Как киберпреступники отмывают похищенные у банков деньги

Как правило, деньги, до которых удается добраться преступникам, проходят сложный маршрут, прежде чем их получают организаторы атаки. Рассказываем об их нелегком пути.

У некоторых киберпреступных группировок атаки на банки и иные финансовые учреждения поставлены на поток. Всем известно, что чаще всего отследить похищенные средства практически невозможно, но не все четко понимают, почему. О том, как злоумышленники отмывают украденные деньги, рассказали в совместном исследовании компания BAE Systems и исследователи платежной системы SWIFT.

Откуда и как уходят деньги

Атака на банки может идти по двум сценариям — непосредственно на инфраструктуру банка и счета или же на банкоматы и связанные с ними системы. Разумеется, схемы вывода и последующего отмыва денег после этого немного различаются. Но суть одна — злоумышленники пытаются вернуть средства, добытые неправомерными способами, в экономику.

Традиционно в криминалистике непосредственный процесс отмывания денег делят на три стадии:

  • размещение — первый перевод со счета жертвы на счета мошенников или вклад похищенной наличности;
  • наслоение — проведение многочисленных операций, которые призваны скрыть происхождение средств и их настоящего владельца;
  • интеграция — отмытые деньги инвестируются в легальный или криминальный бизнес.

Последний этап — интеграция уже отмытых средств обратно в экономику — это отдельная тема, которая заслуживает отдельного поста. Поэтому подробно рассматривать его здесь мы не будем. Однако поскольку поиск методов отмывания денег после успешной атаки — не вариант, добавляется еще одна фаза. Задолго до того, как финансы будут похищены и механизмы легализации финансов придут в действие, начинается процесс подготовки.

Подготовка

Для того чтобы украденные средства можно было быстро перевести, злоумышленники, как правило, готовят множество счетов, принадлежащих физическим или юридическим лицам. Это могут быть счета ничего не подозревающих людей, доступ к которым был захвачен злоумышленниками; людей, втянутых в мошенническую операцию обманом; или же добровольных помощников киберпреступников.

Люди, оказывающие помощь злоумышленникам, обычно называются «мулами». Иногда их используют для открытия счетов по поддельным или краденым документам (разумеется, так просто это не провернуть — чтобы банк не распознал подлог, у преступников должен быть инсайдер). Иногда мулов вербуют через рекрутинговые агентства, маскируя откровенную незаконность своего предложения мутными формулировками вроде «организация удобного метода инвестирования». На самом деле такие люди, как правило, четко понимают, что участвуют в чем-то незаконном, но предпочитают закрывать на это глаза — уж больно выгодное предложение.  Таких «сообщников» чаще всего обманывают.

Размещение

Итак, злоумышленникам удалось при помощи вредоноса, социальной инженерии или инсайдера перевести деньги на некий счет. В этот момент в игру вступают мулы. Они действуют следующим образом:

  • переводят финансы на другие счета, чтобы запутать следы;
  • заказывают товары на свой адрес (или на адрес, который к которому они каким-либо образом имеют доступ);
  • снимают деньги в банкоматах.

Есть еще такой вид вариант мошенничества: людей нанимают работать в компанию, которая якобы помогает иностранцам покупать товары в магазинах, не пересылающих товары за границу. То есть они получают и отправляют посылки международной почтой. Работают такие организации, как правило, месяц-два. Далее к ним приходит местная полиция.

Наслоение

Когда товары или деньги в банкоматах получают сообщники, действующие сознательно, то добыча легализуется по давно отработанным схемам обычной преступности. Деньги обмениваются на свободно конвертируемую валюту (чаще всего доллары); вещи (чаще всего электроника) сдаются скупщикам. Разумеется, и у обменных пунктов, и у магазинов, скупающих предметы, должны работать какие-то механизмы для выявления потенциально незаконных сделок, однако они чаще всего обходятся — либо благодаря халатности, либо с использованием взяток. Полученные деньги через какие-нибудь третьи руки передаются организаторам схемы. Разумеется, мулов могут поймать. Но максимум, что могут найти представители закона — это самих мулов и их процент. Ни основной части похищенного, ни контактов организаторов преступления обнаружить не удается.

Далее наличные отмываются по «классическим» преступным схемам: покупка драгоценностей или металлов (этот бизнес до сих пор часто предпочитает работать с наличностью) или покупка и последующая продажа фишек в казино.

Если же деньги переводятся дальше безналично, то к процессу подключаются подставные компании, работающие в разных государствах. Обычно они находятся в странах, где нет жесткого контроля за финансовыми транзакциями, либо где очень строгие законы, охраняющие тайны коммерческих сделок. Несколько переводов с дроблением и конвертацией в разные валюты — и вот уже происхождение денег не отследить. И это не обязательно фирмы-однодневки, у них может быть и частично легальный бизнес, в который похищенные деньги вливаются незаметным потоком.

Сравнительно недавно для отмывания денег стали использовать криптовалюты. Они привлекают злоумышленников тем, что для совершения транзакций пользователю не нужно предоставлять свои персональные данные. Однако этот метод не так прост, как кажется. Ведь наряду с анонимностью валюты на базе блокчейна еще и абсолютно прозрачны. Так что для вывода средств приходится делать множество транзакций. Например, в 2018 году группировка Lazarus после взлома криптовалютной биржи вывела $30 миллионов, а потом за четыре дня совершила 68 переводов между разными кошельками.

Практические выводы

Как мы видим, киберпреступники выстроили сложную и многоступенчатую схему отмывания денег. В процессе они много раз меняют счета, компании, форму представления, валюту, юрисдикцию. И все это занимает считаные дни. Некоторые компании за это время еще даже не замечают, что были атакованы.

Поэтому разумнее всего именно банкам взять дело в свои руки и выстраивать систему кибербезопасности таким образом, чтобы минимизировать возможность взлома финансовых систем и получения контроля над ними. У нас есть специальный продукт, ориентированный именно на банки и другие финансовые учреждения: платформа Kaspersky Fraud Prevention. Она позволяет не только обеспечить поведенческий анализ пользователей и контроль транзакций и финансовых операций, но и отслеживать попытки отмывания похищенных денег через ваш банк. Узнать о нем подробнее можно на сайте решения.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.