» » » Бывший хакер из Беларуси до сих пор разыскивается в США

Бывший хакер из Беларуси до сих пор разыскивается в США

Сергей Павлович — один из самых известных белорусских киберпреступников. В 2000-х в составе объединенной группы хакеров организовал крупный синдикат, занимавшийся кардингом — незаконным получением данных о банковских картах. Все преступления совершались в США, было выведено порядка 40 миллионов долларов.

В Беларуси несколько раз привлекался к уголовной ответственности, последний раз провел в заключении восемь лет. После выхода Павлович написал книгу «Как я украл миллион. Исповедь раскаявшегося кардера» и сейчас занимается IT-бизнесом.

В интервью Naviny.by он рассказал об основных способах краж банковских данных и как от таких краж обезопаситься.

— Будучи бизнесменом, ты сталкивался с кибератаками в свой адрес?

— Да, был взломан один из моих серверов. Там практически ничего не было, несерьезные личные сайты, но, покопавшись, там можно было получить доступ к моим коммерческим сайтам. Взломщик мне написал, что он получил доступ, и попросил небольшую сумму денег. Он не угрожал мне, что, мол, если я не заплачу, то он снесет все мои данные.

В итоге я взял этого человека на работу, чтобы он устранил уязвимости и дальше защищал меня. Исходя из моей личной истории, это получилось и ему выгоднее — единоразово я бы ему заплатил пусть двести долларов, пусть пятьсот. Там профессиональный парень, пусть он ежемесячно получает меньшую суму, но, исходя из длительности сотрудничества, получится в десятки раз больше.

Я сам много раз участвовал в инцидентах с кражей данных и понимаю, насколько это чувствительно для репутации компании в целом. Но после доказательств взлома мало кто предлагает взломщику залатать эти бреши, большинство либо игнорирует, либо грозит полицией.

Хакера злить немного опасно, особенно когда он не шантажирует, а нормально пишет, полицией его не напугать, особенно если есть цепочка VPN, он просто разозлится и вынесет весь твой сайт.

— Как ты оцениваешь безопасность белорусских коммерческих ресурсов?

— В целом безопасность данных пользователей настроена крайне плохо, и в том числе у многих белорусских торговых сетей. База на 70 тысяч клиентов может появиться на публичном форуме за 10 минут.

— Если была взломана база клиентов какого-нибудь крупного интернет-магазина или форума, и ей занялась преступная группа. Что они будут делать?

— В первую очередь, если это база данных интернет-магазина, эта информация представляет ценность для его конкурентов — чтобы по ней провести рассылку и попытаться перетянуть клиентов в свой магазин.

Если речь об обычных данных клиентов с какого-нибудь форума, то в первую очередь по ним делается массовая проверка. У хакера есть почта пользователя и пароль. Тогда любой вменяемый специалист прогонит связку почта-пароль по всем другим публичным сервисам. Условно, если логин и пароль подходит для mail.ru, то, скорее всего, подойдет к его почте на Yandex и так далее. Затем данные проверяются на финансовых сервисах, если есть телефон — то PayPal, Qiwi и Яндекс-кошелек.

Я с таким сталкивался недавно на базе своего кэшбэк-сервиса. Многие люди через него покупают товары в партнерских магазинах, на счету скапливается некая сумма, и её можно вывести на другие реквизиты. Два раза к нам подключали огромные базы данных с украденными почтами и паролями и пытались подобрать логины пользователей.

Это очень сильно нагружало сайт, они практически DDoS-или, настолько гигантские объемы данных. Но мы быстро поняли, что происходит, и приняли меры — например, после нескольких неудачных попыток залогиниться происходит блокировка, и ввели гугл-капчу, чтобы просто осложнить им жизнь.

— Какие самые распространенные ошибки пользователей?

Первое, это слабый пароль, который легко подобрать. Часто это дата рождения, либо имя и пара цифр. Это всё легко узнать из соцсетей и проверить перебором. Чем длиннее пароль, тем лучше, но тогда его сложно запомнить. Для простоты запоминания можно придумать осмысленные фразы на латинице в духе «Мама пошла в магазин», где первые буквы заменить на верхний регистр, добавить цифры и символы.

Вторая ошибка — один пароль на все сервисы: соцсети, банкинг и так далее. Я бы советовал дописывать в конце пароля, от чего он — «Фейсбук» или «ВКонтакте», чтобы имея единый сложный пароль, он отличался на всех сервисах.

— Как защитить свои банковские данные?

— В первую очередь, не пишите пин-код на карте, установите СМС-оповещение. Еще можно установить лимит по операциям на карте, максимум, например, в 200 долларов, а если вам надо будет совершить более крупную покупку — просто позвоните в банк. И обязательно установите запрет на операции в отличной от твоей стране.

Ведь как чаще всего происходит. Кредитку крадут на банкомате через скиммер (устройство, которое считывает магнитную полосу на карте), видеокамеру или накладную клавиатуру, которая считала пин-код. Данные уходят в другую страну — Европу, США, Азию, неважно, и деньги снимаются оттуда. Оспаривать и доказывать, что это был не ты, крайне сложно. Поэтому важно установить запрет на операции за рубежом, а если собираешься в отпуск — просто снять его на это время.

— Откуда и как чаще крадут данные? Обходят защиту банков или срабатывает человеческий фактор, когда базы продают сами сотрудники?

— Случаев, когда банковские сотрудники сливают информацию или действуют в составе группы, крайне мало — здесь действует правило «сколько веревочке не виться». Еще ни один банковский сотрудник, который решил, что он самый умный и может потихоньку красть с товарищами, не ушел от наказания. Поэтому говорить о массовом мошенничестве и продаже данных со стороны банковских работников я бы не стал.

И я бы не утверждал, что хакеры часто взламывают банки, это происходит крайне редко. То, что хакеры ломают — это процессинговые центры. Они часто защищены еще лучше, чем банки, но на них направляют свои усилия лучшие хакеры. Немало кого я знаю лично, и многие из них сидят в США, хотя сами из СНГ.

Чаще всего взламывают ритейл-сети, отели и рестораны. По стандартам безопасности, который они подписывают, владельцы POS-терминала (терминал оплаты) и сервера, к которому подключен терминал, должны хранить платежные данные клиентов в зашифрованном виде. Из-за халатности этого часто не происходит.

Пин-код шифруется в момент ввода, и в таком виде он попадает в базу данных. Но дамп с магнитной полосы или чипа карты хранится в открытом виде. В одном из уголовных дел, в котором я обвинялся в США, проходило более двухсот миллионов карточек, и большинство из них были получены из крупных сетей супермаркетов. Поэтому панацеи нет.

— А карты с беспроводными чипами оплаты?

Например, в России такими картами можно без пин-кода совершать операции на небольшие суммы. В Беларуси не знаю, какой порог суммы. В случае с этими картами, чип передает по радиоволне все данные. Я встречал в интернете в продаже портативные сканеры, которые могут эту информацию перехватить.

Также есть такая схема, когда покупается фирма, на ее имя открывается магазин. У банка берется терминал, что якобы кто-то будет чем-то торговать. А потом мошенники идут в торговый центр и наблюдают за покупателями. Видят, что человек только что рассчитался и сунул карточку в задний карман. Вбивают заранее счет, подходят в толпе, приблизительно на 10-20 см подносят свой терминал, и с карты клиента крадут эту сумму.

За день таких карт в торговом центре можно найти больше сотни. Можно уберечься, выпускают металлизированные чехлы.

— О противостоянии хакеров в политике. Что ты думаешь по поводу вмешательства россиян в американские выборы?

— Это самый частый вопрос, который мне задают западные журналисты. Есть свидетельства, что вмешательство было, многие следы ведут в Россию, но стопроцентных доказательств нет. Я, конечно, склоняюсь к тому, что это делали россияне, много косвенных доказательств. А русские по традиции, заложенной Путиным, любят всё отрицать. Например, как с отравлением в Солсбери. «У вас нет стопроцентных доказательств — тогда это не мы».

Но они забывают, что практически во всех уголовных делах и судебных процессах нет стопроцентных доказательств, но есть куча косвенных, которые для суда и общественности складываются в общую картину. И подтверждают пусть не на 100%, но 95% виновность обвиняемого.

— Есть разные версии, что это сделали хакеры при российской военной разведке ГРУ или чёрные хакеры, которых заставили работать на государство.

— Вполне может быть, я не могу утверждать на 100%. Но с военными хакерами это какой-то бред, возможности штатных хакеров несопоставимы с тем, что делают черные хакеры. Например, как хакерская группировка Lurk (заявляли, что именно они взломали сервера Демократической партии США. — Я.А.), они утверждают, что у них был куратор из ФСБ Дмитрий Докучаев. Я думаю что это всё настолько тесно переплетено, что это могло быть как дружеская услуга или иcпользование втемную.

— В США тебя продолжают тебя разыскивать за преступления более чем десятилетней давности, хотя за них ты уже отсидел в Беларуси. Пытался ли ты что-либо с этим сделать?

— Да, они требуют, чтобы я отсидел еще и на территории США. Я выходил напрямую на высокопоставленных американских служащих, мы созванивались по скайпу. Из вариантов, что предложили они — чтобы я прилетел и меня арестовали. Они бы ходатайствовали за меня, взяли бы на поруки. Затем условный срок в обмен на два-три года работы них в сфере борьбы с киберпреступностью. Но полной гарантии они не давали, и я решил отказаться.

— Способны ли государства создавать мощное кибероружие и использовать его в своих целях?

— Например, был вирус Stuxnet, которым вывели из строя иранские центрифуги для обогащения урана. И сейчас есть куча не менее изощренных троянов, которые воруют информацию клиентов банков. При небольшой перенастройке их можно заточить на получение доступа к почтам или мессенджерам определенных категорий людей, например, политиков.

На месте госструктур я бы не заморачивался, взял готовый код, который используется для кражи банковской информации, чуть переписал бы, чтобы он не распознавался первое время антивирусными системами. Или заплатил авторам вируса — они часто сами кастомизируют код под нужды клиента. И вот готов новый троян, про который говорят, что он суперновый и ранее неизвестный. Но если копнуть, станет ясно, что это не так. Зачем писать новые вирусы, если есть модифицированные старые?

— Ты побывал на обеих сторонах работы с данными, и как хакер, и как бизнесмен. Как ты относишься к использованию Big Data в коммерции?

— Это дает возможности. Вот мы идем за финансированием к западным венчурным фондам. Никто из кэшбек-сервисов пока не использует толком данные о покупках. Банки видят все траты клиентов и точки покупок, они могут составить минимальный профиль клиента. А мы имеем более полные данные о его покупках, чем банки — что смотрел, где искал, как переходил, что купил и что нет, частота покупок.

Из этого анализа можно делать персонализированные предложения о скидках. Например, магазин может сделать предложение в виде промо-кода на первую покупку. Сейчас очень дорогим становится именно первичное привлечение клиента. Специалисты прогнозируют, что в течение ближайших десяти лет в большинстве отраслей первые 2-4 продажи будут убыточными. Цена привлечения клиента будет такова, что ты будешь отбивать её только с пятой покупки.

— А вот если говорить о негативной стороне больших данных? Как это может изменить общество?

— По своему опыту, я не вижу ничего плохого. За последние два года я покупал около 20 услуг, рекламу которых я видел в «Фейсбуке». Они показывают релевантную рекламу, и я не могу сказать, что вижу засилье спама.

И никто не может заставить тебя купить что-либо. Могут показать таргетированную рекламу, но ты не будешь совершать спонтанную покупку, это не товары повседневного спроса, которые в прикассовой зоне лежат.

Другое дело если мы ведем речь о данных, которые собираются камерами, спутниками и мобильными телефонами, это уже полное лишение приватности. Каждый шаг человека можно восстановить по минутам. Где-то это ведется гласно, многие государства ведут негласно, но это уже свершившийся факт, и от этого никак не уйти, это современные реалии.

Защититься от этого можно только одним способом — уехать в Сибирь в глухую деревушку и не пользоваться никакими средствами коммуникации. Я вот не готов от такого отказаться.

naviny.by

ДРУГИЕ НОВОСТИ

Комментарии

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
САМОЕ ЧИТАЕМОЕ / КОММЕНТИРУЕМОЕ
  1. Премьер-министр Украины покинул свой пост
  2. Саснович проиграла второй ракетке Польши на турнире в Нью-Йорке
  3. Ученые назвали главный признак высокого интеллекта
  4. В Ивье тонко протролили Лукашенко
  5. США и Румыния подтвердили оппозицию проекту «Северный поток – 2»
  6. Муж Майли Сайрус подал на развод
  7. Найден самый древний динозавр. Останкам 168 млн лет
  8. Ученые раскрыли тайну Озера Скелетов в Гималаях
  9. Жильцы будут возмещать 50% затрат на повышение энергоэффективности дома
  10. Разновидности сеток для забора
Лукашенко продлил действие программы семейного капитала
Лукашенко продлил действие программы семейного капитала
Согласно указу Александра Лукашенко № 345, который он подписал сегодня, продлены программы семейного капитала с 1 января 2020 Читать далее
В Беларуси запустили мобильный платежный сервис с расчетами при помощи QR-кодов
В Беларуси запустили мобильный платежный сервис с расчетами при помощи QR-кодов
Сервис «О!плати» совмещает возможности платежного приложения и традиционный мессенджер. Проект реализовали «Белинвестбанк» Читать далее
Что водители делают не так, когда разъезжаются без ГАИ
Что водители делают не так, когда разъезжаются без ГАИ
«Европротокол» — отличное изобретение для тех, кто умеет им пользоваться. Тем более после того, как лимит страхового возмещения Читать далее
Тунеядцы с октября будут полностью оплачивать отопление и газ
Тунеядцы с октября будут полностью оплачивать отопление и газ
Белорусам, которые попали в тунеядскую базу не занятого в экономике населения, с октября будут приходить платежки за Читать далее
Все новости
Галерея