Roadmap
Расследование киберпреступлений — Фрод в маркетплейсах — Внутреннее и внешнее мошенничество
В чем заключается ваша работа?
Мой основной профиль — OSINT-расследования. Ко мне обращаются, когда внутренняя антифрод-команда компании не может самостоятельно разобраться с инцидентом. Грубо говоря, я занимаюсь выявлением мошенников и поиском доказательств: разбираюсь, как именно действовал преступник, ищу улики и составляю отчет, который при необходимости можно использовать в суде.
Приведу пример: некий Василий становится директором компании по торговле бетоном. Развивает ее ровно настолько, чтобы получить хороший кредитный рейтинг, и набирает займов на 1 млрд руб. Дальше Василий подделывает заключение Европейского суда, по которому его бетонный завод должен какой-нибудь кипрской конторе этот самый миллиард. Отправляет деньги в уплату долга на офшорный счет и готовит предприятие к самобанкротству. Профит — у Василия есть миллиард за вычетом комиссии за услугу обнала!
Понятно, что это очень утрированный пример, но подобных схем управляемого криминального банкротства полно. И инвесторы, подозревая, что их топ-менеджеры ведут нечестную игру, обращаются к таким специалистам, как я.
Отмечу, что работа со взломами и их последствиями не входит в зону моей ответственности, для этого существуют команды инцидент-респонса. Иногда я участвую в подобных проектах (бывает, даже в пентестах), но это не моя основная деятельность
Сколько людей нужно, чтобы расследовать киберпреступление? Предпочитаете работать в одиночку или с командой?
Работать с коллегами всегда интереснее, потому что только фулстек-команда может расследовать сложные и масштабные инциденты. Сейчас я партнер в агентстве BIH Consulting, которое специализируется на внутрикорпоративных исследованиях и цифровой криминалистике.
На каком этапе вы обычно подключаетесь к инцидентам?
Предположим, у компании украли базу данных. Мошенники могут просто скрыться, но обычно они выставляют информацию на продажу в даркнете. Таким образом возникает постсобытие, по которому компания узнает об инциденте, например «украденные данные оказались в общем доступе». Чтобы разобраться, как и почему это произошло, заказчик обращается ко мне.
Представьте временную шкалу инцидента (см. рис. 1). В определенный момент в нормальном состоянии системы возникает аномалия: значит, нам нужно анализировать отрезок с этого момента до постсобытия. В ход идут все данные, которые сможет предоставить компания: логи, выгрузки, история обращений к админке и т. д. По итогам я составляю уже упомянутый отчет и описываю в нем свои выводы.
Какие инструменты вы используете для расследования и анализа информации?
Google- и Excel-таблицы :) OSINT-инструментов полно (например, боты и сервисы на GitHub для обогащения данных по идентификаторам), однако все гипотезы в конечном счете приходится проверять вручную. Нейросети, кстати, тоже не панацея: иногда они помогают выявлять неочевидные связи, но могут галлюцинировать и давать не совсем точные ответы для уникальных запросов.
С кем вы взаимодействуете во время расследования?
Как правило, мне дают доступ к строго ограниченному кругу лиц, поскольку заказчики не любят светить сам факт проведения расследования. Чаще всего я общаюсь с руководителем СБ, исполнительным или генеральным директором.
Иногда объективному расследованию мешают предубеждения заказчика. Если человек безоговорочно верит в свою гипотезу («Он точно ворует!»), то начинает подгонять под нее все возможные аргументы и факты
Из каких факторов складывается стоимость расследования?
В первую очередь это количество задействованных специалистов и затраченное время. Есть задачи, которые я могу достаточно быстро решить в одиночку. Например, компания планирует нанять нового топ-менеджера и хочет узнать о нем больше информации, чем есть в подчищенной выдаче гугла :) Если подобный проект занимает не более 4−5 дней, он будет стоить от 50 тысяч рублей.
Еще несколько примеров: произошла крупная кража, к которой совершенно точно причастен кто-то из сотрудников; есть подозрения в разглашении коммерческой тайны; учредитель изобретает сложную схему ухода от субсидиарной ответственности, в которой нужно найти преднамеренное нарушение закона. Такие расследования могут продолжаться не один месяц и включать как цифровую криминалистику, так и элементы экономической разведки. В этом случае ценник может доходить до 500+ тыс.
Сталкивались ли вы с преднамеренной подтасовкой данных?
Иногда я использую в расследованиях не только открытую информацию, но и материалы, предоставленные самим заказчиком: выгрузку переписок, историю авторизаций и т. д. Я не могу быть на сто процентов уверена, что эти данные кто-то не подправил. Если честно, я не особо в это верю, но не исключаю, что это, в принципе, возможно. В таких случаях я обязательно указываю в отчете: «Выводы были сделаны исходя из предоставленных клиентом данных». Не хотелось бы оказаться для суда человеком, который верифицировал недостоверную информацию, да и статус частного детектива обязывает соблюдать должную осмотрительность :)
Типовой кейс
Предположим, компания объявляет о выходе на новый рынок или о заключении крупного партнерского соглашения. Сразу начинается информационная атака: «Это скам, CEO — мошенник! Посмотрите вот на эти судебные акты из Европейского суда…». Обычно первыми информацию размещают обезличенные дроповые страницы в соцсетях, потом появляются комментарии на сайтах-отзовиках, подключаются «желтые» СМИ, а следом за ними и нормальные медиа (с фактчекингом у большинства из них все не очень хорошо). Компания обращается ко мне, чтобы разобраться и найти заказчика атаки.
Как бы я организовала работу в этом случае. Есть два вектора, по которым можно двигаться — цифровой след и мотив.
- Цифровой след
Нужно анализировать страницы в соцсетях (Facebook*, YouTube*, X* и др.), с которых идет «компромат», и по возможности собирать метаданные и пересечения с реальными людьми. Например, здесь часто помогают графы социальных связей, на которых видно, как дропы связаны друг с другом: один оказывается у другого в друзьях, третий просто посещал их страницы и т. д. В конечном счете можно выйти на живого человека. Это не всегда исполнитель схемы, бывает, что скамер заплатил нормальному блогеру за публикацию, а я вышла именно на последнего. Это тоже хорошо — он может сообщить новые детали, но так бывает не всегда. Иногда мошенники ломают такие страницы, покупают их у самих блогеров либо на бирже (уже взломанные кем-либо).
- Мотив
Заказчиком атаки могут быть конкуренты, обиженный сотрудник или клиент-мошенник, которому отказали в выводе средств, полученных преступным путем. Каждую из ниточек надо раскручивать в поисках связей.
Отмечу, что за подобные атаки на российские компании через Facebook* или X* злоумышленникам, к сожалению, ничего не будет. Эти соцсети запрещены в России, а значит, и распространять недостоверную информацию в них как бы невозможно
* Запрещены на территории России
Отдельно о маркетплейсах
У вас большой опыт работы с маркетплейсами. Расскажите, какие направления фрода распространены в этой сфере сегодня Различаются ли инциденты в зависимости от специфики площадки?
В обычных интернет-магазинах популярен мелкий и легко реализуемый фрод (он есть везде, но здесь особенно распространен). Например, подмена товаров при возврате или получение кешбэка за отмененные покупки.
Маркетплейсы контролируют операции между продавцами и покупателями и выступают в роли арбитров. Здесь злоумышленники пытаются манипулировать сделками, чтобы площадка заняла их позицию в ущерб продавцу (яркий пример — невыкуп товаров). Плюс существуют схемы со взломом личных кабинетов и т. д.
Наконец, классифайд-сервисы предоставляют продавцам и покупателям возможность общаться напрямую. Мошенники стремятся перевести коммуникацию в мессенджеры, чтобы выйти за пределы ИБ-контроля площадки. Дальше может произойти все что угодно: от запросов на предоплату до отправки вредоносов и ссылок на фишинговые страницы.
Выросло ли за последние годы число подобных инцидентов?
Да, причем заметно. Пользователи открыто делятся информацией о способах абьюза торговых площадок, ведь максимум, что им за это грозит, — бан от конкретной платформы. Пока государство не начнет регулировать подобные кейсы, фрод никуда не денется.
Но есть и другая причина. Рынок поделен, маркетплейсы жестко конкурируют за каждого пользователя и в попытке обогнать соперников релизят непродуманные или непротестированные фичи. Логика проста: «Протестируем, если идея выгорит, проработаем как положено». Но никакой серьезной проработки, естественно, потом не случается. Как результат, причинами проблем с кешбэком, возвратами и невыкупом становятся банальные дыры в бизнес-логике. Я больше пяти лет проработала в антифрод-командах (к примеру, VK и Avito) и сталкивалась с подобными кейсами. Иногда компании сами провоцируют инциденты, с которыми потом пытаются бороться :)
С какими запросами к вам обычно обращаются маркетплейсы?
Во-первых, это крупные кражи, вывод денег и т. д. Чаще всего заказчик уже знает, кто совершил мошенничество: сотрудник компании, партнер, клиент и т. д. Люди находят лазейку и крадут деньги, но при этом остаются уверенными в своей правовой неприкосновенности. Вину мошенника нужно доказывать через суд, и моя задача — найти как можно больше зацепок, которые помогут привлечь его к ответственности.
Во-вторых, финансовые махинации. Одной картой платим, на другую получаем, в общем, классика :) С подобными кейсами сталкиваются все площадки, на которых человек может зарегистрироваться и как покупатель, и как продавец. Маркетплейсы активно с этим борются и запрещают сделки, не имеющие бизнес-смысла, с помощью всевозможных экспертных правил. Тем не менее злоумышленники постоянно придумывают новые аспекты сделок, чтобы все выглядело легитимно, и площадкам приходится бороться с ветряными мельницами. Когда очередная группировка начинает доставлять серьезную головную боль, компания обращается ко мне, чтобы раскрыть и остановить мошенников.
В-третьих, бывают запросы на предвосхищение инцидента. Из-за международных санкций маркетплейсам приходится постоянно искать новых поставщиков. Любое сотрудничество требует крупных финансовых вложений, и бизнес хочет заранее убедиться в добросовестности контрагента, чтобы не терять инвестиции. Стандартные выписки, справки и бизнес-реестры здесь не показательны, поэтому компания обращается ко мне, чтобы провести более детальное расследование и сформировать реальный портрет партнера.
Насколько вообще маркетплейсы заинтересованы в повышении своей защищенности?
В том-то и проблема, что сейчас мотивации не хватает. Само собой, маркетплейсы стремятся защититься от прямых финансовых потерь. При этом кейсам, в которых мошенники крадут деньги не у самой площадки, а у пользователей или продавцов, уделяется куда меньше внимания. Ведь это уже не прямые финансовые, а репутационные потери — в России это не так критично.
Вспомните громкие утечки: на мой взгляд, в этом плане отечественному бизнесу живется слишком уж легко :) Что будет, если российскую компанию взломают и сольют базу данных? Бизнес погрустит пару недель, извинится и будет спокойно жить дальше. Штрафы копеечные (но это пока!), а пострадавшие клиенты редко обращаются в полицию.
Да, вокруг все чаще говорят про trust and safety, но пока мы живем в текущей парадигме, у маркетплейсов практически нет мотивации повышать свою защищенность. Без кооперации среди игроков рынка и четкого госрегулирования проблему не решить.
Для чего ИБ-специалисту лицензия детектива?
Лицензия детектива позволяет проводить расследования и собирать информацию, пусть и с меньшими полномочиями, чем у полиции. Можно опрашивать людей, собирать фото- и видеоулики и т. д. При этом в суде показания детектива имеют больший вес, чем свидетельство обычного человека. Из неприятных моментов — дополнительные проверки со стороны правоохранительных органов.
В принципе, я как OSINT-расследователь могла бы прекрасно работать и без лицензии детектива, но так надежнее, поэтому сейчас я нахожусь в процессе ее получения :)
Внутренний и внешний фрод
Какая проблема острее стоит на рынке: внешнее или внутреннее мошенничество?
Обе! На внешний фрод направлено больше внимания, поскольку его невозможно скрыть, и подобные инциденты все-таки влияют на репутацию компании. Такие кейсы бизнес расследует в первую очередь. При этом компании нередко замалчивают о внутренних проблемах. Многие инциденты остаются нераскрытыми, хотя ущерб от них зачатую куда больше, чем от внешнего фрода.
Всегда ли внутренний фрод — намеренное правонарушение?
Нет, иногда все происходит по незнанию и даже невнимательности. Мошенники знакомятся с сотрудником компании, выуживают нужную информацию или побуждают выполнить вредоносные действия.
Иногда меня приглашают как социотехника, чтобы сымитировать фишинговую атаку и проверить устойчивость сотрудников компании. Практика показывает, что люди стали реже попадаться на веерные атаки (общий уровень киберграмотности растет), хотя порядка 40% из них по-прежнему успешны. А вот целевые атаки заканчиваются успехом практически в 100% случаев. Преступник может втереться в ваш круг общения, дождаться, когда вы оставите на кухне незаблокированный ноутбук, и украсть важные данные. Я не знаю ни одного человека, который был бы на 100% устойчив к целевой атаке.
Какие категории сотрудников требуют особого внимания со стороны службы безопасности?
Сами сотрудники СБ, которые иногда плохо работают :) Недостаток контроля приводит к тому, что любой сотрудник может стать вектором развития атаки. Забыли вовремя ограничить права? Поздравляю, у специалиста первой линии поддержки есть доступ к чувствительным данным! Кроме того, те же DLP-системы далеко не всегда настроены правильно и попросту не решают реальных ИБ-задач.
Простой пример: если у вас на ноутбуке есть Telegram, совершенно не факт, что DLP умеет его отслеживать. Да и в целом, зачем обходить СЗИ, когда можно обойти безопасника, который просто махнул рукой и ничего не настроил? :) Приходишь к ИБ-специалистам и объясняешь: «Проводим розыгрыш айфонов, нужны права на рассылку персданных через почту». Получаешь права, через месяц все об этом забывают, а у тебя остается учетка, через которую можно отправлять персданные без контроля DLP...
И последний вопрос. Что вы делаете, если результаты расследования показывают: сотрудник компании нарушил закон?
Передаю информацию заказчику и отдельно подсвечиваю, что выявила нарушение закона — нужно обращаться в полицию. В моей практике были такие кейсы: компании всегда подходили к вопросу адекватно и действовали в рамках закона.
Я не знаю ни одного человека, который был бы на 100% устойчив к целевой атаке
