28 жовтня 2020, 7:40 Читать на русском

Олександр Гринчак про афери з «криптою»: «Ми в цій ситуації безсилі»

116,5 млн грн за 6 місяців 2020 року вкрали з банківських рахунків українців шахраї. Такі дані наводить Українська міжбанківська асоціація членів платіжних систем ЄМА.

Кіберполіція, шахрайство, вкрали гроші, банківська картка, соціальна інженерія, банкомати, криптовалюта, розслідування, штрафи, гроші, шахраї, аферисти, інтернет, шахрайство в інтернеті, шкідливі посилання, віруси, фейкові сайти, дзвінки жертвам
фото: Сергей Владыкин

Керівник Департаменту кіберполіції, полковник поліції Олександр Гринчак розповів «Мінфіну» про нові шахрайські схеми, як з ними бореться кіберполіція і як громадянам не потрапити у тенета злочинців.

Які саме злочини розслідує кіберполіція?

По-перше, це всі злочини, які передбачені 16 розділом Кримінального кодексу України: DDоS-атаки, втручання в роботу електронно-обчислювальної техніки, розповсюдження персональних даних та інше.

По-друге, це злочини в банківській сфері: маніпуляції з грошовими коштами клієнтів з використанням банківських карток, інтернет-банкінгу тощо.

Також розслідуємо розповсюдження дитячої порнографії, незаконне використання торговельного знаку, порушення авторських прав та шахрайство в мережі інтернет.

Які шахрайські схеми найчастіше зустрічаються в Україні?

Це злочини, пов’язані з методами соціальної інженерії. Злочинці, як правило, перебувають у місцях позбавлення волі, вербують декілька осіб на свободі та працюють у злагодженій групі.

Читайте також: 13 шахрайських схем, які дозволили поцупити в українців 362 мільйони

Ув’язнені телефонують жертвам, використовують навички психологічного впливу, входять в довіру та виманюють, наприклад, cvv-коди та номери банківських карток.

Не менш поширений вид злочину — створення фіктивних сайтів в інтернеті та «продаж» неіснуючих товарів, розміщених на офіційних торговельних майданчиках olx, prom.ua та інших.

Як ловите таких аферистів?

У штаті Департаменту кіберполіції є підрозділ так званих спецагентів, які мають поглиблені навички в сфері ІТ і допомагають саме в ідентифікації злочинця.

Якщо він використовує мобільний телефон, то ми його ідентифікуємо саме за ним. Якщо використовує інший девайс, встановлюємо особу злочинця за ip-адресою. Якщо користується vpn-cервісом, то ми застосовуємо міжнародні зв’язки і звертаємося до того vpn-cервісу, яким користується злочинець. Є управління оперативного реагування, яке займається саме цими питаннями.

Читайте також: Плати, або заразимо коронавірусом: як шахраї виманюють гроші в українців

Ми налагодили співпрацю з міжнародними партнерами майже в усіх країнах світу та з Європолом. Є національний контактний пункт, створений США. До нього входять близько 90 країн, з якими можна обмінюватися інформацією в онлайн-режимі.

фото: Сергій Владикін для «Мінфіну»

Наскільки реально повернути свої гроші, перераховані на рахунок зловмисника?

Завдання кіберполіції — розслідувати, зібрати достатню кількість доказів та направити справу до суду. А потім потерпілий спільно з адвокатом готує позов і працює вже із судом.

Ми зі свого боку намагаємося під час обшуку накласти арешт на майно злочинця, аби перевести його у фонд держави та відшкодувати гроші потерпілому.

Що робить департамент для попередження злочинів у кіберпросторі?

Зараз ми працюємо над спільним проєктом із США та Великобританією «Як не потрапити на гачок шахрая», де вони діляться своїм досвідом. Ми розробляємо буклети, рекламні ролики та намагаємося розповсюджувати їх в метро, автобусах тощо. Ця інформація також є на сайті. У нас в планах створити окремий телеграм-канал, де ми будемо повідомляти лише про нові види кіберзлочинів.

Які злочини найчастіше трапляються в сфері платіжних систем?

Зараз близько 50% банкоматів не захищені камерами. Цим користуються злочинці. Вони використовують камери для запису паролів клієнтів та накладки на банкомати для копіювання даних банківських карток. Такий вид шахрайства називається скімінг.

Читайте також: НБУ назвав найпоширеніший вид платіжного шахрайства

Також встановлюють спеціальні пристрої на банкомати, які «зажовують» купюри. Коли жертва відходить, злочинець дістає ці гроші. Це кеш-трепінг.

Дуже поширені схеми використання шкідливого програмного забезпечення, за допомогою яких злочинці отримують доступ до клієнт-банку та онлайн-банкінгу користувача і викрадають кошти.

Користувач комп’ютера отримує «заражений» лист і відкриває його. Вірус потрапляє в систему і хакер може здійснювати будь-які маніпуляції з комп’ютером.

Віруси розраховані на різні операційні системи — для ПК, планшетів, смартфонів. Найлегше занести вірус і скористатися персональними даними на телефоні, який працює на ОС Android.

Люди неодноразово скаржилися на фейкові сайти, але деякі з них продовжують працювати. Наприклад, фальшивий онлайн-обмінник mobilpay.com.ua, який має безліч сторінок-клонів, або приватний кінотеатр worldlotteryplace.com. Що зараз з ними?

Якщо не помиляюся, то фейковий сайт worldlotteryplace.com вже не працює. А щодо фальшивого онлайн-обмінника mobilpay.com.ua порушена кримінальна справа за статтею 190 Кримінального кодексу «Шахрайство».

фото: Сергій Владикін для «Мінфіну»

Що потрібно для того, аби заблокувати шахрайський сайт?

У кіберполіції немає червоної кнопки, яка може в один момент заблокувати сайт. Але ми встановлюємо адміністратора сайту та факт правопорушення.

На даний час кримінальним процесуальним законодавством України не передбачено поняття блокування вебсайтів та детально не врегульовано таку процедуру.

Натомість, якщо вчиняється подібне правопорушення, кіберполіція ініціює перед органом досудового розслідування звернення до суду. В клопотанні йдеться про обмеження доступу до таких сайтів клієнтам інтернет-провайдерів та мобільних операторів. Рішення суду може дати «зелене світло», щоб припинити функціонування протиправних вебресурсів.

Які схеми найчастіше використовуються, коли зловмисники оформлюють онлайн-кредити на чуже ім'я?

Оформлюють онлайн-кредити найчастіше шляхом підміни номеру телефона користувача. В таких випадках треба звертатися до кіберполіції. Зокрема, влітку харківський підрозділ затримав 9 осіб, які діяли за такою схемою.

Аферисти телефонували жертвам від імені служби безпеки мобільного оператора та просили підтвердити верифікацію користувача цього номеру телефону. Таким чином вони отримували інформацію щодо трьох останніх мобільних номерів, з якими спілкувався абонент. Це дало можливість перевипускати сім-карти жертв та оформлювати мікрокредити онлайн на чуже ім'я.

Була також інша злочинна схема. Правопорушники набирали номер абонента від імені співробітника кредитної організації та повідомляли, що на його ім'я нібито здійснюється оформлення кредиту. У такий спосіб зловмисники переконували потерпілого назвати пароль доступу до особистого кабінету у фінустанові. Потім вони подавали заявку на видачу кредиту від його імені і знімали готівку.

Зараз справа в суді. Сума ймовірних збитків склала понад 1 млн грн. За даним фактом відкрито кримінальне провадження за ч. 3 ст. 190 (шахрайство), ч. 2 ст. 361 (несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку) Кримінального кодексу.

Часто великі компанії допускають несанкціонований витік персональних даних. Як це відбувається?

Доволі часто різні торгові мережі, заправки, інші заклади сервісу пропонують картки на знижку. Для цього клієнт має залишити свої персональні дані — прізвище, ім'я, по батькові, дату народження, номер телефону тощо.

Персональні дані потрапляють до адміністратора магазину, який несе за них відповідальність. Завжди є людський фактор. Наприклад, людина може змінити місце роботи, при цьому взяти базу даних і продати за певну суму стороннім особам.

У нашій практиці був випадок, коли саме адміністратор торгового центру, який зберігав всю інформацію про клієнтів, продав базу даних за $500. Іншу продали за $10 тис.

фото: Сергій Владикін для «Мінфіну»

Наскільки поширене в Україні шахрайство з криптовалютами?

Ми одні з перших, хто вийшов з ініціативою узаконити криптовалюту. Щоб її регулювали, треба визначити її електронною валютою або матеріальною цінністю. Вже розроблений такий законопроєкт.

Читайте також: Курс біткоіна оновив річний максимум

Та на даний момент злочинці знають, що встановити кінцевого користувача майже неможливо.

А як щодо крадіжки грошей з криптогаманців? Які резонансні злочини вдавалося розслідувати?

Є близько 5 тисяч різних криптовалют, якщо не помиляюся. Також існує безліч криптобірж. Враховуючи те, що важко встановити особу злочинця і немає юридичного статусу криптовалюти, ми в цій ситуації безсилі.

На законодавчому рівні не врегульовано поняття «криптовалюти» та офіційно це не є платіжним засобом. Це віртуальний вид електронних грошей, який не випускається центральними банками і не підкріплений національною валютою. Тому українське законодавство не відносить криптовалюту до майна чи цінностей, які можуть бути предметом злочину. В юридичному аспекті ми не можемо визначити цінність їх походження чи інакше ідентифікувати дані засоби.

Які наймасштабніші злочини в сфері фінансів вдалося розкрити цього року?

Нещодавно виявили банкоматних шахраїв. Злочинці робили копію картки, наносили на неї інформацію, яку отримували завдяки скімінговому пристрою на банкоматі, та викрадали кошти з банківських карток. Кількість ошуканих навіть не назву, але завдано збитків на мільйони гривень.

Також затримали ряд осіб, які скоювали шахрайські дії з місць позбавлення волі, а їх друзі на свободі знімали гроші з банківських карток. Спіймали не одну групу осіб, які створювали фіктивні онлайн-магазини та намагалися продати неіснуючі або неякісні товари, ошукуючи громадян.

Була справа з великою кількістю потерпілих (до 200 осіб), яка вже носить соціальний характер. Зловмисники продавали техніку Apple. Телефон чи інший девайс нічим не відрізнявся від справжнього товару Apple, але «начинка» — звичайна пластмаса.

Комплектуючі частини техніки приходили з Китаю, коробочки виготовляли самостійно. Для просування в інтернеті шахраї створили фіктивний сайт (зараз вже заблокований), окремо працював колцентр.

Скоро справу передамо до суду і жертви зможуть звернутися із позовом, щоб відшкодувати втрачені гроші.

Яку справу вважаєте найуспішнішою?

На території України почастішали кіберзлочини, пов’язані з поширенням шкідливого програмного забезпечення (комп'ютерних троянів) на ПК бухгалтерів юридичних та фізичних компаній. Мета хакерів — доступ до банківських рахунків та крадіжки грошей з них.

Нещодавно завдяки співпраці зі службою безпеки банківської установи ми попередили крадіжку грошей на суму 5 млн грн, якими хотіли заволодіти кіберзлочинці за такою схемою. Наші співробітники зв’язалися з банкірами в онлайн-режимі, повідомили, що вчиняються шахрайські дії, та попросили заблокувати операцію.

Попередити крадіжку грошей з розрахункових рахунків компаній, установ чи організацій можливо лише на початковому етапі, оскільки в таких випадках відлік триває не на хвилини, а на секунди.

фото: Сергій Владикін для «Мінфіну»

Яка відповідальність передбачена за шахрайство в сфері платіжних систем? Штрафи чи щось більше?

За статтею 190 Кримінального кодексу за шахрайство з використанням електронно-обчислювальної техніки передбачена відповідальність від 2 до 8 років позбавлення волі.

Якщо злочин скоєно групою осіб, то максимальна відповідальність до 12 років ув’язнення. Залежно від ролі злочинця він може отримати і умовний термін, і максимальне покарання.

А якщо кіберзлочинець поза межами країни?

Якщо громадянин України вчинив злочин за кордоном, то несе відповідальність саме в тій країні. Але якщо він вчинив злочин в Україні та втік за кордон, ми збираємо докази, доводимо його вину і оголошуємо в міжнародний розшук з метою екстрадиції.

Які траплялися найяскравіші випадки?

У нас був випадок, коли серед потерпілих були громадяни понад 30 країн світу. Шахраї використовували віруси для криптування, заражали техніку, криптували інформацію і вимагали грошові кошти за розкриптування даних або шантажували розповсюдженням інформації.

Процес тривав близько двох років, але злочинців затримали та заблокували близько 800 тис. доменних імен.

Що перешкоджає роботі департаменту? Яких законодавчих рішень бракує? Що могло б посприяти ефективнішій роботі?

Досі не імплементована превенція про кіберзлочинність. Про що це говорить? Наші провайдери не зберігають інформацію. Для нас це дуже важливо. Ми приходимо до провайдера і просимо надати інформацію, але він не може допомогти, оскільки її не зберіг.

Втім, у Верховній Раді вже зареєстрували два законопроєкти № 4003 і № 4004 щодо зобов’язання провайдерів зберігати всю інформацію, яка проходить через них, протягом 90 діб.

Так само варто внести зміни в закон про телекомунікації, в кримінально-процесуальне законодавство додати поняття «цифровий доказ» та узаконити поняття «криптовалюта», щоб вона набула юридичного статусу. А також внести зміни в низку статей Кримінального кодексу.

Спілкувалася Світлана Тартасюк

Автор:
Світлана Тартасюк
Журналіст Світлана Тартасюк
Пише на теми: Банки та банківські продукти, нерухомість, ринок праці, бізнес, фінанси, інвестиції

Коментарі - 23

+
0
Apollo17
Apollo17
28 жовтня 2020, 8:49
#
Когда читаешь такую статью и не видишь показателей сколько обращений, % раскрываемости, и т.д.  - то это пиар.
Если статья нацелена на то что мошенники испугаются - это смешно.

Так о чем статья?
+
+54
Qwerty1999
Qwerty1999
28 жовтня 2020, 10:17
#
О пиаре киберполиции, о том что она у нас есть и тоже хочет есть...
+
0
sadbuttrue
sadbuttrue
29 жовтня 2020, 8:44
#
146%! А ще цікаво на що витрачає відомство авакяна кожен місяць по 2 млрд. грн. Що ім виділяють із ковідного фонду. Особисто в мене немає впевненості в прозорості та ефективності таких витрат. Більше того навіть якби захотіли перевірити то не змогли б.
+
0
rakerunner
rakerunner
28 жовтня 2020, 10:14
#
Як злочинці можуть телефонувати з місць позбавлення волі? Звідки в них там телефони? Охоронці приносять? Спершу треба викорінити корупцію в самій правоохоронній системі.
+
0
sadbuttrue
sadbuttrue
29 жовтня 2020, 8:41
#
Вони намагаються боротися з наслідком а не з причиною
+
0
mphet26
mphet26
28 жовтня 2020, 10:15
#
«Мы разрабатываем буклеты, рекламные ролики и стараемся распространять их в метро, ​​автобусах.»

«У нас в планах создать отдельный телеграмм-канал.»
+
0
mphet26
mphet26
28 жовтня 2020, 10:21
#
«Мы приходим к провайдеру и просим предоставить информацию, но он не может помочь, поскольку ее не сохранил.»

«Если пользуется vpn-сервисом, то мы применяем международные связи и обращаемся к тому vpn-сервису, которым пользуется преступник. Есть управление оперативного реагирования, которое занимается именно этими вопросами.»
lol для этого они их в Швейцарии регистрируют что бы с украинской полицией делиться, даже ЦРУ после судов с зубами вырывает инфу, а тут оперативное реагирование
+
0
yarg
yarg
28 жовтня 2020, 14:57
#
Ничего , все меняется... когда-то и банковская тайна была. Сейчас уже никто и не помнит что это такое..
+
0
mphet26
mphet26
28 жовтня 2020, 17:56
#
Согласен, но кто в эпоху криптокоина пользуется банковскими переводами?

Уважаемый полковник об этом и сказал:
«существует множество криптобирж... трудно установить личность преступника»
+
0
yarg
yarg
28 жовтня 2020, 18:00
#
Ну... 99 % людей и 100 % фирм пользуются :)
потому что это на порядок удобнее и быстрее чем возня с коинами. 

а насчет установления - это дело техники. 
или подхода. 
можно же не интересоватся доходами и средствами , а облагать налогами имущество и покупки. Как делали 200 лет назад. И работало.
+
0
mphet26
mphet26
28 жовтня 2020, 18:01
#
Именно так, коррупционеры для виду 20ку баксов в банках регистрируют, а 2 млн не регистрируют
+
+15
yarg
yarg
28 жовтня 2020, 19:10
#
А причем здесь коррупционеры ? 
в банках никто ничего не регистрирует - регистрируют в декларациях
имущество спрятать не получится.
+
0
mphet26
mphet26
29 жовтня 2020, 10:07
#
При том что все кто боялся светить счета в Швейцарии давно нашли альтернативный способ прятать и оборачивать средства.
+
0
yarg
yarg
29 жовтня 2020, 22:57
#
Псс. епрятать не проблема. Проблема потом тратить - и подтверждать легальность.
+
0
Андрей Кул
Андрей Кул
28 жовтня 2020, 12:23
#
Киберполиция у нас слабая и когда раскрывает 1 дело в месяц, трубят об этом во всех СМИ!
+
0
sadbuttrue
sadbuttrue
29 жовтня 2020, 8:43
#
Це сумна реальність. ККД дуже низький. Ну і пам‘ятаємо хто іх шеф відповідно ніяких ілюзій не повинно бути, а наші податки продовжать витрачати неефективно.
+
0
Італій .
Італій .
28 жовтня 2020, 13:45
#
Поэтому украинское законодательство не относит криптовалюту к имуществу или ценностям, которые могут быть предметом преступления.

Пока в украинском законодательстве нет отдельного определения - криптовалюта по умолчанию считается виртуальным имуществом и ценность.
+
0
FogBRD
FogBRD
29 жовтня 2020, 7:08
#
Хотелось бы почитать выдержку из закона что крипта это «виртуальное имущество и ценность». На цифровую продукцию пока что есть авторское право если не обговорено что либо иное.
+
0
Італій .
Італій .
29 жовтня 2020, 8:25
#
Найди для начала место в каком-либо законе где книга, саженец вишни, велосипед или сырое мясо объявленые какой-то ценностью.

А когда не найдешь объясни себе (мне не надо, я и так знаю ответ) почему за кражу мяса или велосипеда могут дать тюремный срок, хотя бы в варанте условного, а за кражу биткоина - не могут.
+
+24
Qwerty1999
Qwerty1999
30 жовтня 2020, 8:01
#
Італій .
«Найди для начала»

Детский сад да и только...
Всё вами перечисленное подпадает под наименование товарно-материальные ценности, которые измеряются в разных единицах измерения - штуках, килограммах, метрах, литрах и т.д....

+
0
matroskin
matroskin
29 жовтня 2020, 22:34
#
Если прочесть статью то в ней разве что есть упоминание о крипте, при этом автор ставит заголовок: «об аферах с «криптой»: «Мы в этой ситуации бессильны»»
Это то же самое что Евангилие назвать «инструкция по преодолению водных преград»
+
0
bublik
bublik
2 листопада 2020, 23:49
#
Чиновники в Украине воруют в 1000 раз больше чем все воры страны. Так не проще сосредоточится на борьбе с бюджетными ворами а не заниматся очковтирательством?
+
0
yarg
yarg
3 листопада 2020, 17:48
#
И этим должны все заниматся  ? вплоть до водоканала и киберполиции? 
Щоб залишити коментар, потрібно увійти або зареєструватися