До степени смешения. За организацию сайтов-двойников будет введено уголовное наказание (В. Тресков, журнал "Юрист спешит на помощь", N 12, декабрь 2015 г.)

До степени смешения. За организацию сайтов-двойников будет введено уголовное наказание

В. Тресков,

журналист

Журнал "Юрист спешит на помощь", N 12, декабрь 2015 г., с. 18-19.

Новомодный способ изъятия денег у граждан с помощью фишинга получил такой размах, что этой угрозе было посвящено специальное заседание законодателей. В Госдуме прошел "круглый стол" на тему: "Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга". Депутаты Госдумы, представители МВД, Минкомсвязи, Генпрокуратуры, научного, банковского сообществ обсуждали, как защитить граждан от этого нового вида мошенничества.

Неуловимый сайт

Напомним, что фишинг (англ. phishing от fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей: логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам. Таким образом, фишинг - одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности. В частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учетные данные, пароль и проч.

По данным МВД России, фишинг - это наиболее распространенный способ совершения преступлений, направленный на получение платежной информации и хищение денежных средств в сети Интернет. Основная цель злоумышленников - получить данные кредитной карты, пароль в мобильный банк для последующего незаконного списания средств с банковских счетов. При этом фишинговые сайты внешне сделаны так, чтобы пользователи принимали их за существующие популярные ресурсы. Обманным путем такие порталы могут выудить у неопытного пользователя персональные данные или платежную информацию. Одна из проблем для большинства людей, связанная с фишингом, заключается в том, что во многих случаях жертва фишинга не понимает, что ее обманули, а осознает это только после наступления негативных последствий.

По сведениям Центрального банка, сумма потерь банков и их клиентов от действий интернет-мошенников в прошлом году составила более 3,5 млрд. руб., а 70% всех несанкционированных операций с использованием платежных карт происходит с помощью фишинга.

Как сообщил заместитель начальника Управления "К" БСТМ МВД России Александр Вураско, все большую популярность обмана доверчивых граждан набирает голосовой фишинг, когда клиенту банка звонят от имени финансовой организации и под разными предлогами стараются узнать платежную информацию. Мошенники находят способы для блокировки "облачных хранилищ" с личными данными, устройств Apple в целях последующего шантажа.

Их адрес не дом и не улица...

Сложность раскрываемости таких преступлений обусловлена тем, что жертва электронной кражи узнает о потере денег не сразу. Чем больше проходит времени с момента незаконного списания средств до обращения в правоохранительные органы, тем меньше шансов поймать нарушителей закона. Подобные преступления - дело рук организованных преступных сообществ, в которых действия строго поделены между членами банды. Еще одна сложность в раскрываемости такого вида преступлений состоит в том, что сайт-двойник существует максимум сутки.

Как подчеркнула в своем выступлении на "круглом столе" старший прокурор отдела Генпрокуратуры России Елена Малык, случаи фишинга выявляются на всей территории России. При этом их количество постоянно увеличивается, а раскрываемость остается на уровне 20%.

По мнению прокурора, это связано с тем, что еще не сложилась единая судебная практика в этом направлении. Возникают сложности с квалификацией фишинг-преступлений, статью Уголовного кодекса "Мошенничество" применить не всегда удается, так как определить местонахождение счета, на который незаконно перечисляются средства, крайне затруднительно. При этом финансовые организации на запросы прокуратуры в рамках доследственной проверки нередко отказывают в предоставлении необходимых данных, ссылаясь на банковскую тайну. Также следственным органам сложно добиться нужной информации от операторов сотовой связи, которые могут отслеживать пик сообщений от мошенников и сообщать в органы прокуратуры. Елена Малык подчеркнула, что генеральная прокуратура в октябре этого года обратилась в Верховный Суд России с предложением провести анализ судебной практики и разработки на ее основе соответствующих разъяснений.

Представитель Минкомсвязи Вартан Хачатуров обратил внимание на сложность процедуры блокировки работы сайта. По его словам, максимально быстро сайты-двойники перестают работать по запросу Генеральной прокуратуры - на это уходит, как правило, сутки. В. Хачатуров напомнил слова коллег из профильных ведомств о том, что фишинг-сайты работают не больше 24-х часов. Если речь идет о копиях сайтов крупных банков, то они могут работать в течение нескольких минут.

Депутаты Госдумы предложили разработать законопроект, который вводил бы досудебную блокировку фишинговых сайтов и уголовную ответственность за их создание и владение. В частности, дополнить гл. 28 Уголовного кодекса РФ "Преступления в сфере компьютерной информации" новой статьей, включающей ответственность за фишинг. По мнению депутата Госдумы Ильи Костунова, за правонарушение следует установить весомый штраф либо четыре года лишения свободы. Он считает, что из-за того, что наказание за фишинг сейчас не предусмотрено, мошенники стараются разбивать преступление на несколько частей: воруют данные о кредитных картах, а потом украденные данные продают следующим преступникам, которые уже и осуществляют хищение денег либо используют данные в иных корыстных целях. Внесение в Уголовный кодекс ответственности за фишинг позволит пресекать преступление уже на этапе сбора данных злоумышленниками.

Отсутствие ответственности за фишинг в Уголовном кодексе развязывает мошенникам руки. Действующая редакция статьи Уголовного кодекса о финансовом мошенничестве (ст. 187 "Неправомерный оборот средств платежей") предусматривает для нарушителей лишение свободы на срок до семи лет и штраф до 1 млн. руб. В начале июня 2014 года в Госдуму был внесен правительственный законопроект, который дополняет ст. 187 ответственностью за изготовление и сбыт, в частности, скимминговых устройств, которые мошенники устанавливают на корпус банкоматов и копируют данные, записанные на магнитную полосу карты (номер, срок действия, пин-код), но про фишинг в нем не было речи.

В ноябре-декабре 2014 года Национальный совет финансового рынка (НСФР) подготовил законопроект, предусматривающий изменение ст. 159.3 и 187 УК РФ. В документе было предложено установить двухмиллионный штраф и лишение свободы сроком до 10 лет уже именно за фишинг (кражу логинов и паролей клиентов). Инициативу поддержал Центральный банк. Однако развития законопроект не получил.

В рамках нового законопроекта планируется уголовная ответственность за создание и владение фишинговыми сайтами. По этой статье мошенникам будет грозить штраф либо срок до четырех лет лишения свободы.

Суть законодательной инициативы достаточно простая: запретить регистрацию доменных имен, которые совпадают до степени смешения с названиями известных социальных сетей, банков, интернет-магазинов. Однако эксперты считают, что идея запрещать регистрацию доменных имен имеет спорный характер и технически трудно выполнима.

Сегодня более реальна идея создания механизма по выявлению фишинговых сайтов и предотвращения наносимого ими ущерба. Впоследствии, с появлением нормативов, сработает и ужесточение уголовной ответственности за создание фишинговых сайтов, а также за завладение и извлечение прибыли или использование таких сайтов в других противоправных целях. Ведь очевидно, что киберпреступность сегодня направлена исключительно на извлечение материальной выгоды и хищение денежных средств.

Когда не надо верить Интернету

Как было заявлено на заседании, на сегодняшний день самый классический пример использования фишинговой технологии - это создание фишинговых страниц для получения логинов и паролей к мобильным банкам, данных банковской карты или одноразовых кодов подтверждения операций. Таких случаев очень много, и с каждым годом наблюдается увеличение их числа. Возможно, это связано с увеличением популярности использования банковских карт и параллельно с этим невысоким уровнем компьютерной грамотности граждан. Надо отметить, что фишинг распространен во всем мире, от него страдают пользователи Сети в разных странах. В США и Великобритании законы антифишинговой направленности с последующей уголовной ответственностью действуют еще с середины 2000-х годов.

Поэтому законодатели планируют не только привлечь к разработке законопроекта отечественных специалистов из ключевых ведомств и компаний в сфере информационной безопасности, но также активно использовать международный опыт антифишингового законодательства. Так, в Великобритании антифишинговый закон вступил в силу уже в 2007 году, а в 23 штатах США приняты законы, устанавливающие уголовную ответственность со штрафными санкциями за фишинговое мошенничество.

Несмотря на различие в оценке ситуации, большинство участников "круглого стола" согласились с тем, что необходимо создать единую государственную систему противодействия фишингу, блокировать такие сайты в досудебном порядке, а также, что решение о блокировке должен принимать уполномоченный госорган: при хищении платежной информации это Центральный банк, при хищении персональных данных - Роскомнадзор.

По словам депутата И. Костунова, проблема фишинга сейчас стоит очень остро, поэтому законопроект планируется внести уже в эту осеннюю сессию.