Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Не менее важной задачей является сокрытие доступа в интернет. Абсолютное большинство компьютерных систем операторов связи, систем операторов по переводу денежных средств и любых иных сетевых систем сохраняет сведения о состоявшихся соединениях, сеансах связи, переданных сообщениях и т. п. в так называемых файлах регистрации статистики (лог-файлах). Участники преступных групп обычно не используют для доступа в сеть постоянные (проводные) соединения, тем более установленные в жилых или рабочих помещениях и предоставляемые на основе официальных договоров. Большинство населенных пунктов сейчас входит в зону покрытия сотовых сетей, предоставляющих услуги широкополосного беспроводного доступа (3-го и 4-го поколений). Устройства для доступа (модемы, телефонные аппараты, смартфоны) повсеместно имеются в свободной продаже, а оформленные на чужие персональные данные идентификационные карты абонентов (SIM-карты) могут быть почти свободно приобретены в любом крупном городе либо на специализированных сетевых ресурсах с доставкой в нужное место. Однако справедливо считается, что даже такой доступ необходимо скрывать, так как по IP-адресу беспроводной сети можно установить если не личные данные и точный адрес пользователя, то как минимум регион, населенный пункт, примерное местонахождение, статистику соединений, а в дальнейшем можно провести в отношении пользователя оперативно-разыскные мероприятия.

Поэтому для сокрытия реальных IP-адресов используются специальные технологии и системы. Прежде всего это VPN (англ. Virtual Private Network — виртуальная частная сеть) – группа технологий, позволяющих обеспечить защищенное сетевое соединение (логическую сеть) поверх интернета. При использовании VPN устанавливается так называемое тоннелированное, зашифрованное, соединение между устройством пользователя и находящимся на удалении VPN-сервером, который в свою очередь устанавливает соединения с нужными пользователю сетевыми ресурсами. Последние, соответственно, сохраняют в своих лог-файлах только IP-адрес VPN-сервера. Для повышения безопасности соединения может быть задействована цепочка из нескольких VPN-серверов (обычно двух или трех, максимум четырех). Разумеется, серверы для таких целей, как правило, арендуются за границей и не сохраняют статистику соединений. Обычно VPN предоставляется как платная услуга многочисленными официальными и неофициальными поставщиками, но наиболее технически продвинутые преступные группы, равно как и отдельные участники преступной деятельности, создают собственные «приватные» VPN-серверы, часто на абузоустойчивых хостингах, и, конечно же, не допускают к ним посторонних лиц.

Другой способ сокрытия реальных IP-адресов – использование так называемых анонимных сетей, работающих поверх интернета и специально предназначенных для обеспечения анонимности соединений. В таких сетях используются шифрование трафика и распределенная структура сетевых узлов. Наиболее популярная анонимная сеть – TOR, всего же их существует несколько десятков. Недостатками данной технологии являются сниженная скорость передачи данных, увеличенное время отклика ресурсов и повышенные объемы сетевого трафика. Поэтому в преступной деятельности, связанной с эксплуатацией ботнетов и компьютерных вредоносных программ, анонимные сети используются реже, чем VPN. Однако к анонимным сетям иногда прибегают для выполнения каких-либо разовых действий, передачи сообщений, а в особо важных случаях могут использоваться комбинации разных технологий, например TOR-VPN, VPN-TOR и т. п.

Еще один любопытный способ сокрытия реальных IP-адресов и введения возможных преследователей в заблуждение – использование в качестве последнего звена в цепочке соединений (прокси) постороннего компьютера или сервера. Обычно таким прокси выступает случайный бот из собственного ботнета, если функционал вредоносной программы это позволяет. Также прокси могут быть куплены в розницу или оптом на любом специализированном сетевом ресурсе. Особенно неприятный для сотрудников правоохранительных органов вариант – использование прокси в моменты совершения хищений либо при осуществлении соединений с какими-либо значимыми ресурсами, информация о которых впоследствии может быть получена при проведении проверок и расследований. В подобных случаях в распоряжении сотрудников правоохранительных органов оказываются реальные IP-адреса посторонних лиц или организаций, которых необходимо проверять на причастность к совершенным хищениям.

Активное использование членами преступных групп сетевых систем связи и средств сокрытия доступа прямо влияет на рассматриваемую в следующей главе статистику выявленных преступлений. Иными словами, можно сказать, что непрозрачность действий преступников является одной из основных причин высокой латентности хищений денежных средств с использованием вредоносных программ.