Причем новой генерации - компьютерной, технически грамотные, хорошо оснащенные, хитроумные и трудноуловимые.

Криминальная зона

Количества и масштабы экономических афер и финансовых махинаций, осуществляемых в Интернете, достигли теперь уже таких степеней, что ставят под сомнения все плюсы "виртуальной" коммерции, традиционно декларируемые как ее безусловные преимущества перед коммерцией "реальной". Ну в самом деле - о какой эффективности, удобстве и уж тем более безопасности электронных транзакций можно вести речь, когда кражи в Интернете происходят чаще, чем в печально знаменитом нью-йоркском Центральном парке, а любая торговая web-операция может закончиться для предпринимателя так же, как путешествие средневекового купца через Муромский лес. Порядок ущерба, ежегодно наносимого компьютерными хищениями, уже сопоставим с суммарными доходами глобального интернет-бизнеса. А это вам не "воровство по мелочи", которому на заре эпохи Интернета особого значения не придавалось, - это серьезно, и сейчас деловую (да и не только деловую) общественность разных стран все больше начинают волновать проблемы защиты от экономической киберпреступности и противоборства ей. Проблемы, в орбиту которых оказываются вовлечены и сами бизнесмены, и их клиенты, и разработчики программно-аппаратных систем и web-сервисов, и правоохранительные структуры, и органы прокуратуры и суда, и законодатели.

Ведь Интернет и вправду превращается в исключительно криминогенную зону, где встречаются преступники любой национальности и профессии, любого социального положения и возраста. В начале прошлого года финансовые службы правительства США сообщили о поимке 17-летнего мошенника, умудрившегося за короткое время украсть миллион долларов. Коул Бартиромо, житель штата Калифорния, разместил на своем сайте и нескольких форумах сообщение, в котором обещал потенциальным инвесторам прибыль до 2500% от краткосрочных инвестиций. В течение всего лишь одного месяца ему удалось получить деньги на специальный счет в коста-риканском банке от тысячи человек, используя различные службы онлайновых платежей, в том числе и широко известную PayPal. Горе-инвесторы, обнаружив обман, подали жалобу в федеральные органы, которые нашли и банковский счет, и самогу предприимчивого тинейджера. Тюрьмы Коулу удалось избежать лишь по малолетству, да потому, что он оказался в состоянии вернуть все деньги, полученные с применением весьма примитивной мошеннической схемы. А вот Томасу Хаусеру за организацию фиктивных продаж на интернет-аукционах eBay и Yahoo! предстоит провести в заключении целых 12 лет. В результате 268 виртуальных сделок он получил от покупателей свыше 100 тысяч долларов, не поставив им взамен абсолютно ничего.

Данные, накопленные Интерполом, подтверждают тот факт, что за последние годы WorldWideWeb стал сферой самого активного роста преступности из всех существующих областей человеческой деятельности. И если в 2000 г. в США официально зарегистрированный ущерб от мошенничества в этой сфере составил 32 млрд. долларов, то к концу 2002 г. по самым предварительным оценкам эта сумма увеличилась по крайней мере вдвое (Источник: Детективное агентство Пинкертон. Частные расследования). Весьма симптоматично, что к числу наиболее интернет-криминализированных районов мира относятся и высокоразвитые в технологическом, экономическом и общественно-политическом смысле страны (прежде всего - США, Великобритания, Канада, Австралия), и развивающиеся государства (включая Россию, Румынию или, например, Индонезию), и даже целые африканские регионы, которые мы привыкли считать отсталыми (от Нигерии до Того). Формы и методы компьютерного воровства, наиболее распространенные в разных странах, естественно, отличаются друг от друга и зависят от того, какими видами web-служб чаще всего пользуются их граждане: здесь и уже упоминавшаяся "торговля воздухом", и использование фальшивых или украденных кредитных карточек, и аферы с банковскими счетами и переводами, и многое-многое другое.

Разница, кстати, существует и в подходе электронного бизнеса к сравнительной оценке своей потенциальной опасности при работе в том или ином регионе. Несмотря на абсолютное первенство Соединенных Штатов по количеству экономических киберпреступлений, не было пока зафиксировано ни одного случая бойкота этой территории какими бы то ни было структурами электронной коммерции. Зато все бывшие республики СССР, Индонезия и Румыния были изначально включены многими известными web-аукционами и торговыми фирмами в "черные списки" стран, куда предприниматели зарекались доставлять заказанные товары. По сведениям исследовательской компании Gartner, в четвертом квартале 2001 года был зафиксирован "пик торгового страха", когда примерно 12% всех интернет-продавцов вообще отказывались поставлять товары за рубеж. А большинство электронных коммерсантов США и Западной Европы и поныне открыто не доверяют кредитным карточкам, используемым иностранными клиентами, - особенно если эти карточки эмитированы местными банками. Продавцы предпочитают получать стопроцентную предоплату за товары и лишь потом высылать их.

Экспертами уже собрана богатая статистика, показывающая, что от web-воровства бизнес-структуры страдают гораздо больше, чем частные лица. Мужчины становятся жертвами подобных преступлений чаще, чем женщины, а пожилые люди чаще, чем молодые. Если верить выкладкам Центра анализа интернет-мошенничества (Internet Fraud Complaint Center), больше всего шансов стать жертвой компьютерных жуликов у участников онлайновых аукционов: почти 43% всех случаев мошенничества, зафиксированных в последние годы, произошло именно с незадачливыми аукционистами. Каждый пятый потерпевший был обманут нечестными продавцами товаров и услуг, а около 15% инцидентов были связаны с так называемыми "нигерийскими письмами" (потерпевшие имели неосторожность откликнуться на конфиденциальные письма от т. н. "высокопоставленных чиновников из Нигерии", обращавшихся с выгодными предложениями о помощи в вывозе за пределы страны крупных денежных сумм). И только в 1,4% криминальных ситуаций виновными оказывались предприятия электронной торговли.

Составлен уже и "портрет" среднестатистического интернет-жулика: это примерно 30-летний мужчина, промышляющий мошенничеством с помощью своего личного компьютера в домашних условиях и в свободное от основной работы время. Крадет он, как правило, понемногу: 32 удачных "налета" из 100 приносят ему менее 500 долларов, и лишь в трех случаях ему удается прикарманить свыше 10 тысяч. Причем по данным правоохранительных органов, именно эти три случая обычно быстрее всего и расследуются. Может быть. Но даже если это и так, преступная "курочка" успевает и "по зернышку" безнаказанно наклевать в виртуальном пространстве очень и очень серьезные деньги.

Бизнес против бизнеса

Хотя, конечно же, достоянием широкой гласности становятся все-таки случаи экстраординарные. Так, в свое время огромный общественный резонанс в США получили сообщения о ходе процесса "Emulex против Марка Джекоба": 23-летний студент калифорнийского колледжа был уличен в одной из крупнейших финансовых интернет-афер, которая принесла инвесторам корпорации Emulex убытки в размере 110 миллионов долларов. Для того чтобы самому разбогатеть почти на четверть миллиона (точная цифра личной выгоды, извлеченной Джекобом из его махинации, составляла 240 000 долларов), этот "молодой, но ранний" авантюрист просто разослал через службу новостей Internet Wire Inc. сфальсифицированный пресс-релиз о текущем состоянии дел Emulex Corp., в результате чего курс ее акций снизился практически вдвое. Однако простота в данном случае не стала признаком гениальности: поскольку было очевидно, что распространить явную "дезу" по сети Internet Wire мог только человек, близко знакомый с системой ее работы, Марк Джекоб, уволившийся из этой компании незадолго до преступления, не имел никаких шансов остаться незаподозренным. Для подтверждения подозрений следствию оставалось лишь направить в колледж, где он учился, официальный запрос, ответ на который развеял последние сомнения: в ночь перед рассылкой пресловутого пресс-релиза Марк "в поте лица" трудился в студенческом компьютерном центре. Улик хватало с избытком, и незадачливый "электронный делец" был арестован.

Таких масштабных воровских "дел" в истории Интернета, слава богу, не так уж много. Но тем временем одни только аферы с кредитными картами в Интернете обходятся интернет-бизнесам более чем в 10 миллиардов долларов ежегодно. Кибермошенничество уже перестало рассматриваться как совокупность отдельных, из ряда вон выходящих прецедентов и превратилось в бизнес - настоящий преступный бизнес, существующий в WorldWideWeb вместе с бизнесом легальным и наносящий ему ощутимый урон - как финансовый, так и моральный. "Доходы теневого бизнеса в Интернете на сегодняшний день могут сравниться с прибылью от незаконной торговли оружием и наркотиками, - говорит Дмитрий Чепчугов, начальник управления "Р", организованного при ГУВД г. Москвы специально для борьбы с преступлениями в сфере высоких технологий. - Например, устройство подмены номера для создания нелегальных переговорных пунктов обходится изготовителю в 30-50 долларов, устроителям переговорных пунктов оно продается за 3-5 тысяч и окупается с лихвой, принося своим владельцам в среднем 15-20 тысяч долларов в месяц. Это прибыльность, которая не имеет себе равных!" "Теневой web-бизнес" сейчас активно использует в своих целях и технологию интернет-трейдинга, значительно облегчающую механизм купли-продажи ценных бумаг. Основной принцип большинства мошеннических схем заключается всего лишь в размещении в Интернете недостоверной информации об эмитентах. Конкретный пример: американским властям удалось однажды "взять с поличным" владельца и директора интернет-фирмы Alphanet - суть созданной ими системы обогащения сводилась к искусственному повышению ставок акций 60 небольших компаний путем распространения ложной информации, будто эти фирмы продвигает общеизвестный и сверхуспешный гигант America Online. На спекулятивной разнице курсов преступники за короткое время успели сколотить без малого четверть миллиона долларов. Как выражаются специалисты - типичный "рump & dump": наиболее, кстати, опасная даже для искушенных трейдеров модель финансового надувательства. Рыночная манипуляция заключается в извлечении прибыли за счет продажи ценных бумаг, спрос на которые был сформирован искусственно. Так, манипулятор приобретает бумаги реальной, но неизвестной компании. После чего распространяется ложная информация об эмитенте, чем создается повышенный спрос на данные акции, тем самым способствуя повышению их цены. Резкий рост цен привлекает к акциям интерес посторонних (чаще всего индивидуальных) инвесторов. Дождавшись пиковой цены, мошенники осуществляют продажу своего пакета ценных бумаг по явно завышенным ценам. После совершения подобных манипуляций цена на рынке возвращается к своему исходному уровню, а рядовые инвесторы оказываются в убытке.

Следующий комплекс мошеннических приемов основывается на банальной человеческой жадности: на возможность "безрискового вложения капитала" клюют очень многие любители легкой прибыли, поверив в распространяемую через Интернет информацию о вариантах сверхприбыльных инвестиций с низким уровнем риска. Как правило, это предложение несуществующих, но очень популярных проектов, таких как вложения в "высоколиквидные" ценные бумаги банков, телекоммуникационных компаний, в сочетании с безусловными гарантиями возврата вложенного капитала и высокими прибылями. Сюда же можно отнести и так называемые "экзотические" предложения - такие, например, как онлайновая продажа акций "центральноамериканской кокосовой плантации, имеющей контракт с сетью супермаркетов США и банковские гарантии возврата через непродолжительный промежуток времени основной суммы инвестиций плюс 15% прибыли".

Save yourself

Чтобы определить, как обстоит дело с компьютерной безопасностью в вашей компании, ответьте на десять вопросов:

> Понимаете ли вы принципиальную важность обеспечения компьютерной безопасности?

> Существует ли конкретный человек или структура, которые отвечают за компьютерную безопасность?

> Предусмотрело ли руководство компании, как обеспечить компьютерную безопасность?

> Знаете ли вы, сколько тратится на информационную безопасность и каким образом используются эти деньги?

> Считаете ли вы первостепенной задачей обеспечение компьютерной безопасности (особенно если собираетесь вести бизнес в Интернете)?

> Сталкивалась ли ваша организация с атаками? Каковы были их последствия?

> Понимаете ли вы, чем рискуете, если приобретете репутацию компании, беспомощной перед электронными атаками?

> Какие шаги следует предпринять, чтобы улучшить ситуацию в области компьютерной безопасности?

> Используете ли вы независимых специалистов в области компьютерной безопасности для проверки своих систем защиты?

> Как вы оцениваете эффективность своих действий в этой области?

Есть еще и лихая платежная система "WebMoney", где крутятся условные деньги, которые можно покупать, расплачиваться ими за товар или конвертировать их в настоящую валюту. Но поскольку эта платежная система виртуальна, ее организаторы, по формально-юридическим признакам, не оказывают никаких финансово-банковских услуг и потому не платят за это налоги, - а заодно и всем своим клиентам помогают спрятаться от налогообложения. Ну а для взаиморасчетов в этой системе был создан, например, вполне реальный International Metall Trading Bank - едва ли не самое значительное легально зарегистрированное предприятие теневого интернет-бизнеса. Базируясь в Черногории, этот банк существует давно, и им пользуются многие хакеры. "Явно наши работают, - с плохо скрываемым чувством специфической гордости говорит начальник отдела по борьбе с компьютерными преступлениями управления "Р" Александр Слуцкий. - Банк позволяет работать опосредованно; платежи, поступающие через него, невозможно отследить. Можно открыть счет, управлять им, - причем необходимый для этого пакет документов можно передать по факсу, и никто не будет проверять их подлинность. А официальные учредители - двое московских слесарей-сантехников с удивлением узнали от нас, что являются владельцами интернет-банка. Раньше они никогда даже не встречались, и объединяет их одно: оба когда-то теряли свои паспорта..." "Поражает исключительная безалаберность и самоуверенность западных компаний, которые спокойно позволяют втравить себя в очередную аферу, незаконно воспользоваться своими возможностями и просто взламывать свои сайты, - удивляется Александр Слуцкий. - И несмотря на накапливаемый печальный опыт, криминогенная обстановка продолжает сохраняться, а прецеденты мошенничества повторяются". Если так неосмотрительно ведут себя целые бизнес-структуры, то что говорить об отдельно взятых рядовых гражданах? Да среди них жулики вообще чувствуют себя как в заповеднике непуганых интернет-простаков. Одних только "финансовых пирамид" за время существования web-преступности было понастроено и разрушено столько, что даже чрезвычайно искушенный в этом вопросе господин Мавроди мог бы позавидовать. Один белорусский мошенник как-то разослал письма приблизительно такого содержания:

"Здравствуйте! К вам обращается менеджер Вашего банка. Мы проводим сверку данных клиентов и просим сообщить нам номер Вашей кредитной карты и срок ее действия". В письмах, конечно же, не было никаких данных, подтверждающих полномочия запрашивающего, однако из полутора тысяч получивших письма треть прислала запрошенные данные, которыми автор не преминул воспользоваться. Кстати, для реализации "добытого нечестным путем" хакеры и прочие мошенники зачастую обращаются к тем же "добропорядочным посетителям Интернета". Один номер кредитной карты в сети стоит в среднем от 50 центов до доллара. Многочисленные "доски объявлений" web-пространства пестрят до неприличия откровенными предложениями: "Свежие номера кредитных карт!" Кстати, не слишком наглые мошенники пользуются одним номером не более одного раза, снимая не больше 100 долларов, что почти всегда проходит если и не незаметно для пострадавшего, то абсолютно без последствий для преступника.

Все на борьбу!

В управлении "Р" был зафиксирован случай, когда для задержания преступников по уже отслеженной цепочке фиктивных электронных продаж товаров по кредитным картам через CD Universe оставалось только получить у сотрудников компании адреса поставок. И что же? Сотрудники в ответ на обращение сыщиков только развели руками - даже эти элементарные данные у них не хранились, была лишь указана страна назначения - Россия. Да, видно, и желания особого помочь следствию они не испытывали.

Тем не менее, после массированных хакерских атак, завершившихся для пострадавших компаний астрономическими убытками, на интернет-злоумышленников было-таки решено найти управу. В конце ноября 2001 г. 26 европейских стран, а также США, Мексика, Канада и Япония подписали первую международную конвенцию по борьбе с компьютерными преступлениями. Стороны обязались ввести у себя некий минимум законов по борьбе с неавторизированным доступом к компьютерным сетям, перехватом данных, интернет-мошенничеством, компьютерным пиратством и т. д. Неприсоединение России к конвенции стало неприятным сюрпризом для окружающего мира, поскольку именно наше отечество славится головастыми пареньками, орудующими в чужих системах и компьютерах как у себя дома. "Для того чтобы мы включились в конвенцию, ее должна ратифицировать Госдума, - комментировал этот факт Александр Слуцкий. - Однако в виртуальной среде сейчас вращаются такие грандиозные суммы, что определенная часть правительства в некотором смысле заинтересована в сохранении сложившегося беспорядка: если Россия примет законы, позволяющие эффективно бороться с киберпреступностью, можно будет с легкостью отследить все незаконные электронные платежи и переводы".

Но маховик организованного международного противодействия web-преступности продолжал раскручиваться. Правительство Великобритании обратилось к руководству 12 государств мира с приглашением к обмену конфиденциальной информацией о жалобах, поступивших от пользователей Интернета, чтобы использовать ее в целях поиска и обезвреживания мошенников. Федеральная торговая комиссия США проголосовала за присоединение к этой инициативе, а затем к проекту подключились Австралия, Канада, Дания, Финляндия, Венгрия, Мексика, Новая Зеландия, Норвегия, Южная Корея, Швеция и Швейцария. Тем временем Комиссия по биржевой деятельности и ценным бумагам США создала в своей структуре спецподразделение из 100 с лишним полицейских для контроля за достоверностью информации в Интернете. К функциям этой группы было отнесено наблюдение за корректностью сведений, рассылаемых по электронной почте и размещаемых на электронных досках объявлений и сайтах.

Не отстают от государственных органов и многие частные компании. Visa, например, взялась за организацию в Интернете собственной финансовой разведки, объявив о создании специализированной компании, которая проводила бы web-мониторинг транзакций и отслеживала бы попытки осуществления подозрительных электронных операций. По словам главы российского представительства международной платежной системы Лу Наумовского, для повышения степени безопасности своей торговой деятельности всем интернет-магазинам, принимающим карты Visa, целесообразно будет заключить с новой компанией договоры о том, что весь их информационный поток пойдет через нее. Все коммуникации должны идти с соблюдением протокола безопасности 3D-Secure, одобренного платежной системой. При этом предполагается, что собственно эквайрингом будут, как и сейчас, заниматься непосредственно банки. По первоначальному плану на создание такой компании отводилось около года, а затраты на ее организацию оценивались в 3 млн. долларов. Директор департамента пластиковых карт Автобанка Валерий Никитин в одном из интервью назвал эту идею Visa довольно здравой, заметив, правда, что степень ее полезности будет зависеть от того, сможет ли снижение потерь от мошенничества покрыть увеличившиеся расходы по работе с интернет-магазинами.

Консалтинговая компания Ernst & Young опросила руководителей 500 крупнейших компаний с целью определить, в какой мере бизнес-структуры готовы к борьбе с компьютерной преступностью. Как показало исследование, наибольшие усилия по предотвращению киберпреступлений предпринимают компании, действующие в сфере телекоммуникаций. На втором месте - компании, предоставляющие финансовые услуги, на третьем - мультимедийные компании. Менее всего внимания компьютерным преступникам уделяют фирмы, действующие в отрасли энергетики (в то же время они славятся наибольшим количеством "традиционных" охранников и систем безопасности). Исследование также показало, что наиболее тщательно защищаются базы данных, а наименее тщательно - системы электронной почты. В своих регулярных обзорах web-серверов служба Netcraft с тревогой заключает, что в настоящее время Интернет уязвим к атакам хакеров как никогда ранее. Все эксперты, аналитики и специализированные ИТ-фирмы в один голос трубят тревогу относительно состояния дел с обеспечением безопасности корпоративных сайтов и информационных сетей. Несмотря на настойчивые, казалось бы, усилия и многочисленные акции со стороны госсистем и бизнес-структур, обширные интернет-финансы по-прежнему остаются весьма прозрачными и доступными "технологически развитому" преступному миру глобальной сети. Согласно данным Celent Communications, расходы компаний, занимающихся торговлей в Интернете, на обеспечение собственной и клиентской безопасности должны возрасти с 730 млн. долларов в 2002 г. до (как минимум) 2,6 млрд. долларов в 2006 г.

Закон. - Есть закон?

Однако, помимо организационного и технологического, у проблемы борьбы с интернет-мошенничеством есть и еще один аспект - юридический. На сегодняшний день американский интернет-бизнес с правовой точки зрения можно рассматривать в качестве субъекта, в наибольшей степени пострадавшего от электронных взломщиков, жуликов и аферистов всех мастей. А потому отсутствие четких законодательных определений, квалифицирующих их деяния, уже не может зачастую служить смягчающим вину обстоятельством и остановить карающий меч правосудия. Пока еще нельзя сказать, что "специфичность" преступлений, совершенных в среде Интернета, совсем уж не учитывается судебными инстанциями, - но чем дальше, тем чаще эти преступления приравниваются к "традиционным" и получают ту же юридическую оценку, что и обычное воровство, жульничество и мошенничество. Нельзя не отметить, что и общественное мнение Соединенных Штатов все больше склоняется к тому, чтобы сажать в тюрьму всех компьютерных махинаторов.

Вернемся к инциденту с Марком Джекобом: прокурор окружного суда Лос-Анджелеса Алехандро Майоркас потребовал признания мошенника виновным по всем трем предъявленным ему статьям обвинения. При этом максимальное наказание, предусмотренное американским законодательством по совокупности этих статей, составляет ни много ни мало - 25 лет тюрьмы! Тем не менее, с учетом всех юридических казусов и неясностей, суд ограничился заключением Марка под стражу на срок 3,5 года с выплатой компенсации компании Emulex и ее акционерам в размере вдвое превышающем нанесенный ущерб. "Наше законодательство еще очень и очень несовершенно для эффективного противостояния разрастающейся электронной преступности, - заявил прокурор. - Но сам факт признания Джекоба виновным уже соответствует усилиям федерального правительства, направленным на пресечение криминальной деятельности в среде Интернета, ибо подобная деятельность не только имеет целью получение противозаконной личной прибыли, но и приносит существенные убытки компаниям, а кроме того, подрывает авторитет электронной биржи". Виновник наказан, - другое дело, что инвесторы Emulex Corp. вряд ли дождутся возмещения понесенного ущерба: ведь для выплаты 220 миллионов долларов "бедному студенту" придется работать исключительно на благо ограбленной им корпорации, возможно, не одну сотню лет!

По сообщениям ФБР, только за последние месяцы 2002 года и только в США около 90 физических лиц и компаний получили обвинения в интернет-мошенничестве в рамках расследования, проводимого органами правопорядка на территории всей страны. В результате операции под кодовым названием "Кибер-убытки" ("Cyber Losses") было возбуждено 61 уголовное дело, выдвинуто 88 обвинений, а 62 человека заключены под стражу. Кто из них, по каким статьям и в какой мере будет наказан - зависит сейчас и от поведения американских законодателей, среди которых усиленно лоббируются меры по ужесточению правовых санкций против web-мошенников. Даже в Турции уже принят закон, в соответствии с которым за диффамацию или публикацию в Интернете заведомо ложной информации суд может наложить на ее авторов (а заодно - и на интернет-провайдеров) штраф до 195 тысяч долларов. Без необходимой законодательной базы реально бороться с web-преступностью действительно невозможно. "Мы не можем адекватно реагировать. Вот схватили за руку лжеинтернет-магазин - и куда его? Его нельзя признать незаконным, потому что в России нет четкого определения законного интернет-магазина. Самое распространенное в Москве преступление - использование чужих паролей и логинов, однако российское законодательство не предусматривает наказания и за это", - сетует Александр Слуцкий. О суровости закона можно говорить лишь тогда, когда он есть. А когда нет - любые правозащитные акции или технологические ухищрения в направлении антикриминальной самообороны оказываются бездейственными.

Правила техники безопасности

Рекомендации, разработанные специалистами Internet Fraud Complaint Center по просьбе Всеамериканской ассоциации потребителей.

> Участвуя в интернет-аукционах, помните: ваши обязанности покупателя возникают после того, как продавец выполнит свои обязательства.

> Никогда не доверяйте электронным письмам из Нигерии или любой другой страны, в которых предлагают за солидное вознаграждение помочь перевести деньги на зарубежный счет.

Более подробные правила организации и участия в интернет-аукционах приведены на сайте Федеральной торговой комиссии (Federal Trade Commission): www.ftc.gov/bcp/conline/pubs/online/auctions.htm.