, которые использует вредоносное ПО для коммуникации с командным сервером.

Для такого мониторинга Group-IB применяет специальные датчики, находящиеся в разных сегментах сети. Датчики определяют командные серверы и сканируют контакты вредоносного ПО с этим сервером на предмет скомпрометированных данных. Благодаря совместным расследованиям с правоохранительными органами и сотрудничеству с провайдерами хостингов Group-IB получает копии хакерских серверов, которые нередко содержат большие объемы скомпрометированных данных.

В случае фишинговых атак перехваченные журналы регистрации данных могут временно или постоянно храниться локально или пересылаться на электронные адреса хакеров. Специалисты компании отслеживают фишинговые ресурсы и собирают файлы конфигурации таких сайтов для определения методов, применяемых хакерами для хранения журналов с украденными данными и затем локализуют их с целью выявления всех скомпрометированных пользователей.

— Какой случай был самым сложным в вашей практике?

— Самые сложные преступления, которыми мы занимались, были связаны с Carberp, Anunak и Cron. Anunak была российской группой киберпреступников, которая атаковала финансовые учреждения и в 2014 году всего за год украла почти 25 миллионов долларов. Cron заражал до 3,5 тысяч мобильных устройств в день, а всего от него пострадали около миллиона пользователей таких устройств.

Вымогатель WannaCry — хороший урок для компаний. В 2017 году следует иметь резервные копии данных. Без этого даже не пользуйтесь интернетом на компьютере. Хорошо, что СМИ придали этому такое большое значение. С технической точки зрения Wannacry не является чем-то особенным для нас. Но повышение осведомленности весьма нас порадовало. Все говорили о кибербезопасности. Если теми же методами воспользуются кибертеррористы, последствия могут быть куда хуже.

— По вашим оценкам, в каких странах кибербезопасность находится на высоком уровне?

— Япония и Германия занимают первые места по защите своих систем. Я полагаю, это часть их культуры. Пользователи из других стран начинают думать об информационной безопасности уже после того, как инцидент произойдет. Это можно понять. Обычно люди начинают думать о здоровье тогда, когда оно подводит.

Россия > СМИ, ИТ > inosmi.ru, 4 июля 2017 > № 2231468 Илья Сачков


Россия > СМИ, ИТ > forbes.ru, 14 апреля 2017 > № 2141142 Илья Сачков

Атака клонов: как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний

Илья Сачков

Основатель компании в сфере информационной безопасности Group-IB

Злоумышленники создают копии сайтов российских корпораций, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей

На сайте производителя минеральных удобрений «Менделеевсказот» появилась тревожная надпись: «Осторожно мошенники!». Посетителей предупреждают о случаях обмана: неизвестные представляются сотрудниками подразделений компаний «Аммоний» или «Менделеевсказот» и предлагают удобрения по низким ценам — якобы так с ними расплатились деловые партнеры за долги. Мошенники могут звонить с несуществующих телефонных номеров компании, представляться псевдодилерами или использовать сайты-клоны — полную копию официального сайта реальной компании, говорится в сообщении.

Вся штука в том, что ресурс, на котором размещено это грозное предупреждение, сам является фейком. mendeleevscazot.ru — сайт-клон, а официальный сайт выглядит так: mendeleevskazot.ru. Разница в одну букву, но невнимательность может обернуться для посетителей-клиентов финансовыми потерями.

Сейчас Group-IB наблюдает очередную масштабную атаку на ведущие российские бренды — производителей минеральных удобрений. Мошенники активизировались перед началом посевной, отмечают отраслевые эксперты. Резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года. По оценке генерального директора «Еврохима» Дмитрия Стрежнева, только за последние два сезона фермеры из-за мошенников потеряли несколько миллиардов рублей.

Полцарства за домен

Недавно мы обнаружили фейковый ресурс eurochem-novomoskovsk.com — мошенники скопировали сайт нашего клиента компании «Еврохим» и выдавали себя за ее сотрудников. Сайт-клон появился в феврале 2017 года и был зарегистрирован на частное лицо. Параллельно мы выяснили, что в декабре 2016 года в руках злоумышленников оказалось официальное доменное имя eurochem-novomoskovsk.ru, у которого закончился срок регистрации.

После блокировки этих ресурсов мы получили письмо от ведущего специалиста отдела продаж компании, которая просила опять «включить сайт». Вместе с «Еврохимом» мы проверили отправителя: такая сотрудница в компании действительно есть, но никаких писем в Group-IB она не отправляла.

Мошенники не только клонировали сайт компании, но и использовали специальную программу, которая подменяла адрес отправителя в электронной почте. В ходе расследования мы установили владельца доменов и выяснили, что на него были зарегистрированы еще несколько ресурсов, связанных с производителями удобрений, предприятий химической промышленности и ТЭК. И все они оказались фейками: amonni.ru, hcsds-azot.ru, rosagrotrayd.ru, titanomsk.ru, tender-rosneft.ru, kyazot.ru, tolyatiazot.ru, mendeleevscazot.ru

Практически все они были зарегистрированы в один день, 17 января 2017 года, на частное лицо. Некоторые сайты полностью копировали оригинальный ресурс компании — логотип, разделы, контент. Отличалось только доменное имя. Например, мошеннический ресурс: kyazot.ru

Он представляет собой точную копию официального сайта «Куйбышевазота» kuazot.ru, отличаются только доменное имя (y вместо u) и контакты. На сайте у мошенников электронная почта сотрудников отдела сбыта отличается от реальных адресов. На обоих сайтах — реальном и фейковом — есть предупреждение об участившихся случаях обмана покупателей.

Или вот другой пример: у компании «Аммоний», производителя минеральных удобрений, официальный сайт — ammoni.ru, он появился еще 2009 году. Сайт мошенников, созданный в 2017 году, практически похож, разницу в одну букву заметить сложно: amonni.ru.

В марте 2017 года мошенники создали сайт tender-rosneft.ru, на котором выложена информация о тендерах, часть из которых, видимо, была взята с официального ресурса компании — ender.rosneft.ru. Вот только желающие поучаствовать в таком конкурсе, оказавшись на фейковом сайте, увидят контакты злоумышленников.

В чем смысл преступной схемы? Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Исследуя другой цифровой след, обнаруженный по данным зарегистрированного ресурса, мы нашли еще пять мошеннических сайтов: promhim24.ru, grokhimia.com, agrohs.ru, grohermes.ru, charcoal.net.ua

В компании «АгроГермес» (официальный ресурс — agrogermes.ru) подтвердили, что им известно о клоне — agrohermes.ru, компания обратилась в управление «К» МВД, и 7 апреля ресурс был заблокирован.

В ряде случаев мошеннический сайт не является точной копией официального ресурса компании. Вот официальный сайт компании «Самараагрохимия» — samaraagrohim.ru, которая специализируется на поставках минеральных удобрений. А вот мошеннический сайт — promhim24.ru. Между этими ресурсами существенные отличия и в самом названии компании, и в доменном имени, и в дизайне, но физический адрес компании совпадает: Самара, Галактионовская, 153-1.

Для привлечения посетителей мошенники используют инструменты интернет-маркетинга: контекстная реклама, реклама в соцсетях, SEO-оптимизация, спам-рассылка. На фейковых сайтах анонсируются распродажи, специальные предложения и скидки на продукцию.

Письма несчастья

Регистрация доменного имени-клона грозит компании еще одной опасностью — рассылкой мошеннических писем с фиктивного адреса, похожего на официальный e-mail компании.

Вот один из таких примеров. С электронного адреса злоумышленников были отправлены коммерческие предложения якобы от имени компании «Росагротрейд». В «Росагротрейд» подтвердили, что этот электронный адрес не принадлежит компании. Официальный сайт компании — ros-agro.ru, а мошеннические — rosagrotreid.ru или rosagrotrayd.ru. Когда мошенники регистрируют фейковое доменное имя, похожее на имя компании, — они получают в свое распоряжение и почтовый ящик с таким же доменным именем. С него и рассылается мошенническая почта.

Подобный вид мошенничества распространен во всем мире. В марте в Литве был арестован 48-летний Эвалдас Римасаускас (Evaldas Rimasauskas), которому удалось похитить у двух американских IT-компаний $100 млн. Римасаускас создал фиктивную фирму-клон азиатского производителя компьютерного оборудования. От имени представителя этой компании он, подделав электронные письма, бланки, связался с американскими клиентами этой компании и убедил заключить с ним контракты и перевести на счета его фирмы $100 млн. Деньги Римасаускас выводил через банки в шести разных странах, включая Латвию, Кипр, Словакию, Литву, Венгрию и Гонконг. Расследование ведет ФБР. По обвинению в мошенничестве, отмывании денег и хищении персональных данных Римасаускасу грозит 20 лет тюрьмы.

Подобная преступная схема называется «нигерийские письма». Этот вид мошенничества появился в Африке, причем еще до распространения интернета такие письма отправлялись по обычной почте. Мошенники, обещая солидную финансовую помощь, просили перевести деньги якобы на оформление сделок, уплату сборов, взятки чиновникам, и т. п.

Киберпреступники взяли этот прием на вооружение, и теперь «нигерийские письма» с зараженными ссылками или файлами отправляются не только на личную почту или в Facebook, но и в офисы международных компаний.

Сначала преступники при помощи фишинга получают доступ к электронной почте контрагента или партнера компании: создается, например, фальшивый сайт, имитирующий почтовый сервис, где ничего не подозревающий пользователь вводит свой логин и пароль, которые передаются злоумышленнику; теперь он может взять под контроль настоящий почтовый ящик жертвы и вести переписку от ее имени.

Второй этап — компании-плательщику с почтового ящика партнера присылают вполне реальные счета и «левые» реквизиты — и через цепочку банков деньги попадают в руки мошенников. Одна из российских металлургических компаний по просьбе своих азиатских партнеров перевела по указанным в письме реквизитам деньги на счета одного из европейских банков, и они затерялись где-то в африканских странах.

Иногда преступники действуют изобретательно. Не так давно от имени компании «Зарубежнефть» были размещены объявления о приеме на работу. Рассылка проводилась по электронной почте, причем не с официальных серверов компании, а с бесплатных почтовых сервисов. Кандидаты утверждались на должность не после очных собеседований, а в процессе переписки, а за оформление документов требовали оплату. Компания довольно быстро отреагировала на ситуацию.

В июле 2016 года ФБР выпустило для компаний предупреждение об опасности «нигерийских писем». В нем говорилось, что подобные схемы труднее идентифицировать, потому что преступники используют настоящие требования оплаты, направленные поставщиками. В прошлом году Интерпол сообщил об аресте «Майка» — 40-летнего нигерийца, главы международной группы из 40 человек, которая обманывала предпринимателей из Австралии, Канады, Индии, США и других стран. Одна из жертв перевела мошенникам $15,4 млн.

Россия > СМИ, ИТ > forbes.ru, 14 апреля 2017 > № 2141142 Илья Сачков


Нашли ошибку? Выделите фрагмент и нажмите Ctrl+Enter