Дистанционные мошенничества, совершаемые с использованием программ удаленного доступа

Пандемия коронавируса в очередной раз подтвердила, что сегодня Интернет является одной из самых популярных и удобных площадок для ведения бизнеса. В то время как «офлайн-жизнь была поставлена на паузу», те, кто хотел бороться, начали «активно переводить продажи в онлайн, туда же последовали и рекламные бюд-жеты»1. По оценкам экспертов, основными трендами Рунета в 2020 г. стали «пандемические» технологии, телемедицина, удаленная работа, игровая индустрия и стриминги2. Здесь же стоит назвать и онлайн-торговлю: в России число покупок в интернет-магазинах в минувшем году выросло на 78 %3. Все это наряду с «цифровым невежеством»4 обусловило значительное увели- чение количества киберпреступлений (рис. 1). На расширенном заседании коллегии МВД России Министр внутренних дел Российской Федерации В. А. Колокольцев отметил: «Криминальные деяния, совершенные с использованием IT-технологий, составляют все большую долю в общей структуре преступности. Сегодня она достигла двадцати пяти процентов <…> Своеобразным „катализатором“ здесь стала пандемия, которая повлекла масштабный „уход в онлайн“ многих сфер жизнедеятельности общества»5.

Статистические данные свидетельствуют, что каждое второе киберпреступление, совершенное в России в 2020 г., было мошенничеством6. Для хищения денежных средств злоумышленники чаще всего применяли фишинг-атаки и приемы социальной инженерии. При этом последние могли сопровождаться SIM swapping1 и использованием софта для удаленного доступа: программного приложения AnyDesk2 и программы TeamViewer – легальных продуктов, которые пользователи скачивают с сайтов разработчиков или из магазина приложений Google Play и не подозревают об угрозе. По словам менеджера по развитию бизнеса Kaspersky Fraud Prevention Е. Даниловой, таким образом мошенникам удается обмануть граждан в 48% случаев3.

Обзор литературы

Сегодня о способах хищений денежных средств в Интернете пишут многие авторы (Ю.В. Бирюкова [1], И.Н. Озеров и К.И. Озеров [2], Б.П. Смагоринcкий и А.В. Сычева [3], О.А. Старостенко [4], О.А. Шут [5] и др.). На программы удаленного доступа как на орудие совершения компьютерных преступлений обраща- ют внимание Е.Р. Россинская и И.А. Рядовский: «Большинство легальных программ, используемых в противоправной деятельности, предназначено для удаленного несанкционированного доступа к компьютеру, управления системой и ее администрирования. Для своих целей преступники модифицируют их, скрывая от пользователя явно отображаемые на дисплее уведомления и иные признаки удаленного подключения» [6, с. 702]. По мнению В.И. Алескерова и В.В. Баранова, злоумышленники могут использовать специализированное программное обеспечение, которое предварительно инсталлируется на мобильное устройство потерпевшего лица. Программное обеспечение позволяет в режиме реального времени отправлять на него команды управления через сеть Интернет [7]. И.В. Поддубный отмечает: «Наибольшее распространение у мошенников получила легальная программа для делегирова-

Рис. Количество киберпреступлений, зарегистрированных на территории Российской Федерации в 2016–2020 гг.⁴

Fig. Cybercrimes recorded in the Russian Federation (2016 – 2020)

ния доступа TeamViewer, которая позволяет подключиться постороннему лицу к смартфону» [8, с. 101]. На возможности использования программ удаленного доступа в целях хищения денежных средств граждан обращали внимание и некоторые зарубежные ученые. В частности, Н. Мартин и Дж. Райс указывали, что пользователи особенно уязвимы для интернет-мошенничества, краж личных данных, а также атак, совершаемых с помощью программ удаленного доступа [9, с. 1]. В рамках данной статьи сосредоточим свое внимание не только на программе TeamViewer, но и на программном приложении AnyDesk, которое также активно используется мошенниками для хищений денежных средств и учетных записей граждан.

Материалы и методы

Материалами исследования послужили научные статьи, опубликованные в различных изданиях, нормативные правовые акты Российской Федерации, статистические данные Генеральной прокуратуры Российской Федерации за период с 2016 по 2020 г., заключения экспертов, интер-нет-источники. В работе применялась совокупность общенаучных и частнонаучных методов: описательный; метод логического осмысления, позволивший последовательно изложить материал; абстрагирование и обобщение, призванные систематизировать факты и дать их толкование; анализ и синтез, обеспечившие достоверность выводов; системный подход, необходимый для раскрытия взаимосвязей между явлениями; статистический метод, использованный для анализа количественных показателей.

Результаты исследования

AnyDesk – это программное приложение, предназначенное для удаленного доступа к компьютеру пользователя. Аналогичные задачи призвана решать и программа TeamViewer, которая, кроме того, выполняет функции скачивания и выгрузки файлов, проведения веб-семинаров и сеансов видеосвязи. Названные программы на законных основаниях применяются IT-специалистами по всему миру. При этом в настоящее время фиксируются случаи злоупотребления AnyDesk и TeamViewer: мошенники используют их для подключения к компьютерам граждан и кражи данных, кодов доступа и денег1. Таким образом, легальные программные продукты превращаются во вредоносные.

Согласно ст. 273 Уголовного кодекса Российской Федерации (далее – УК РФ) вредоносными программами признаются те, которые заведомо нацелены на несанкционированное уничтожение, блокирование, модификацию, копирование компьютерной информации или нейтрализацию средств компьютерной защиты2. Однако авторы одного из первых комментариев к УК РФ отмечали: «Вредоносность или полезность соответствующих программ для ЭВМ определяется не в зависимости от их назначения, способности уничтожать, блокировать, модифицировать, копировать информацию (это вполне типичные функции абсолютно легальных программ), а в связи с тем, предполагает ли их действие, во-первых, предварительное уведомление собственника компьютерной информации или другого добросовестного пользователя о характере действия программы, а во-вторых, получение его согласия (санкции) на реализацию программой своего назначения. Нарушение одного из этих требований делает программу для ЭВМ вредоносной» [10, с. 419]. Мы солидарны с приведенной точкой зрения, поэтому считаем программы Anydesk и TeamViewer, использующиеся для несанкционированного доступа к личным данным пользователей, вредоносными.

Массовые жалобы на хищения денежных средств, совершаемые с помощью программ удаленного доступа, начали поступать в российские банки весной 2019 г. Именно тогда злоумышленники стали активно звонить клиентам финансовых организаций, представляться сотрудниками службы безопасности и сообщать о взломе личного кабинета или оформлении кредита. Далее с помощью приемов социальной инженерии гражданина убеждают скачать соответствующую программу в Интернете (на сайте разработчика или в Google Play) и установить ее на устройство. Затем потенциальная жертва передает преступникам цифровой код, и они получают полный доступ к ее компьютеру, смартфону и т. д. и через удаленные каналы похищают денежные средства или учетные записи. Однако последнее не всегда возможно благодаря двухфакторной аутентификации (2FA). Если мошенники сталкиваются с таким препятствием, то, как правило, применяют SIM swapping, и все звонки и текстовые сообщения, предназначенные потенциальному потерпевшему, поступают им. Приведем несколько примеров.

Постановлением старшего следователя отдела по РПТО ОП № 9 СУ МВД России по г. Уфе возбуждено уголовное дело по пп. «в», «г» ч. 3 ст. 158 УК РФ в отношении неизвестного, который

19 апреля 2019 г. в 15.00 позвонил на мобильный телефон потерпевшей, представился сотрудником службы безопасности АО «Альфа-Банк» и сообщил, что с ее кредитных карт хотят снять деньги. Затем рекомендовал ей отсканировать телефон с помощью программы TeamViewer QuickSupport. После того как потерпевшая скачала данную программу, неизвестный узнал о наличии у нее вклада в Совкомбанке и предложил перевести денежные средства на карту. Как только перевод был осуществлен, потерпевшая поняла, что стала жертвой мошенников. Приехав в АО «Альфа-Банк», она узнала, что с ее карты были сняты денежные средства в сумме 270 045 руб.1

В начале декабря 2020 г. в дежурную часть Сормовского отдела полиции обратилась 39-летняя жительница Нижнего Новгорода и сообщила, что ей позвонил неизвестный и представился сотрудником службы безопасности банка. Затем под предлогом отмены несанкционированного списания денежных средств и якобы получения возможности отслеживать состояние банковского счета убедил потерпевшую установить на мобильный телефон программу удаленного доступа, после чего с ее счета были списаны 78 000 руб.2

Довольно часто жертвами мошенничества с использованием программ удаленного доступа становятся начинающие трейдеры. Здесь существует несколько схем обмана:

• -    для начала торговли трейдеру предлагают пополнить депозит, его убеждают в том, что в первый раз сделать это весьма затруднительно и необходимо воспользоваться услугами куратора. После того как потенциальная жертва устанавливает AnyDesk или TeamViewer, злоумышленники получают доступ к ее устройству, личным данным и деньгам. Далее, чтобы усыпить бдительность и выиграть время, они показывают трейдеру личный кабинет и сумму, зачисленную на счет, однако это «нарисованные цифры на интернет-ре-сурсе, полностью подконтрольном мошенникам <…> Когда обманутый человек обнаруживает, что на его банковском счету пусто, да и трейдерский обнулен, мошенники успевают перебросить добычу через заранее выстроенную цепочку счетов и кошельков»³;

• -    трейдеру предлагают воспользоваться услугами «опытного наставника», с чьей помощью будут заключаться сделки. Периодически первому показывают счет, на котором увеличивается сумма, и советуют внести средства на депозит. Когда трейдер начинает настаивать на снятии денег, ему говорят о сверхвыгодной сделке, рекомендуют максимально пополнить депозит и предлагают подстраховать с помощью программы удаленного доступа. Как только она устанавливается на устройство и «наставник» получает соответствующий код, деньги со счета исчезают;

  - трейдеру, потерявшему деньги из-за мошенничества брокера, злоумышленники сообщают, что средства можно вернуть с помощью чарджбэка – процедуры отмены транзакции и возврата платежа на основании правил международных платежных систем, но для активации перевода ему нужно установить AnyDesk или TeamViewer. После этого потенциальную жертву убеждают совершить несколько платежей, затем деньги похищают.

• 6.    Россинская Е. Р., Рядовский И. А. Концепция вредоносных программ как способов совершений компьютерных преступлений: классификации и технологии противоправного использования // Всероссийский криминологический журнал. 2020. Т. 14. № 5. С. 699–709.

• 7.    Алескеров В. И., Баранов В. В. Некоторые способы хищения денежных средств, совершаемых в системе дистанционного банковского обслуживания // Академическая мысль. 2020. № 2 (11). С. 12–16.

• 8.    Поддубный И. В. К вопросу об использовании злоумышленниками программ удаленного доступа и вредоносного ПО как средств совершения хищений с банковских карт граждан // Криминалистика: вчера, сегодня, завтра. 2020. № 3 (15). С. 99–105.

• 9.    Martin N, Rice J. Spearing high net wealth individuals: the case of online fraud and mature age internet users // International Journal of Information Security and Privacy (IJISP). 2013. No. 7 (1). P. 1–15.

• 10.    Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / под ред. Ю. И. Скуратова, В. М. Лебедева. М.: Норма – Инфра-М, 1996. 592 с.

Сегодня в Интернете можно найти огромное количество отзывов трейдеров, поверивших псевдоброкерам и установивших на свои устройства программы удаленного доступа4. Мошенничество на бирже с использованием AnyDesk подтверждают и реальные уголовные дела. Так, в рамках доследственной проверки по факту хищения денежных средств псевдоброкерами у гр. Ш. была назначена судебная компьютерная экспертиза, в результате которой удалось установить, что на компьютере потерпевшей имеются следы получения сообщений по электронной почте <…> от представителей брокерской конторы <…>, в частности, рекомендации по установке программы AnyDesk, запрос копии паспорта, подтверждение перевода депозита.

Опасность AnyDesk и TeamViewer состоит в том, что злоумышленники имеют доступ к компьютеру, смартфону и т. д. пользователя и с кодом, необходимым для связи устройств между собой, и без него. В последнем случае речь идет о неконтролируемом доступе, для которого достаточно, чтобы девайс пользователя был включен. При этом мошенники могут не только атаковать приложения мобильного банкинга, но и похи- тить ключи от электронных кошельков, если они хранятся в файлах на устройстве. Кроме того, в связи с тем, что пользователь сам соглашается установить соответствующую программу, отличить его действия от действий злоумышленников крайне сложно. Эксперты отмечают, что сегодня единственным вариантом обнаружения хищения денежных средств с помощью программ удаленного доступа является фиксация их установки на устройстве и анализ поведения пользователя на протяжении всей сессии: «„Умные“ технологии защиты клиента в каналах ДБО1 умеют создавать его профиль, основанный на поведенческих характеристиках. Сам факт появления нового программного обеспечения для удаленного доступа на устройстве, особенно если раньше оно клиентом не использовалось, уже является фактором риска <…> анализ дальнейшей работы пользователя позволяет понять – совпадает ли его поведение с обычным поведением его профиля. И если нет – такая активность считается подозрительной и действия мошенника, орудующего в личном кабинете ничего не подозревающего пользователя, блокируются банком». Однако существует и иная точка зрения, согласно которой поведенческий анализ в данных ситуациях не имеет смысла, поскольку злоумышленники действуют «рукой» легального пользователя2, а сама установка AnyDesk или TeamViewer не является доказательством реализации мошеннической схемы. Если со второй частью приведенного утверждения можно согласиться, то первая представляется спорной, поскольку пользователь скачивает программу и передает код, но далее действует все-таки преступник, следовательно, анализ поведения и тран- закций может быть эффективным, особенно с учетом возможностей современных систем мониторинга и предотвращения мошеннических транзакций, которые используются в финансовом секторе. Здесь анализируется большое количество параметров, помогающих создать профиль среднестатистического клиента, на основе которого присваивается уровень потенциальной опасности проведения мошеннической операции.

Обсуждение и заключения

Мошенничество в Интернете с каждым днем становится все более технологичным, и противостоять ему все труднее. Если раньше злоумышленники применяли спам-рассылку или социальную инженерию, или вредоносный софт и т.д., то сейчас способы хищения денежных средств являются комбинированными. Примером может служить мошенничество с использованием программ удаленного доступа AnyDesk, TeamViewer и др. в совокупности с приемами социальной инженерии и SIM swapping. В связи с тем, что AnyDesk и TeamViewer представляют собой легальное программное обеспечение, их установка на различные устройства не вызывает никаких проблем и подозрений. Доказать взлом счета в этих случаях практически невозможно, поскольку сигнал в банк поступает с компьютера или смартфона пользователя. Единственными эффективными средствами борьбы с данным видом мошенничества могут стать системы мониторинга и предотвращения мошеннических транзакций, применяющиеся сегодня в банках, и, безусловно, соблюдение пользователями элементарных правил цифровой гигиены.