- Каковы сегодня потери от интернет-преступлений и в частности фишинга?
- Ни для кого не новость, что Интернет помимо новых возможностей несет и новые угрозы. Мошенники, пользуясь условной анонимностью и безнаказанностью, чувствуют себя в Сети вольготно. Речь идет как о хищениях личной информации из почты и соцсетей, так и о хищениях платежной информации, чтобы потом украсть уже реальные деньги. К сожалению, нормативная база сегодня не позволяет эффективно обеспечивать безопасность граждан в Интернете.
Масштаб потерь очень значителен. По данным Центробанка, сумма потерь банков и их клиентов от действий мошенников в 2014 году превысила 3,5 млрд руб. Это подтверждает и последнее исследование ВЦИОМ, согласно которому жертвой интернет-мошенников становился каждый 3-й пользователь в России. При этом более 70% от числа всех несанкционированных операций с использованием платежных карт - фишинг. Сам рынок интернет-мошенничеств в России оценивается более чем в 400 млн долл. ежегодно, более 50 млн долл. приходятся именно на продажу данных, похищенных с помощью фишинга.
- Какие варианты интернет-мошенничества существуют?
- Как и любое мошенничество, мошенничество в Интернете основано на злоупотреблении доверием. Например, "нигерийские письма счастья", когда вам приходит письмо с предложением забрать себе часть огромного капитала семьи беглого африканского диктатора за его легализацию или помощь в выезде, либо вам сообщают об огромном наследстве, миллионов в двадцать долларов, на вашу фамилию. Просят контактный телефон, данные счета, куда можно перевести деньги, и потом уже просят отправить немного денег, всего 300-400 долларов на юридические формальности. Как ни странно, находятся доверчивые люди, которые верят мошенникам и отправляют эти деньги. Но гораздо чаще мошенники действуют более изощренно. Для воровства данных и денег они создают в Интернете копию хорошо известного сайта банка либо интернет-магазина, почтового сервиса или социальной сети. Потом заманивают туда посетителей. Дают яркую рекламу в баннерных сетях. Рассылают почту с якобы сообщениями от вашего банка, присылают рекламу с невиданными скидками якобы от известных интернет-магазинов или продавцов авиабилетов, рассылают фальшивые "сервисные" сообщения от соцсетей. Но ссылка в сообщении ведет не на сайт банка, а на сайт мошенников. При этом мошенники специально регистрируют доменные имена, максимально похожие на имена сайтов-оригиналов. Эта технология хищения данных, в том числе и платежных, и называется фишинг. При этом фишинг осуществляют не только через Интернет, но и с помощью других средств связи. Например, рассылают sms-сообщения якобы от банков, потом обзванивают своих жертв с целью выманивания персональных и платежных данных.
- Какова ответственность за интернет-мошенничество и в частности фишинг?
- Сегодня в УК РФ есть ряд статей за преступления в области информационных технологий. Можно наказать и за несанкционированный доступ к вашим данным, и за воровство денег. Более того, в статью 159 УК РФ добавлен отдельный состав (159.6) - мошенничество в сфере компьютерной информации. Но для привлечения к уголовной ответственности преступника нужно поймать, а для этого нужны специалисты очень высокой квалификации. Такие специалисты есть, например в БСТМ (Бюро специальных технических мероприятий) МВД, но они очень загружены, и, как правило, прилагаются наибольшие усилия для раскрытия резонансных преступлений либо нанесших особо крупный ущерб. За сам фишинг наказание не предусмотрено. Мошенники стараются разбивать преступление на несколько частей. То есть сначала воруют данные о кредитных картах, а потом украденные данные продают следующим преступникам, которые и осуществляют хищение денег либо используют ваши данные в иных корыстных целях.
- Каким образом государство борется с фишингом?
- Действующая редакция статьи о финансовом мошенничестве 187 УК РФ ("Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов") предусматривает для нарушителей лишение свободы на срок до 7 лет и штраф до 1 млн руб.
В Госдуму в июне 2014 года был внесен правительственный законопроект, который дополняет статью 187 ответственностью за изготовление и сбыт, в частности, скимминговых устройств, которые мошенники устанавливают на корпус банкоматов и копируют данные, записанные на магнитную полосу карты (номер, срок действия, PIN-код), но про фишинг, опять же, в нем не было речи. В ноябре-декабре 2014 года Национальный совет финансового рынка (НСФР) подготовил законопроект, предусматривающий изменение статей 159.3 и 187 УК РФ, а также дополнение Уголовного кодекса. В документе было предложено установить двухмиллионный штраф и лишение свободы сроком до 10 лет уже именно за фишинг (кражу логинов и паролей клиентов). Инициативу также поддержал Центробанк. Но развития законопроект не получил. Сейчас мы разрабатываем новый антифишинговый законопроект.
- В чем его суть?
- Я считаю необходимым создать механизм по блокировке фишинговых сайтов. Роскомнадзор уже сейчас умеет блокировать сайты, распространяющие запрещенную информацию в России. Это детская порнография, пропаганда суицида, реклама наркотиков и рецепты их изготовления, и информация, в отношении которой есть соответствующее решение суда. Должна появиться возможность блокировать и фишинговые сайты. Есть два варианта: либо относительно мягкий вариант, когда банк либо интернет-компания, обнаружив фишинговый сайт, будет обращаться в суд, например в Мосгорсуд, по аналогии с защитой авторских прав в Интернете, и с решением суда уже обращаться в Роскомнадзор с требованием обеспечить прекращение функционирования фишингового сайта. Второй вариант - более жесткий, но в то же время более действенный - досудебная блокировка по решению уполномоченного государственного органа. Тогда на сайте Роскомнадзора появится функция сбора информации о фишинговых сайтах. После проверки на спам будет приниматься решение о блокировке. Если будет выбран жесткий вариант, то решение по фишинговым сайтам, похищающим платежную информацию, может принимать Центробанк, а по сайтам, созданным для воровства персональной информации пользователей других порталов, решение может принимать Роскомнадзор. Кроме того, можно уточнить диспозицию статьи 159.6 УК РФ - Мошенничество в сфере компьютерной информации, чтобы фишинг подпадал под ее состав. Считаю, что в некоторых случаях состав должен быть формальным и преступление должно считаться оконченным в момент, когда фишинговый сайт становится доступен пользователям Интернета.
- Планируете ли вы привлечь к работе над законом экспертов в области инфобезопасности?
- Разумеется, подобный законопроект должен быть разработан с привлечением специалистов из ключевых ведомств и представителей компаний и банков, предоставляющих финансовые услуги через Интернет.
- Рассматриваете ли вы опыт других стран в этой сфере?
- Конечно. Борьба с фишингом ведется во всем мире. Существуют правила Корпорации по управлению доменными именами и IP-адресами - Internet Corporation for Assigned Names and Numbers (ICANN). Эти правила распространяются на домены NET, COM, JRG, BIZ и т.д., предусматривают обязательное административное разбирательство в случаях, если третье лицо заявит на владельца сайта и обвинит его в использовании идентичного или сходного названия, чтобы получить прибыль либо ввести потребителей в заблуждение. Производители веб-браузеров, антивирусов и крупнейшие поисковики самостоятельно ведут борьбу с фишингом. Они собирают базы данных существующих поддельных сайтов, выдают пользователю предупреждение либо ограничивают доступ.
В Великобритании антифишинговый закон вступил в силу в 2007 году. В США в 23 штатах и на острове Гуам приняты законы, устанавливающие ответственность именно за фишинговое мошенничество.
Разумеется, мы будем учитывать и иностранный опыт при разработке законопроекта.
Юлия Воронина