Join
@garant_copy
December 3, 2018

Профессия: киберкриминалист.

У нас много секретов: не все кейсы из своей работы мы можем раскрывать, но, когда ты рассказываешь друзьям, как преступники могут украсть деньги, данные, переписку или фоточки, — все, что близко и дорого каждому человеку, — это вызывает шок и священный трепет. Потому что похоже на уличную магию.

Кибер-Шерлок

Я учился в Саратовском госуниверситете: окончил факультет компьютерных наук и информационных технологий, кафедру теоретических основ компьютерной безопасности и криптографии, моя специальность — «компьютерная безопасность». Еще в школе к нам приходил преподаватель из этого вуза и рассказывал про криптографию и шифрование совершенно завораживающие вещи. В тот момент я уже выбрал для себя, чем хочу заниматься.

На втором курсе я, как практикант, смог поработать вместе со своим преподавателем — Юриным Игорем Юрьевичем. Его компания занималась компьютерными экспертизами и оказывала содействие правоохранительным органам.

Мне было интересно разбираться, как можно использовать программы, находить в них уязвимости. Здесь есть романтика, как в книгах про Шерлока Холмса.

Интересно понять и раскопать, отмотать хронологию развития инцидента от конца к началу — до выяснения причин и обстоятельств.

Наши исследования были довольно простые — Саратов не был в тренде по уровню киберпреступлений. Тогда была популярна кража паролей. Только появился безлимитный интернет, а с ним и люди, которые занимались компрометацией логинов и паролей у юрлиц. Они просто хотели у себя дома качать фильмы и музыку с хорошей скоростью. Иногда приходилось исследовать цифровые носители, которые принадлежали моим однокурсникам.

Но были и достаточно серьезные преступления. Например, в 2004 году — дело так называемых балаковских хакеров. Эти люди занимались вымогательством у зарубежных брокерских компаний. Они грозили DDOS-атаками и требовали десятки тысяч долларов за прекращение атак. В итоге хакеров задержали. Это был крупный и интересный кейс, в котором саратовские коллеги принимали очень активное участие.

К тому времени я уже понял, что самые современные киберпреступления совершаются не в Саратове, и, чтобы повысить квалификацию, переехал в Москву.

Как работают киберкриминалисты

Когда я искал работу в Москве, мне очень понравилось описание вакансии в Group-IB. Там было сказано, что команда работает на результат. Поэтому можно поспать подольше, прийти к 11, быстренько сделать все дела и уже в обед пойти отдыхать. Это была правда, но лишь отчасти.

Мы придем на работу к 7 утра, а уйдем — через двое суток, если это нужно для работы.

У нас случаются ночные выезды. Поэтому график ненормированный, нет строгого распорядка, как на госслужбе.

Рабочее место киберкриминалиста — это его компьютер с тремя-четырьмя мониторами и топовым железом, потому что у нас крайне важна скорость обработки данных. Плюс личный ноутбук, который персонально настроен под сотрудника, с учетом его стиля работы и привычек. С таким ноутбуком удобно выезжать на инцидент.

Нам звонят и говорят: «Я сейчас смотрю на счет своего банка и вижу, как с него утекают деньги. Давайте что-то делать». В пределах часа мы уже на месте. Даже если в момент звонка спали у себя дома. В компании есть дежурные специалисты, которые отвечают на такие звонки 24\7. Но мы легко можем сорваться с оперативным чемоданчиком для выезда, потому что от скорости реакции будет зависеть многое.

Пока мы едем — консультируем человека удаленно, чтобы снизить потенциальный ущерб и сократить время действия злоумышленников. При этом очень важно сохранить максимально полное количество данных. Чем больше данных мы соберем, тем выше шансы, что удастся быстро найти и задержать преступников.

Несмотря на то что мы проводим расследование в киберпространстве, используем информацию из сети Интернет, чтобы попытаться идентифицировать злоумышленников, все это оформляется документально. Следственные мероприятия проходят так же, как и при расследовании обычных преступлений. Злоумышленников также задерживают, проводят у них обыски, а дело доводят до суда.

Необычные запросы и спасение жизней

Запросы бывают самые разные. Например, однажды к нам пришел человек и принес с собой огромную стопку документов. Ему казалось, что за ним следят и скачивают данные с его мобильного устройства. Поэтому он восемь месяцев подряд днем и ночью каждые 4 часа замерял степень разряженности своего устройства и то, насколько сильно оно греется. Были даже графики с данными, что ночью его телефон разряжается сильнее, чем днем. И человек сделал вывод, что к его устройству кто-то подключался и что-то скачивал.

Нас лично очень затрагивают запросы по поводу детей, которые уходят из дома.

Здесь наша работа заключается в том, чтобы восстановить цепочку событий. Мы ведем таких детей по камерам видеонаблюдения на улицах, чтобы проследить их маршрут, проверяем самые свежие поисковые запросы, исследуем личные компьютеры — ищем бэкапы данных мобильного телефона, переписки и файлы.

Когда была история с так называемыми группами смерти, мы помогали разыскивать и задерживать админов таких сообществ.

И были случаи, когда благодаря нашим данным удавалось снять подростка с крыши за минуту до рокового шага. В такие моменты ясно чувствуешь, что твоя работа действительно полезна.

В случае громких инцидентов мы выезжаем в любую точку мира и проводим наши работы. Речь идет о крупнейших мировых банках и многомиллионных ущербах. Как правило, при таких запросах мы обнаруживаем то, чего не видел еще ни один антивирус.

Как работают хакеры

Основная доля злоумышленников — это финансово мотивированные хакеры, которым интереснее всего украсть деньги — как у самих банков, так и у их клиентов. Есть и те, чья цель — украсть данные, госсекреты, устроить кибердиверсию. Еще существуют хакеры, которые создают вирусы-шифровальщики. Их целью может быть и банальное вымогательство денег за расшифровку данных, и масштабный саботаж. А некоторые люди просто занимаются хищением данных, составляющих коммерческую тайну. Например, недобросовестные сотрудники, которые имеют доступ к данным компании и используют их ради личного обогащения. Обычно это те, кто плохо уволился и пытается нанести ущерб компании, или те, кто просто получил данные и пытается их продать.

Какого-то суперзлодея, который решил, как в кино, захватить власть над миром, я не знаю. Есть группы людей, которые могут по уровню ущерба сильно выделяться среди других. Например, ущерб больше 1–3 млрд рублей — это огромная сумма. И тем не менее это не суперзлодеи, а просто преступники с жаждой наживы.

В хакерской группе может быть один-два участника, а может — и 40–50 человек, с четким разделением труда. Разные участники пишут вирусы, ищут уязвимости в структурах, занимаются выводом и обналичиванием денег. Причем те, кто натурально стоит у банкомата и получает украденные деньги, могут состоять сразу в нескольких группировках — работать на подряде. Их услугами могут пользоваться разные группировки за 50–60% от украденной суммы.

У каждой группы свой стиль. Некоторые ищут инсайды, другие — работают самостоятельно. Одни обогащаются за счет числа совершенных преступлений, а другие атакуют точечно и тонко, но причиняют очень большой ущерб. Киберпреступность постоянно развивается, придумывает новые способы мошенничества. Но мы тоже все время повышаем свой уровень — думаем на опережение и разрабатываем средства предотвращения таких атак.

Самое горячее время для хакеров — это вечер пятницы. В конце рабочей недели люди уже не столь бдительны, не проверяют состояние своих счетов, плюс есть целые выходные на обналичивание украденных денег. Нормальные люди в пятницу вечером отдыхают, а для нас это самое время поработать.

Светлая сторона силы: как стать киберкриминалистом

Есть две главные составляющие профессии.

  • Первая — это технические навыки, математическое, логическое мышление, пытливый ум. Сюда можно добавить навыки администрирования, информационной безопасности, базовые знания процессов взаимодействия систем, знания о типах хранения данных. Совсем без базы начинать будет довольно сложно.
  • Второе важное требование — этические нормы, как бы это ни звучало. Наша работа предполагает постоянное противоборство с компьютерной преступностью. И объемы хищений бывают просто огромными. Соответственно, киберпреступники обладают большими бюджетами: деньги идут на разработку новых способов совершения преступлений, на поиск инсайдеров и в том числе на возможные действия в отношении экспертов, которые занимаются расследованиями. На мой взгляд, нужно обладать сильным характером и с детства знать, что ты на светлой стороне, чтобы в какой-то момент отказаться от поступающих со стороны злоумышленников предложений. Это некая струнка, которая формирует характер человека, создает образ положительного героя.

Киберкриминалистика — сложная отрасль с точки зрения поиска и подбора персонала, потому что этому нигде серьезно не учат, в университетах отсутствует такая дисциплина. Есть пара вузов, где в виде факультатива можно научиться чему-то.

Нам интересны студенты технических вузов. Специальности — связанные с компьютерной безопасностью, криптографией, разные математические направления. Среди наших сотрудников много выпускников Бауманки и МИФИ. Опыт показывает, что из гуманитария практически невозможно сделать специалиста с мышлением математика, с навыками компьютерной безопасности. Исключение — самоучки, которые в какой-то момент решили сменить гуманитарный профиль, но таких крайне мало.

У нас есть отличный опыт выращивания сотрудников. Мы приглашали с последних курсов университета на полставки людей, которые потом превращались в мегаспециалистов в киберкриминалистике и расследовании киберпреступлений.

Наверное, самые лучшие сотрудники — именно те, кого мы обучили сами.

Компания уже на том этапе, когда хотелось бы рассматривать больше специалистов с опытом. Но такие люди попадаются довольно редко. В основном потому, что всех «звезд» мы уже собрали у себя.

Как защитить свои данные от хакеров

Навыки защиты своих личных данных напрямую связаны с корпоративной безопасностью. Трафик компании проходит через несколько систем защиты, а личный гаджет провоцирует неконтролируемые действия. Люди подключаются к корпоративному вай-фаю, скачивают что-то с личной почты, и все эти действия могут быть потенциально опасны для данных компании.

Надо понимать, что в случае кражи денег или данных компания потратит огромные ресурсы, чтобы с этим разобраться.

И когда человек отдает себе в этом отчет, он начинает ответственнее относиться к любым своим действиям.

Важно соблюдать простые правила цифровой гигиены, например:

  • обязательно настраивать двухфакторную аутентификацию для доступа ко всем своим аккаунтам;
  • нельзя использовать простые пароли, не стоит их хранить на бумажке, приклеенной к компьютеру;
  • не надо писать пин-код от своей карты на ней же;
  • если вы трепетно относитесь к тому, какие ресурсы посещаете и какие письма открываете, то это снижает риск.

Подпишись на наш канал @swaproservice.

December 3, 2018, 05:55
0 views
0 reactions