Олександр Гринчак про афери з «криптою»: «Ми в цій ситуації безсилі»

Керівник Департаменту кіберполіції, полковник поліції Олександр Гринчак розповів «Мінфіну» про нові шахрайські схеми, як з ними бореться кіберполіція і як громадянам не потрапити у тенета злочинців.

Які саме злочини розслідує кіберполіція?

По-перше, це всі злочини, які передбачені 16 розділом Кримінального кодексу України: DDоS-атаки, втручання в роботу електронно-обчислювальної техніки, розповсюдження персональних даних та інше.

По-друге, це злочини в банківській сфері: маніпуляції з грошовими коштами клієнтів з використанням банківських карток, інтернет-банкінгу тощо.

Також розслідуємо розповсюдження дитячої порнографії, незаконне використання торговельного знаку, порушення авторських прав та шахрайство в мережі інтернет.

Які шахрайські схеми найчастіше зустрічаються в Україні?

Це злочини, пов’язані з методами соціальної інженерії. Злочинці, як правило, перебувають у місцях позбавлення волі, вербують декілька осіб на свободі та працюють у злагодженій групі.

Читайте також: 13 шахрайських схем, які дозволили поцупити в українців 362 мільйони

Ув’язнені телефонують жертвам, використовують навички психологічного впливу, входять в довіру та виманюють, наприклад, cvv-коди та номери банківських карток.

Не менш поширений вид злочину — створення фіктивних сайтів в інтернеті та «продаж» неіснуючих товарів, розміщених на офіційних торговельних майданчиках olx, prom.ua та інших.

Як ловите таких аферистів?

У штаті Департаменту кіберполіції є підрозділ так званих спецагентів, які мають поглиблені навички в сфері ІТ і допомагають саме в ідентифікації злочинця.

Якщо він використовує мобільний телефон, то ми його ідентифікуємо саме за ним. Якщо використовує інший девайс, встановлюємо особу злочинця за ip-адресою. Якщо користується vpn-cервісом, то ми застосовуємо міжнародні зв’язки і звертаємося до того vpn-cервісу, яким користується злочинець. Є управління оперативного реагування, яке займається саме цими питаннями.

Читайте також: Плати, або заразимо коронавірусом: як шахраї виманюють гроші в українців

Ми налагодили співпрацю з міжнародними партнерами майже в усіх країнах світу та з Європолом. Є національний контактний пункт, створений США. До нього входять близько 90 країн, з якими можна обмінюватися інформацією в онлайн-режимі.

фото: Сергій Владикін для «Мінфіну»

Наскільки реально повернути свої гроші, перераховані на рахунок зловмисника?

Завдання кіберполіції — розслідувати, зібрати достатню кількість доказів та направити справу до суду. А потім потерпілий спільно з адвокатом готує позов і працює вже із судом.

Ми зі свого боку намагаємося під час обшуку накласти арешт на майно злочинця, аби перевести його у фонд держави та відшкодувати гроші потерпілому.

Що робить департамент для попередження злочинів у кіберпросторі?

Зараз ми працюємо над спільним проєктом із США та Великобританією «Як не потрапити на гачок шахрая», де вони діляться своїм досвідом. Ми розробляємо буклети, рекламні ролики та намагаємося розповсюджувати їх в метро, автобусах тощо. Ця інформація також є на сайті. У нас в планах створити окремий телеграм-канал, де ми будемо повідомляти лише про нові види кіберзлочинів.

Які злочини найчастіше трапляються в сфері платіжних систем?

Зараз близько 50% банкоматів не захищені камерами. Цим користуються злочинці. Вони використовують камери для запису паролів клієнтів та накладки на банкомати для копіювання даних банківських карток. Такий вид шахрайства називається скімінг.

Читайте також: НБУ назвав найпоширеніший вид платіжного шахрайства

Також встановлюють спеціальні пристрої на банкомати, які «зажовують» купюри. Коли жертва відходить, злочинець дістає ці гроші. Це кеш-трепінг.

Дуже поширені схеми використання шкідливого програмного забезпечення, за допомогою яких злочинці отримують доступ до клієнт-банку та онлайн-банкінгу користувача і викрадають кошти.

Користувач комп’ютера отримує «заражений» лист і відкриває його. Вірус потрапляє в систему і хакер може здійснювати будь-які маніпуляції з комп’ютером.

Віруси розраховані на різні операційні системи — для ПК, планшетів, смартфонів. Найлегше занести вірус і скористатися персональними даними на телефоні, який працює на ОС Android.

Люди неодноразово скаржилися на фейкові сайти, але деякі з них продовжують працювати. Наприклад, фальшивий онлайн-обмінник mobilpay.com.ua, який має безліч сторінок-клонів, або приватний кінотеатр worldlotteryplace.com. Що зараз з ними?

Якщо не помиляюся, то фейковий сайт worldlotteryplace.com вже не працює. А щодо фальшивого онлайн-обмінника mobilpay.com.ua порушена кримінальна справа за статтею 190 Кримінального кодексу «Шахрайство».

фото: Сергій Владикін для «Мінфіну»

Що потрібно для того, аби заблокувати шахрайський сайт?

У кіберполіції немає червоної кнопки, яка може в один момент заблокувати сайт. Але ми встановлюємо адміністратора сайту та факт правопорушення.

На даний час кримінальним процесуальним законодавством України не передбачено поняття блокування вебсайтів та детально не врегульовано таку процедуру.

Натомість, якщо вчиняється подібне правопорушення, кіберполіція ініціює перед органом досудового розслідування звернення до суду. В клопотанні йдеться про обмеження доступу до таких сайтів клієнтам інтернет-провайдерів та мобільних операторів. Рішення суду може дати «зелене світло», щоб припинити функціонування протиправних вебресурсів.

Які схеми найчастіше використовуються, коли зловмисники оформлюють онлайн-кредити на чуже ім'я?

Оформлюють онлайн-кредити найчастіше шляхом підміни номеру телефона користувача. В таких випадках треба звертатися до кіберполіції. Зокрема, влітку харківський підрозділ затримав 9 осіб, які діяли за такою схемою.

Аферисти телефонували жертвам від імені служби безпеки мобільного оператора та просили підтвердити верифікацію користувача цього номеру телефону. Таким чином вони отримували інформацію щодо трьох останніх мобільних номерів, з якими спілкувався абонент. Це дало можливість перевипускати сім-карти жертв та оформлювати мікрокредити онлайн на чуже ім'я.

Була також інша злочинна схема. Правопорушники набирали номер абонента від імені співробітника кредитної організації та повідомляли, що на його ім'я нібито здійснюється оформлення кредиту. У такий спосіб зловмисники переконували потерпілого назвати пароль доступу до особистого кабінету у фінустанові. Потім вони подавали заявку на видачу кредиту від його імені і знімали готівку.

Зараз справа в суді. Сума ймовірних збитків склала понад 1 млн грн. За даним фактом відкрито кримінальне провадження за ч. 3 ст. 190 (шахрайство), ч. 2 ст. 361 (несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку) Кримінального кодексу.

Часто великі компанії допускають несанкціонований витік персональних даних. Як це відбувається?

Доволі часто різні торгові мережі, заправки, інші заклади сервісу пропонують картки на знижку. Для цього клієнт має залишити свої персональні дані — прізвище, ім'я, по батькові, дату народження, номер телефону тощо.

Персональні дані потрапляють до адміністратора магазину, який несе за них відповідальність. Завжди є людський фактор. Наприклад, людина може змінити місце роботи, при цьому взяти базу даних і продати за певну суму стороннім особам.

У нашій практиці був випадок, коли саме адміністратор торгового центру, який зберігав всю інформацію про клієнтів, продав базу даних за $500. Іншу продали за $10 тис.

фото: Сергій Владикін для «Мінфіну»

Наскільки поширене в Україні шахрайство з криптовалютами?

Ми одні з перших, хто вийшов з ініціативою узаконити криптовалюту. Щоб її регулювали, треба визначити її електронною валютою або матеріальною цінністю. Вже розроблений такий законопроєкт.

Читайте також: Курс біткоіна оновив річний максимум

Та на даний момент злочинці знають, що встановити кінцевого користувача майже неможливо.

А як щодо крадіжки грошей з криптогаманців? Які резонансні злочини вдавалося розслідувати?

Є близько 5 тисяч різних криптовалют, якщо не помиляюся. Також існує безліч криптобірж. Враховуючи те, що важко встановити особу злочинця і немає юридичного статусу криптовалюти, ми в цій ситуації безсилі.

На законодавчому рівні не врегульовано поняття «криптовалюти» та офіційно це не є платіжним засобом. Це віртуальний вид електронних грошей, який не випускається центральними банками і не підкріплений національною валютою. Тому українське законодавство не відносить криптовалюту до майна чи цінностей, які можуть бути предметом злочину. В юридичному аспекті ми не можемо визначити цінність їх походження чи інакше ідентифікувати дані засоби.

Які наймасштабніші злочини в сфері фінансів вдалося розкрити цього року?

Нещодавно виявили банкоматних шахраїв. Злочинці робили копію картки, наносили на неї інформацію, яку отримували завдяки скімінговому пристрою на банкоматі, та викрадали кошти з банківських карток. Кількість ошуканих навіть не назву, але завдано збитків на мільйони гривень.

Також затримали ряд осіб, які скоювали шахрайські дії з місць позбавлення волі, а їх друзі на свободі знімали гроші з банківських карток. Спіймали не одну групу осіб, які створювали фіктивні онлайн-магазини та намагалися продати неіснуючі або неякісні товари, ошукуючи громадян.

Була справа з великою кількістю потерпілих (до 200 осіб), яка вже носить соціальний характер. Зловмисники продавали техніку Apple. Телефон чи інший девайс нічим не відрізнявся від справжнього товару Apple, але «начинка» — звичайна пластмаса.

Комплектуючі частини техніки приходили з Китаю, коробочки виготовляли самостійно. Для просування в інтернеті шахраї створили фіктивний сайт (зараз вже заблокований), окремо працював колцентр.

Скоро справу передамо до суду і жертви зможуть звернутися із позовом, щоб відшкодувати втрачені гроші.

Яку справу вважаєте найуспішнішою?

На території України почастішали кіберзлочини, пов’язані з поширенням шкідливого програмного забезпечення (комп'ютерних троянів) на ПК бухгалтерів юридичних та фізичних компаній. Мета хакерів — доступ до банківських рахунків та крадіжки грошей з них.

Нещодавно завдяки співпраці зі службою безпеки банківської установи ми попередили крадіжку грошей на суму 5 млн грн, якими хотіли заволодіти кіберзлочинці за такою схемою. Наші співробітники зв’язалися з банкірами в онлайн-режимі, повідомили, що вчиняються шахрайські дії, та попросили заблокувати операцію.

Попередити крадіжку грошей з розрахункових рахунків компаній, установ чи організацій можливо лише на початковому етапі, оскільки в таких випадках відлік триває не на хвилини, а на секунди.

фото: Сергій Владикін для «Мінфіну»

Яка відповідальність передбачена за шахрайство в сфері платіжних систем? Штрафи чи щось більше?

За статтею 190 Кримінального кодексу за шахрайство з використанням електронно-обчислювальної техніки передбачена відповідальність від 2 до 8 років позбавлення волі.

Якщо злочин скоєно групою осіб, то максимальна відповідальність до 12 років ув’язнення. Залежно від ролі злочинця він може отримати і умовний термін, і максимальне покарання.

А якщо кіберзлочинець поза межами країни?

Якщо громадянин України вчинив злочин за кордоном, то несе відповідальність саме в тій країні. Але якщо він вчинив злочин в Україні та втік за кордон, ми збираємо докази, доводимо його вину і оголошуємо в міжнародний розшук з метою екстрадиції.

Які траплялися найяскравіші випадки?

У нас був випадок, коли серед потерпілих були громадяни понад 30 країн світу. Шахраї використовували віруси для криптування, заражали техніку, криптували інформацію і вимагали грошові кошти за розкриптування даних або шантажували розповсюдженням інформації.

Процес тривав близько двох років, але злочинців затримали та заблокували близько 800 тис. доменних імен.

Що перешкоджає роботі департаменту? Яких законодавчих рішень бракує? Що могло б посприяти ефективнішій роботі?

Досі не імплементована превенція про кіберзлочинність. Про що це говорить? Наші провайдери не зберігають інформацію. Для нас це дуже важливо. Ми приходимо до провайдера і просимо надати інформацію, але він не може допомогти, оскільки її не зберіг.

Втім, у Верховній Раді вже зареєстрували два законопроєкти № 4003 і № 4004 щодо зобов’язання провайдерів зберігати всю інформацію, яка проходить через них, протягом 90 діб.

Так само варто внести зміни в закон про телекомунікації, в кримінально-процесуальне законодавство додати поняття «цифровий доказ» та узаконити поняття «криптовалюта», щоб вона набула юридичного статусу. А також внести зміни в низку статей Кримінального кодексу.

Спілкувалася Світлана Тартасюк

Автор:

Журналіст Світлана Тартасюк

Пише на теми: Банки та банківські продукти, нерухомість, ринок праці, бізнес, фінанси, інвестиції