• Правоохранительные органы стран-членов ЕС должны развивать рабочие отношения и потенциал сотрудничества с правоохранительными органами стран, не входящих в ЕС, и в первую очередь с Китаем, странами Юго-восточной, Южной Азии и Индии. Главное внимание в этом сотрудничестве надо уделить таким видам преступности, как использование мультиплатформенного вредоносного софта, мошенничество с кредитными картами и нажива на трансляции жестокого обращения с детьми.
• Государства-члены ЕС должны предоставлять разведке Европола всю необходимую информацию об интернет-активности в стране-члене ЕС. Кроме того, необходимо ввести в практику представления Европола информации не только от полицейских, но и иных правоохранительных структур в тех случаях, когда экстремизм и оборот наркотических средств или огнестрельного оружия осуществляется через интернет.
• Как никогда ранее правоохранительные органы должны наладить с помощью Европола обмен данными о такой новейшей преступной технологии, как социальная инженерия. При этом Европол будет брать на себя не только координирующую, но и аналитическую функцию, способствуя разработке методов и методик выявления случаев применения социальной инженерии на максимально ранних стадиях.
• Правоприменители и правоохранители стран ЕС должны активизировать свою работу в рамках таких многосторонних инициатив, как План действий по безопасности на авиатранспорте и Инициативы по созданию безопасной среды электронной коммерции в ЕС.
Законодательство
• По-прежнему сохраняется необходимость в дальнейшем согласованном изменении национальных законодательств с целью унификации правовых инструментов борьбы, прежде всего, с такими направлениями киберпреступности, как финансовые кибермошенничества и отмывание преступных доходов с использованием виртуальных валют.
• С учетом необходимости резкой активизации расследовательских и оперативных мероприятий в darknet необходимо внесение изменений в национальные законодательства и законодательство ЕС, позволяющие агентам более эффективно, чем в настоящее время, работать под прикрытием.
• Национальные органы должны обеспечить оперативное выполнение директивы ЕС "О пресечении атак на информационные системы". Все страны ЕС должны ввести в соответствии с директивой более жесткие, чем в настоящее время, наказания и штрафы за кибератаки, а также значительно ужесточить уголовную ответственность за использование вредоносных программ, как основного способа совершения кибер– и иных преступлений.
• Законодатели и политики вместе с промышленными и научными кругами, а также гражданскими активистами должны в самое ближайшее время решить вопрос шифрования. При этом, защита частной жизни и собственности отдельных пользователей не должна ставить под угрозу способность государственных и правоохранительных органов к расследованию уголовных или национальных угроз безопасности. Выбирая между приватностью отдельного человека и угрозой обществу законодательство должно предоставлять непререкаемый авторитет угрозам национального и регионального масштаба, по сравнению с частной приватностью. В этой связи необходимо провести дискуссию на национальном и европейском уровнях относительно законодательного запрещения шифрования файлов, электронной почты и т. п. в тех случаях, когда компания – владелец сервиса или платформы не передает ключи шифрования государственным органам.
Оперативные направления действий и мероприятия
• С учетом роли IOCTA 2016, как наиболее целостного источника информации о положении дел с киберпреступностью, в настоящем докладе в качестве ключевых направлений оперативных действий для правоохранительных органов ЕС на 2016 г. предлагается выделить:
Кибератаки
• Ботнет-сети, в частности развернутые для DDOS атак и атак на финансовую инфраструктуру;
• Рынок программ-вымогателей и эксплойтов, как части модели "преступность как услуга";
• Создание и использование многомодульных вредоносных программ, способных не только проникать в частные корпоративные сети, красть из них данные, но и перенастраивать, разрушать или брать под контроль физические объекты инфраструктуры.
• Программы для кражи данных.
• Блокировка антивирусных сервисов.
Киберсексуальная эксплуатация
• Трансляция платного потокового порно.
• Платный показ сексуальных занятий по заявкам.
• Трансляция педофильных актов и жестокого обращения с детьми с созданием специальных сервисов. В основном расположенных в darknet.
• Платные садомазохистские каналы по заявкам.
Платежные мошенничества
• Кража идентификаторов кредитных карт.
• Взлом защиты платежных сервисов с целью доступа к электронным деньгам.
• Целевые акции по корыстному подключению к каналам транзакций денежных средств.
• "Беловоротничковая" преступность с использование высоких технологий.
Сквозные преступления
• Использование мошеннических сайтов принудительного перенаправления, встраивания в сайты вредоносного софта, преступное использование хостинга и т. п.
• Создание нелегальных торговых сайтов в darknet.
• Сервисы по нелегальным транзакциям и отмывания денег.
• Криминальные схемы, выстроенные с использованием биткойна и других виртуальных валют.
• Криминальное онлайн консультирование.
Насколько это возможно и реалистично, деятельность правоохранительных органов должна быть нацелена в первую очередь на арест руководителей и ключевых функциональных членов организованных киберпреступных группировок. Эта работа должна быть дополнена интенсификацией блокировки и реквизиции активов членов ОПГ, а также активизацией агентурной работы с использованием мер смягчения наказания или полного прощения в случае деятельного раскаяния.
Успешная борьба с указанными выше направлениями киберпреступности невозможна без создания после широкого общественного обсуждения и законодательного закрепления системы превентивного мониторинга компаний, а также граждан стран – членов ЕС, обладающих критически важными навыками, которые могут быть использованы киберпреступниками. Превентивный мониторинг должен быть дополнен осуществляемыми как на национальном уровне, так и на уровне ЕС мерами разъяснительной работы со специалистами в области информационных технологий, повышения их осведомленности, профилактирования и, наконец, целенаправленных мер по обеспечению их полной занятостью в государственном, частном и общественном секторах.
С учетом резкого снижения возраста компьютерной преступности подобная работа должна начинаться не в частном секторе, а еще в университетах и даже старших классах школ. Именно там, в университетах, компьютерных клубах и молодежных сетях киберпреступники вербуют свои кадры. Поэтому законодатели, политики и общественность обязаны не только предоставить правоохранителям возможность мониторить активность лиц профессий, попадающих в зону риска, но и разворачивать профилактическую работу уже на уровне школ.
ВВЕДЕНИЕ
AIM
IOCTA 2015 разработана Европейским центром борьбы с киберпреступностью Европола. Она направлена на информирование лиц, принимающих решения по борьбе с преступностью на стратегическом, политическом и тактическом уровнях. Целью документа является определение приоритетов для оперативных действий правоохранительных органов ЕС, а также стран-членов ЕС в рамках компетенций ЕВРОПОЛА. В качестве трех первоочередных направлений борьбы с киберпреступностью в 2016 г. выделяются кибератаки, сексуальная эксплуатация детей в интернете и преступления в сфере платежных систем и средств. При этом особый акцент делается на новые явления, связанные с переплетением информационных технологий с социальной инженерией, как новым методов преступности.
Основываясь на принципиальном согласии, достигнутом странами-членами ЕС, в настоящем докладе дана информация о господствующих тенденциях в области киберпреступности в рамках ЕС. В нем делается прогноз относительно будущих рисков и возникающих угроз, а также даются рекомендации о повышении эффективности противодействию киберпреступности, в том числе на основе укрепления кооперации и сотрудничества правоохранительных органов стран-членов ЕС и ЕВРОПОЛА.
В IOCTA 2015 особый акцент делается на практическом опыте и достижениях стратегических партнеров в частном секторе и в научных кругах.
IOCTA 2015 призван изменить ситуацию, когда правоохранительные органы отстают от киберпреступников в таких областях, как сложная киберпреступность, dark net, виртуальные валюты, интернет вещей, использование киберпреступниками экспертных систем и искусственного интеллекта.
SCOPE
Несмотря на многочисленные технические, юридические и оперативные проблемы национальным и общеевропейским правоохранительным органам удалось осуществить ряд успешных действий против киберпреступников, в том числе в сети Тоr. В то же время, достигнутые успехи не носят пока системного характера. Более того, дальнейшее продвижение затрудняется растущей тенденцией повсеместного использования шифрования, инструментов обеспечения анонимности, а также программ анонимизации трафика.
Доклад содержит обновленную информацию по таким темам, как интернет вещей и большие данные, которые в перспективе станут одной из главных сфер приложения киберпреступности. Каждая глава доклада содержит анализ ситуации, обзор наиболее дерзкий и крупных преступлений в конкретной области, а также предсказание тенденций. Каждая глава завершается набором конкретных рекомендация для правоохранительных органов, имеющих задачи превентивно устранить угрозы и устранить риски, возникающие в ближайшем будущем. В 2015 году в докладе не содержится информация относительно использования киберпространства для противозаконной радикальной активности и распространения насильственного экстремизма через социальные медиа. Специальный доклад на эти темы будет издан Европолом в 2016 г. в виде отдельного продукта.
КИБЕРАТАКИ И ВРЕДОНОСНЫЙ СОФТ
Вредоносные программы остаются наиболее распространенным и приносящим максимальный ущерб инструментом киберпреступности. Вокруг вредоносного софта сложилась целая экосистема, которая включает в себя изготовителей подобного софта, операторов рынка, рядовых киберпреступников и членов оргпреступных группировок и даже консультантов по вредоносному софту.
В настоящее время в законодательстве стран-членов ЕС выделяются три основных категории вредоносного софта: программы-вымогатели, средства удаленного доступа и программы-шпионы, извлекающие информацию из компьютеров и сетей и доставляющие их преступникам. Надо признать, что большинство вредоносных программ в настоящее время являются многофункциональными. В этой связи законодательство и подзаконные, а также ведомственные акты государств-членов ЕС надо привести в соответствии с техническими реалиями и определить, как вредоносный софт любой софт, который обеспечивает несанкционированное проникновение, нарушение или копирование любой информации, содержащейся в государственных, корпоративных и частных сетях и электронных устройствах.
Ключевая угроза – программы-вымогатели
Вымогательство остается главным видом киберпреступности в ЕС и соответственно главной угрозой. Почти в двух третях стран – членов ЕС именно на вымогательство с использованием вредоносных программ приходится основная доля преступлений в киберпространстве. В то же время, следует отметить, что столь высокая доля вымогательства в структуре киберпреступности в значительной мере связана с тем, что данный вид является так называемой низкоуровневой киберпреступностью, использующей наиболее простые программные средства. По своему характеру этот вид преступности тут же фиксируется жертвой и соответственно легко регистрируется. Поэтому, по мнению авторов доклада, вымогательство является не только наиболее массовым, но и наиболее легко фиксируемым видом преступности, маскирующим гораздо более масштабные виды преступления.
Основные программы для вымогательства
Криптолокер является наиболее широко используемой программой для вымогательства в странах-членах ЕС. Впервые он был зафиксирован в сентябре 2013 г. и с тех пор инфицировал более четверти миллиона компьютеров в странах-членах ЕС. Наибольшее распространение данный вид вымогательства получил во Франции, Бельгии, Голландии, Сербии и Швеции. Любопытно, что в Норвегии не было зафиксировано вообще ни одного случая кибервымогательства.
Другим, гораздо более серьезным средством вымогательства стала программа СTB-LOCKER. Данная программа впервые была разработана на продажу в середине 2014 г. и с тех пор продается в сети Тоr. После заражения компьютера, она предлагает своим жертвам выбор вариантов языка и после этого общается на родном языке жертвы. В отличие от Криптолокера, данная программа поразила в основном страны Восточной Европы, входящие в ЕС и Прибалтику.
Наряду с указанными программами в странах Восточной Европы, Беларуси, Украине и России процветают хакерские форумы и сайты в сети Тор, на которых за различные цены – от 35 до 3000 евро – можно купить боты и многомодульные вредоносные программы, ориентированные не только на частных пользователей и корпорации, но и на проникновение через системы защиты финансовых учреждений. Оборот этого рынка измеряется десятками миллионов долларов.
Ключевая угроза – инструменты удаленного доступа (RATS)
RATS является законными инструментами, используемыми для доступа к системе третьей стороной, как правило, в рамках технической поддержки или по административным причинам. Во многих случаях RATS могут дать пользователю удаленный доступ и контроль над системой. В последние годы киберпреступники активно используют вредоносный софт для взлома и перехвата управления RATS. Особенное распространение эта практика получила в 2015 г. в связи с началом этапа массового перехода к интернету вещей. Если ранее RATS использовался в основном для кражи частной и корпоративной информации, то в настоящее время они все шире используются для доступа к удаленным микрофонам, веб-камерам и перенаправления видео и аудиопотока к преступникам. Одним из последствий этого процесса стало стремительное сращивание традиционных видов преступности с киберкриминалом. Киберкриминал все чаще берет по модели аутсорсинга функции слежения, наблюдения, разведки для таких традиционных преступлений, как кража, киднепинг и т. п.
Ключевая угроза – кража данных
Данные являются ключевым товаром в цифровом мире. Сегодня практически любой вид данных имеет большое значение. По имеющимся оценкам в 2015 г. до 70 % капитализации компаний в сфере интернетторговли, медиа и т. п. была связана с наличием у компании Больших Данных. В такой ситуации неудивительно, что большинство новых вредоносных программ разрабатываются с целью кражи данных. В отличие от Соединенных Штатов, где расположены крупнейшие базы и хабы данных, в Европе по-прежнему главной сферой кражи данных являются не интернет-компании, а финансовые учреждения. Соответственно наиболее востребованным преступным рынком товаром являются производимые на заказ банковские трояны – вредоносные программы, предназначенные для сбора данных и манипуляции транзакциями.
Особая угроза связана с тем, что в последнее время функции денежных хранилищ все больше переходят к гаджетам и смартфонам, а оборот все больше осуществляется в безналичной форме. Согласно имеющимся данным в странах-членах ЕС до 90 % смартфонов не имеют достаточного уровня защиты от хакеров. Поэтому все более популярным видом преступности становится изготовление и эксплуатация программ, проникающих в электронные кошельки и крадущих цифровой кэш. Наибольшие масштабы эти кражи приобрели в Великобритании, Франции, странах Бенилюкс и Финляндии, а также Польше и Румынии. Наиболее низкий уровень наблюдается в Германии, Австрии, Швейцарии, где электронные платежи гораздо менее популярны.
Угроза – эксплойт
Эксплойты – это программы или скрипты, которые используют уязвимости в программах и приложениях для загрузки вредоносного софта на уязвимые машины. К числу наиболее популярных в 2015 г. эксплойтов следует отнести Dyre, Timba, Dridex, Carberg, Torpig, Chylock.
Наибольший ущерб в странах ЕС нанесли эксплойты Zeus и Spyeye. Эти две программы нанесли Европе ущерб в несколько десятков миллионов евро. реальный ущерб видимо гораздо больший. Обе программы разработаны российскими хакерами. Человека, который занимался продажей этих эксплойтов, прежде всего, Spyeye, удалось обнаружить в ходе Трансатлантической полицейской операции. В настоящее время русский хакер по фамилии Панин заключен в американскую федеральную тюрьму.
Угроза спама
В 2015 г. объем спама в Европейском киберпространстве существенно возрос. Спам является наиболее распространенным и дешевым способом распространения вредоносного программного обеспечения через электронную почту и ссылки в социальных сетях. Как правило, спам в Европе используется для установления удаленного, незаметного для пользователей, контроля над их компьютерами и гаджетами и создания обширных бот-сетей, используемых для киберпреступной деятельности. Основной объем спама в Европу поступает из России, Украины и Китая.
Все шире используются спамовые программы, как средства доставки других, еще более вредоносных специализированных программ. Подавляющая часть таких программ, как Zeus и других перечисленных выше попадает в сети через электронную почту.
В апреле 2015 г. ЕВРОПОЛ и J-CAT объединили свои усилия с европейским частным сектором и американскими коллегами из ФБР для борьбы с лавиной спамам из стран, не входящих в ЕС и НАФТА. В настоящее время правоохранители по обе стороны Атлантического океана согласованно действуют против российских, украинских и китайских хакеров и киберпреступников.