Проходившая в конце ноября 2011 года вторая международная конференция "Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие" (более известная как конференция Antifraud Russia) являлась, по сути, основной завершающей конференцией по тематике борьбы с мошенничеством в РФ в 2011 году, поэтому пропустить такое событие для компании Фродекс было бы непозволительной роскошью.
Сама конференция довольно молода - ее начало было положено всего год назад. Тем не менее, и в прошлом, и в этом году она собрала большое число участников - так, в 2011 году помимо российской аудитории были гости из Украины, Казахстана, Эстонии и США. Но самое главное в этой конференции - это то, что среди участников (и что немаловажно, среди докладчиков) присутствуют представители органов власти, правоохранительных органов и регуляторов рынка: Государственной Думы РФ, Бюро специальных технических мероприятий МВД России, Экспертно-криминалистического центра МВД России, Национальное центральное бюро Интерпола при МВД России, а также Банка России.
Ожидая услышать на конференции занимательные истории представителей МВД по борьбе с кибермошенниками, нас постигло полное разочарование. Большая часть докладов была посвящена констатации проблем в данной области - недостаткам законодательства, сложностью раскрытия преступлений подобного рода и т.д. Сложилось впечатление, что все знают об актуальности проблемы киберпреступлений в России, но реальных результатов борьбы с ними мало. Попытаемся разобраться, почему.
В нашем отчете по недавней конференции INFOBEZ-EXPO 2011 мы упомянули о том, что представители банковской сферы (в частности, Василий Окулесский из Банк Москвы) в качестве одного из основного способа борьбы с кибермошенничеством в России считают формирование действующего исполнительно - законодательного механизма, который позволит поймать и посадить за решетку основных российских хакеров. А как это происходит на самом деле?
Интересно громкое дело с Top-3 самых опасных спамеров мира - Леонидом Куваевым, известным под псевдонимом BadCow, о котором рассказал Илья Сачков (генеральный директор компании Group-IB).
Леонид Куваев в начале 1990-х уехал из России в США к отцу в Массачусетс, где поступил в местный университет и окончил его по специальности "кибернетик". В 2002 году он получил американское гражданство и активно начал заниматься созданием различного рода интернет-сайтов, распространением спама, DDOS-атаками на серверы своих конкурентов, продажей через интернет запрещенных биологически активных добавок, часов Rolex (по данным правоохранительных органов, это были китайские подделки, которые продавались как лицензионные), а также распространением детской порнографии. В 2004 году Леонид Куваев, видимо, решив, что правоохранительные органы США вот-вот займутся им всерьез, вернулся в Россию. По оценкам, выручка Куваева составляла порядка 2,5 млн. долларов США ежемесячно.
Не смотря на то, что с 2006 года ФБР активно заинтересовалось Куваевым, после приезда в Россию ему удалось значительно расширить свой бизнес.
Правоохранительные органы заинтересовались Леонидом Куваевым только в 2009 году. Ключевой факт в этой биографии - посадить главного спамера удалось не по компьютерным преступлениям, а по статьям, связанным с детской проституцией. Более того, даже находясь за решеткой, Куваев продолжает получать доход от разработанной им партнерской программы Mailien.
А как к этим обстоят дела за границей, скажем в США? Читаем новость, опубликованную на портале "Компьютерра-Онлайн" в 2004 году (целых 7 лет назад!):
Говард Кармак, житель штата Нью-Йорк, признан виновным по четырнадцати предъявленным ему обвинениям, среди которых подделка адресов электронной почты, хищение конфиденциальной информации о пользователях интернета и мошенничество. Кармак был арестован в мае прошлого года, однако из-за отсутствия в то время антиспамового закона, суду пришлось использовать статьи, предусматривающие ответственность за мошенничество и фальсификацию личных данных. Спамер может провести в тюрьме до семи лет, однако в случае примерного поведения он будет выпущен на свободу через три с половиной года. Кроме того, интернет-провайдер EarthLink выиграл иск против Кармака на сумму в 16,4 миллиона долларов США.
Т.е. на сегодня состояние дел по законодательству в сфере киберпреступлений в России гораздо хуже (и это самый мягкий термин), чем это было 7 лет назад в США. Конечно, нельзя говорить о том, что правоохранительные органы РФ совсем не борются с кибермошенниками. Однако завершенных до конца уголовных дел, которые привели к присуждению реальных сроков мошенникам, насчитывается единицы в год, в то время как преступлений, связанных с кражей средств в системе ДБО несколько десятков в неделю.
Перефразируя известную фразу, сегодня спасением утопающих (в данном случае - банков) должны заниматься сами утопающие (т.е. банки). Единственный эффективный способ борьбы - это использование эффективных антифрод-систем (не забудем упомянуть о нашей антифрод-системе FraudWall) и формирование грамотной юридической составляющей взаимоотношений между клиентом и банком.
На форуме прозвучала одна весьма любопытная статистика по судебной практике дел, связанных с мошенничеством в системах ДБО. По словам генерального директора компании Group-IB Ильи Сачкова, из 215 известных ему судебных разбирательств между банком и его клиентом, пострадавшим в результате инцидента в системе ДБО, 15 из них было вынесено в пользу клиента (соответственно, в этих случаях банк был обязан полностью возместить ущерб клиента).
Учитывая то, что юристы накопили некоторый опыт, а при вынесении приговора судьи часто пользуются судебной практикой, число мошенничеств в ДБО, заканчивающихся возмещением ущерба клиента банком, будет расти.