Особенности киберпреступлений: инструменты нападения и защита информации

ОсОбеннОсти  

киберпреступлений: 

инструменты нападения  

и защиты инфОрмации

Масалков А. С.

Москва, 2018

УДК 004.056
ББК 32.972.13
 
М31

 
Масалков А. С.
М31  Особенности киберпреступлений: инструменты нападения и защиты информации. – М.: ДМК Пресс, 2018. – 226 с.: ил. 

 
ISBN 978-5-97060-651-3

Материал книги помогает разобраться в том, что обычно скрывается за терминами 
и шаблонными фразами «взлом электронной почты», «кибершпионаж» и «фишинг». 
Автор старался показать информационную безопас ность как поле битвы с трех 
сторон: со стороны преступного сообщества, использующего информационные технологии, со стороны законодательства и правоохранительной системы и со стороны 
атакуемого.
Основная идея состоит в том, чтобы доступно представить картину сегодняшней 
киберпреступности на актуальных примерах, включая применение фишинг-атак, но 
не ограничиваясь этим.
Приводимые методы атак подкрепляются примерами из реальной жизни. Углубленно разбираются механизмы получения незаконного доступа к учетным записям 
информационных ресурсов, в частности электронной почты. Акцентируется внимание на методе проведения фишинг-атак как наиболее эффективном на сегодняшний 
день инструменте получения паролей.
Фишинг рассматривается как универсальный инструмент, находящий свое проявление в различных мошеннических и хакерских комбинациях, как с технической, 
так и с юридической стороны. 
Книга включает практический взгляд на механизмы, используемые киберпреступниками, а также процесс формирования судебного производства и методов расследования таких преступлений.
Материал дает возможность пересмотреть и адекватно оценивать риски, эффективность используемых систем защиты, выстроить политику безопас ности в соответствии с реальностью. Приводятся советы по предотвращению кибератак и алгоритм 
первоначальных действий, которые необходимо предпринимать при наступлении 
инцидента и которые направлены на фиксацию следов, эффективное расследование 
и взаимодействие с правоохранительными органами.

УДК 004.056
ББК 32.972.13

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой 
бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав.

 
© Масалков А. С., 2018
ISBN 978-5-97060-651-3 
©  Оформление, издание, ДМК Пресс, 2018

Введение ..........................................................................................................................................................6

Глава 1. Хищение паролей методом фишинг-атак ............................................................ 20

Методы несанкционированного получения пароля.............................................................. 20
Особенности фишинга ........................................................................................................................ 25
Виды фишинговых атак ..................................................................................................................... 26
Слепой фишинг ...................................................................................................................................... 26
Целенаправленный фишинг ............................................................................................................. 28

1.1. Как это происходит? Фишинг-атака со стороны пользователя  
на примере электронного почтового ящика ................................................................................... 30
1.2. Роль социальной инженерии в фишинг-атаке ...................................................................... 41
1.3. Фишинг изнутри. Анализ используемых для атаки инструментов ............................... 49

Схема взаимодействия с почтовым сервером ........................................................................ 50
Три основные функции фишинг-движка .................................................................................... 51
Демонстрация механизма функционирования фишинг-движков  
на локальном сервере ........................................................................................................................ 52
Фишинг-движок изнутри. Пример 1 ............................................................................................. 55
Фишинг-движок изнутри. Пример 2 ............................................................................................. 61
Фишинг-движок изнутри. Пример 3 ............................................................................................. 64
Автоматическая проверка похищенного пароля .................................................................... 64
Фишинг-движок изнутри. Пример 4 ..............................................................................................67
Примеры интерфейсов ....................................................................................................................... 69
Доменные имена .................................................................................................................................. 73
Размещение фэйка на сервере .......................................................................................................77

Глава 2. Комбинированные атаки с использованием фишинга ................................ 79
2.1. Подготовка к персонализированной фишинговой атаке.  
Некоторые специфические способы сбора информации ........................................................ 80

Определение браузера и операционной системы атакуемого ........................................ 81
Определение IP-адресов атакуемого .......................................................................................... 85
Анализ служебных заголовков ....................................................................................................... 86

2.2. Атака с использованием «заброса» вредоносных программ ..........................................87

СОДЕРЖАНИЕ

2.3. Атака с использованием маскировки под легальное по программное  
обеспечение или файлы ........................................................................................................................100

Анализ зараженной системы .........................................................................................................113

2.4. Атака на мобильные телефоны ..................................................................................................115

Глава 3. Особенности киберпреступлений ............................................................................125
3.1. Мистика киберпреступности .......................................................................................................126

Незримое присутствие .....................................................................................................................128
Прочитанные и непрочитанные письма ...................................................................................129
Переписка с несуществующим адресатом ..............................................................................130

3.2. Характеристика киберпреступления, проблемы идентификации  
и трудности перевода .............................................................................................................................136
3.3. Доступность инструментов анонимной связи и управления ресурсами .................144

3.3.1. Доступность анонимной связи и управления  ..........................................................146
3.3.2. Виртуальный хостинг, выделенный сервер, VPN ......................................................155
3.3.3. Инструменты управления финансами ..........................................................................163

Глава 4. Противодействие и защита..........................................................................................168
4.1. Правоохранительная система .....................................................................................................168
4.2. Некоторые национальные особенности борьбы с киберпреступлениями .............175
4.3. Традиционная защита и рыночные тенденции ...................................................................185
4.4. Дешевые правила дорогого спокойствия. Советы по защите информации ..........190

Защита личных данных ...................................................................................................................190
Защита корпоративной информации ........................................................................................191
4.4.1. Реакция на инциденты ........................................................................................................192
4.4.2. Обучение в форме учений, приближенных к реальности ...................................193
4.4.3. Учет и контроль  .....................................................................................................................195
4.4.4. Аудит и разбор полетов ......................................................................................................196
4.4.5. Целесообразность автоматических операций ...........................................................197
4.4.6. «Отголоски пиратства» ........................................................................................................198

4.5. Что делать, если произошел инцидент ...................................................................................199

4.5.1. Изоляция системы .................................................................................................................201
4.5.2. Изготовление клонов носителей информации .........................................................201
4.5.3. Проведение исследований и компьютерно-технических экспертиз ...............202
4.5.4. Обращение в правоохранительные органы ..............................................................208

Глава 5. Никакой мистики, только бизнес. Обзор черного рынка 
информационных услуг в России ...............................................................................................210
Первый блок................................................................................................................................................211
Второй блок .................................................................................................................................................212
Третий блок..................................................................................................................................................213
Четвертый блок ..........................................................................................................................................214
Пятый блок ...................................................................................................................................................215

Заключение ...............................................................................................................................................217

Предметный указатель ......................................................................................................................221

4
СОДеРжАНИе

Своим родным и близким, с благодарностью.

Отдельное спасибо за вдохновение дочерям – Марии и Дарье.

ВВЕДЕНИЕ

Стремительное развитие технологий с большим воодушевлением 
было встречено лицами, склонными к различного рода аферам 
и другим преступным деяниям. 
Для хищения денежных средств мошенникам ранее приходилось 
подделывать бумажные платежные поручения и приходить с ними 
в банк, а для хищения важной информации требовалось проникать 
в помещения под покровом ночи и красть либо фотографировать 
документы из хитроумных сейфов. Все эти действия, безусловно, 
были сопряжены с высоким риском для жулика быть пойманным 
за руку и наказанным по всей строгости закона.
Интернет-технологии и сети передачи данных способствовали 
росту электронных учетных записей, которые хранят секреты пользователей и позволяют обмениваться важной информацией, а внедрение систем дистанционного банковского обслуживания избавило 
владельцев счетов от необходимости частых посещений банков для 
совершения платежных операций.
Стремление получить прибыль от новых технологий регулярно 
приводит к внедрению различных систем, протоколов и стандартов, 
которые при внимательном взгляде на них с другой точки зрения 
оказываются полны всевозможных уязвимостей.
Так, посмотрев на достижения человечества под другим углом 
зрения, криминальный мир обогатился разнообразием методов 
преступлений, совершаемых с использованием информационных 
технологий и средств связи.  Поэтому сегодня мы имеем массу но

ВВеДеНИе

вых видов преступлений и схем их совершения, требующих изучения и выработки алгоритмов противодействия.
Мобильная связь, Интернет, платежные системы, средства дистанционного банковского обслуживания, электронные учетные 
запи си – все это хорошо продается потребителям и значительно 
упрощает бизнес-процессы.
Все так называемые высокие технологии, формирующие информационное пространство, стали отдельным полем противостояния 
преступного сегмента и общества, при этом, если говорить прямо, 
ситуация больше напоминает охоту, чем противостояние. 
Бесчисленное количество кибермошенников и хакерских группировок, наводящих ужас на отдельных граждан, корпорации, государственные органы и даже целые страны, вызывают трепет возмущения от бессилия, подпитываемого регулярными выпусками 
средств массовой информации. Неуловимость и безнаказанность 
злоумышленников, их кажущаяся вездесущность, непостижимость 
методов и средств, которыми действуют злоумышленники, – все это 
создает не очень оптимистичную картину.
Основная сложность для общества и государства в отношении 
киберпреступлений связана с тем, что сфера киберпреступлений 
обросла множеством мифов и стереотипов. Неправомерные доступы к компьютерной информации, «взломы» сайтов и почтовых 
ящиков, атаки на ресурсы и другие киберпреступления связывают 
с немыслимыми по сложности и гениальности техническими процессами, постичь которые может далеко не каждый. Тем не менее 
большинство самых известных киберпреступлений просто в исполнении и вполне поддается анализу любым образованным человеком.
Самым эффективным из методов, применяемых как серьезными киберпреступниками, так и мелкими мошенниками, является 
фишинг1 во всем его разнообразии. Этот метод может использоваться в различных вариациях, но основная суть его заключается 
во введении человека в заблуждение с целью получения от жертвы 
требуемой для проникновения в защищенную среду информации 
либо совершения пользователем определенных действий. Основные 
виды фишинга осуществляются посредством средств связи – теле
1 Фишинг, англ. phishing, от fishing – рыбная ловля, выуживание.

ВВеДеНИе

фонных звонков, электронных сообщений и специально созданных 
сайтов (фишинг-движков). 
На сегодняшний день можно выделить несколько обособленных 
групп преступлений, так или иначе связанных с фишингом и его 
разновидностями, совершаемых с использованием телекоммуникационных сетей.
К одной группе преступлений относятся «слепые звонки» по 
абонентским номерам, чаще всего от имени сотрудников службы 
безопас ности, колцентров банков или операторов связи. 
Мошенниками осуществляются телефонные звонки по номерным 
емкостям мобильных и стационарных телефонов. При осуществлении звонков мошенники подменяют номер вызывающего абонента 
таким образом, что у вызываемого абонента отображается номер 
телефона, принадлежащий соответствующему банку или другой 
официальной организации, от имени которой действует злоумышленник.
В процессе общения с клиентами банка злоумышленники с использованием методов социальной инженерии получают сведения 
о реквизитах, принадлежащих потерпевшим, банковских картах 
и иную информацию, необходимую для осуществления дистанционных операций по переводу денежных средств. После чего с использованием системы удаленного банковского обслуживания злоумышленники осуществляют хищение денежных средств с банковских 
счетов и платежных карт.
Технология подмены абонентского номера и связанная с этим 
преступная деятельность будут еще затронуты далее (п. 3.3.1).
К другой группе преступлений, использующих фишинг, можно 
отнести рассылки сообщений, содержащих ссылки на скачивание 
вредоносного программного обеспечения1. Сообщения рассылаются 
как в виде SMS на абонентские номера, так и в виде электронных 
сообщений на почтовые ящики, мессенджеры и аккаунты социальных сетей.
Один из простых примеров этой категории преступлений практиковался в 2013–2014 годах, в некоторых регионах встречается 

1 Вредоносным ПО в соответствии со ст. 273 УК РФ принято считать компьютерную программу, предназначенную для несанкционированного уничтожения, 
блокирования, модификации, копирования компьютерной информации или 
нейтрализации средств защиты компьютерной информации.

ВВеДеНИе

и по сей день. Применялась схема, целью которой было заражение 
мобильного телефона вредоносной программой, осуществляющей 
рассылки сообщений вида: «Имя контакта из записной книжки мобильного телефона, для Вас есть новое MMS-сообщение. Ссылка» 
или «Имя контакта из записной книжки мобильного телефона, по 
Вашему объявлению на сайте. Может, обменяемся? Ссылка».
Общим признаком для всех аналогичных сообщений являлось 
наличие обращения к абоненту по имени либо имени-отчеству, 
в зависимости от того, как он был внесен в записную книжку ранее 
зараженного мобильного телефона, а также обязательное наличие 
ссылки на интернет-ресурс. 
При переходе по ссылке на мобильное устройство потерпевшего 
скачивается вредоносное программное обеспечение, которое получает доступ к телефонной книге мобильного телефона для осуществления дальнейших рассылок сообщений, содержащих ссылки на 
скачивание вредоносного программного обеспечения. В зависимости от типа вредоносной программы могла также присутствовать 
функция, позволяющая скрыто от пользователя отправлять и получать SMS-сообщения в целях совершения операций с привязанными к абонентскому номеру потерпевшего банковскими картами 
и электронными кошельками.
Частыми явлениями стали рассылки электронных писем от лица 
государственных органов с вложением файлов, содержащих вредоносные алгоритмы, либо упомянутые выше ссылки на скачивание вредоносного программного обеспечения. Злоумышленниками 
осуществляется рассылка электронных писем от имени прокуратуры, налоговой службы, в теме которых указывается, например, 
«Предпи сание об устранении нарушений», «Штраф», «Сверка».
В качестве примера подобной рассылки на электронные почтовые адреса можно привести рассылку фишинговых писем от имени 
Банка России, так называемые «вакансии», отличительной чертой 
которых являлось наличие вложения с заголовком вида «вакансия_
NoХХ.doc». Согласно отчету FinCERT1 (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере 

1 Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопас ности и защиты информации Банка России за период с 1 июня 2015 г. по 31 мая 2016 г. URL: http://www.
cbr.ru/statichtml/file/14435/fincert_survey.pdf.

ВВеДеНИе

Главного управления безопас ности и защиты информации Банка 
России), во вложении таких сообщений содержался макрос, выполняющий скачивание загрузчика вредоносного ПО. 
С целью придания достоверности данным письмам для рассылки 
используются электронные адреса и доменные имена, визуально 
схожие с доменными именами реальных сайтов государственных 
органов. При переходе по ссылке, содержащей такое доменное имя, 
может осуществляться перенаправление пользователя на официальный сайт соответствующей государственной структуры.
В тексте письма от имени должностных лиц, как правило, излагается важная причина, по которой незамедлительно требуется 
открыть вложенный файл, имеющий вид электронного документа, 
либо перейти по содержащейся в письме ссылке на интернет-ресурс.
После открытия документа или совершения перехода по ссылке компьютер пользователя заражается вредоносным программным обеспечением, которое в зависимости от заложенного в него 
функционала может заблокировать доступ к имеющим значение 
для финансово-хозяйственной деятельности организации файлам 
(документам, базам данных бухгалтерских и складских программ) 
с последующим вымогательством денежных средств за их разблокировку (расшифровку); либо может управлять программой удаленного банковского обслуживания и формировать платежные поручения 
с внесением в реквизиты получателя средств данных подконтрольных злоумышленникам счетов.
Использование фишинговых сайтов составляет третью условную 
группу преступлений, связанных с фишингом.
Эта группа включает в себя создание сайтов, оформленных в виде 
почтовых сервисов, банковских ресурсов, социальных сетей или интернет-магазинов.
Примером такой незаконной деятельности может быть интернетмагазин, торгующий популярными товарами, зачастую по сниженным ценам, по сравнению со среднерыночными.
Злоумышленниками создается сайт, визуально схожий с уже существующим, «раскрученным», либо совершенно новый интернет-магазин. При заказе товара осуществляется перенаправление 
пользователя на фишинговую страницу оплаты, практически не 
имеющую отличий от страницы официальной платежной системы. 
При вводе пользователем на данной странице учетных данных для