Киберпреступники — от одиночек до организованных групп, нередко связанных с определенным государством, — заработали за год $1,5 трлн, говорится в отчете межбанковской платежной системы SWIFT и BAE Systems Applied Intelligence “По следам денег” (Follow the Money). Но украсть деньги — это только полдела: чтобы ими пользоваться, надо их отмыть. Без банков тут не обойтись. Основываясь на приемах, которые использовались при крупных кибератаках на платежные системы банков (и системы управления сетью банкоматов), SWIFT и BAE описывают запутанную схему, в которой задействованы так называемые денежные мулы, подставные компании, инсайдеры и криптовалюта.

Эта война бесконечна: банки инвестируют в развитие технологий и информационной безопасности, а злоумышленники придумывают новые методы обхода систем безопасности и схемы вывода полученных денег.

Три цикла стирки

Замышляя кибератаку, преступники заранее готовят и легализацию похищенных денег. Она традиционно проходит в три этапа.

Внедрение. Сначала деньги надо ввести в финансовую систему — зачислить на банковские счета.

Маскировка. Затем надо замести следы — деньги перемещаются по финансовой системе, чтобы замаскировать их происхождение и собственность.

Выход из тени. После этого отмытые деньги снова попадают в законную экономику либо инвестируются в преступное предприятие.

Внедрение

Чтобы отмыть украденное, нужен доступ к банковским счетам, на которые будут перечисляться деньги. Это ключевой шаг в отмывании, мошенникам надо избежать любых подозрений. Иногда банки открывали счета добросовестно, не зная, что документы клиента фальшивые, либо использовались настоящие паспорта людей, которых преступники принуждали к открытию счета. Чтобы избежать подозрений, такие счета создавались за несколько месяцев до ограбления. Так возникает меньше вопросов, почему в какой-то момент на счет начнут поступать крупные суммы.

Казалось бы, банки за столько лет должны были научиться распознавать фиктивные компании, а принцип “Знай своего клиента” (KYC) заставляет проверять каждого. Тем не менее были случаи, когда наличие инсайдера в банках помогало злоумышленникам избегать или минимизировать комплаенс при открытии счетов.

При атаке на банкоматы преступники должны заранее завербовать людей, которые заберут из банкоматов украденную наличность. Второй подготовительный этап — вербовка “денежных мулов”, которые будут переводить деньги дальше.

 “Денежные мулы”

Они нужны кибермошенникам независимо от цели и способа ограбления. Их роль — запутать цепочку между преступлением и переходом денег к самим преступникам. Счета могут открывать участники преступной группы, а могут и ничего не подозревающие люди, которых обманом уговаривают использовать свои счета в преступных целях.

Задачи у “денежных мулов” разные — контроль за банковским счетом, получение средств на счет до перевода их преступнику, использование поддельных документов для открытия счета за вознаграждение, снятие украденных денег в банкоматах. Именно “мулы” являются слабым звеном во всей цепочке: на них первых падает подозрение, их первыми вычисляют и арестовывают (например, в банкоматах, с которых крадут деньги, часто установлены камеры).

Киберпреступники креативно подходят к вербовке “денежных мулов”, например, обещают легкий заработок, используя объявления о работе, онлайн-сообщения, социальные сети. Целевая аудитория — это молодые люди, например те, кто планирует получить платное образование, или взрослые, которые не работают и могут рискнуть ради легкого заработка. Из таких псевдообъявлений трудно сделать вывод о конечной цели “работы”. Пример: вакансия “девелоперской компании” с ежемесячным окладом порядка $10 000 плюс комиссии подразумевала общение с потенциальными инвесторами проектов через электронную почту или телефон, разъяснение им сути проектов и обеспечение удобных способов инвестирования между инвестором и компанией-застройщиком.

Обычно в крупной операции участвует около 10 “денежных мулов”. Но бывают исключения. Например, в 2017 г. хакерская группировка Lazarus благодаря вредоносной программе за два часа сняла наличные в 12 000 банкоматов в 28 странах.

Маскировка

Деньги, снятые с банкоматов, как правило, немедленно конвертируются в доллары в обменниках. Тут предполагается соучастие или халатность сотрудников обменников. Иногда, сняв деньги в банкомате, “денежный мул” передает их другому посреднику, и лишь после этого они доходят до самого преступника.

Для маскировки денег используются счета подставных компаний, часто из юрисдикций, известных жесткими законами о банковской тайне или недостаточным противодействием отмыванию денег, — Ирана, Пакистана, Северной Кореи, Кении и других стран из черного списка FATF. Формально такие компании часто производят текстиль, одежду, морепродукты, занимаются рыболовством.

Киберпреступники используют для отмывания денег и реальные предприятия, которые работают в основном с наличными деньгами: это компании рынка предметов роскоши (золото, алмазная и ювелирная промышленность) и казино. Казино, например, может конвертировать наличные в фишки, а затем обменять их обратно для внесения в банк и выдать чек, подтверждающий законность операции. Особенно удобно, что в некоторых юрисдикциях имена и выигрыши не регистрируются.

Выход из тени

Последний шаг — вложить отмытое: инвестировать в бизнес или что-то купить. Среди активов, которые привлекут наименьшее внимание правоохранительных органов, — имущество и ювелирные изделия. Зачастую награбленное инвестируется в преступный бизнес, в частности в наркотики. Более трети организованных преступных групп в Европе, включая киберпреступников, непосредственно участвуют в производстве или обороте запрещенных средств, говорится в отчете. Все большей популярностью пользуются криптовалюты — благодаря их анонимности.

У арестованного лидера одной из хакерских групп обнаружилось 15 000 биткойнов на сумму $109 млн. При обыске в его доме нашли два спортивных автомобиля и ювелирные изделия на $557 000. Группа действовала на международном уровне: ферма, где производились биткойны для отмывания украденных средств, находилась в промышленном здании в Восточной Азии, в то время как многие из арестованных были выходцами из Восточной Европы, а лидер группировки тратил награбленное в Западной Европе.

Sheme-SWIFT.png