Нажми на кнопку - получишь результат!

Двум алматинским хакерам, обчистившим более 40 фирм, светит около 10 лет лишения свободы

24-летний Алмас ОМАРОВ (на снимке слева) и его ровес­ник Бауыржан ДАСТАРОВ (на снимке справа) еще в детстве увлеклись компьютерами. После окончания школы оба выбрали для себя специальности, связанные с новыми технологиями. Они разрабатывали программы и приложения, придумывали идеи для IT-бизнеса, а в итоге оказались на скамье подсудимых. Сейчас им предъявлены обвинения более чем по десяти статьям Уголовного кодекса. Проще говоря, Алмаса и Бауыржана обвиняют в создании преступной группировки, сумевшей украсть более 50 миллионов тенге у десятков казахстанских компаний.

Свой криминальный стартап Омаров и Дастаров запустили в начале прошлого года. Предшествовал запуску поиск любой интересной информации, касающейся вредоносных программ, позволяющих получить доступ к чужим компьютерам. Впрочем, найти такие вирусы не очень сложно - на специализированных форумах подскажут, кто их разрабатывает и продает. Купив несколько таких программ, Алмас и Бауыржан сделали рассылку по адресам разных компаний. А чтобы получатели обязательно открыли письма и таким образом установили у себя вирусы, парни отсылали послания от имени госорганов.
Сначала это был якобы комитет госдоходов. В середине марта на электронную почту ТОО “BioGourMet” пришли письма с ящика info@kgd.gov.kz. Ничего не подозревающие сотрудники фирмы открыли приложенный файл, благодаря чему в их компьютерах оказалась программа удаленного доступа. А дальше - дело техники: хакеры получили доступ к интернет-банкингу компании, составили фиктивное платежное поручение и вывели со счета фирмы миллион тенге.
Теперь нужно было вывести эти деньги из онлайна в офлайн. Для чего требовался человек, который мог бы открыть счет в банке. И вот тут на сцене появились 55-летний Абульфат МАМЕДОВ, а также Елдос БАГАЕВ и Данияр ЧИНГИСОВ . Именно они попросили знакомого - работника общепита Станислава ДЗЮБАТОГО - помочь, разумеется, не бесплатно. Тот сходил в банк, открыл счет и снял с него всю переведенную сумму. В результате двум гениям, Омарову и Дастарову, досталось менее 400 тысяч тенге, остальное получили их помощники.
Скажем сразу: уже в первой операции “высокотехнологичная” ОПГ наследила так, что их можно было брать с поличным. Тем более что вторая попытка украсть деньги закончилась неудачей. Отправленный на почту РОО “Казахстанская ассоциация медицинской лабораторной диагностики” вирус также дал злоумышленникам доступ к компьютеру бухгалтера, они сумели получить ключ от интернет-банкинга, перевели на свой счет 2 миллиона тенге. Но снять кеш не получилось: у сотрудников банка платеж вызвал сомнения, и они его отменили.
Облом ждал хакеров и с ТОО “Тинто”. В эту фирму они отправили письмо с вирусом от Генеральной прокуратуры, но работники компании заподозрили неладное и удалили послание.
Впрочем, любопытно то, как именно Омаров и Дастаров сфальсифицировали письмо от Генпрокуратуры. В Интернете они нашли ответ надзорного органа общественному объединению автолюбителей “ОСА” на официальном бланке. Небольшая переделка в фотошопе - и готово уведомление о возбуждении уголовного дела! Причем отправителем значился адрес www.prokuror.gov.kz@mail.ru. А теперь представьте: вам на ящик падает вот такая бумажка, где указано, что вас подозревают в совершении уголовного преступления. Особо впечатлительные граждане начнут лихорадочно паковать чемоданы и собираться в дальние края.
Вот почему подавляющее большинство сотрудников компаний, кому приходили подобные послания, тут же скачивали файлы и... становились жертвами преступников. Впрочем, не все были столь наивными - вирус распознали в ТОО “МФО Бирюза”, ТОО “Фирма МЕТА”, ТОО “Центрэнергокомплект” и ряде других предприятий. Некоторым просто повезло: там, где бухгалтерию вели на компьютерах фирмы Apple, программное обеспечение вирус просто не устанавливало.
Но все же в большинстве случаев бухгалтеры попадались на удочку киберпреступников. Омаров и Дастаров формировали платежные поручения, выводили деньги на чужие счета, а Мамедов, Багаев и Чингисов находили тех, кто готов был за небольшой процент сходить в банк и снять наличные. Схема оказалась вполне рабочей, давала сбои крайне редко. Да и сами ребята не особо наглели - чаще всего они брали меньше миллиона, не рискуя по-крупному.
Но, как известно, аппетит приходит во время еды. В июне прошлого года Алмас и Бауыржан, получив доступ к интернет-банкингу Института микробиологии и вирусологии, обнаружили на его счетах очень большие деньги. Составив сразу несколько фиктивных платежек, хакеры отправили своих помощников в банк, чтобы снять джек-пот - 358 миллионов тенге. Не вышло - специалисты Банка ЦентрКредит остановили вывод средств. Сорвалась и еще одна крупная афера - с городским перинатальным центром, откуда преступники пытались вывести почти 30 миллионов тенге. И вновь тот же банк заблокировал транзакцию.
Самой же крупной “рыбой”, пойманной Омаровым и Дастаровым, стал Алматинский онкологический центр. В августе 2015 года они заразили компьютер медцентра своим вирусом и вывели со счета медиков более 20 миллионов тенге. В этот раз деньги были перечислены фирме “Адилет”, с владельцем которой киберразбойники договорились о небольшом проценте за обналичивание.
Что самое интересное, схватить их за руку могли еще весной 2015 года, когда первые жертвы начали обращаться в органы. Причем уже в первом случае были известны данные человека, снимавшего деньги в банке. Более того, органы вышли на след Абульфата Мамедова, и он даже был задержан - до выяснения обстоятельств. В итоге его отпустили под залог. Омарова с Дастаровым нашли лишь в начале августа. А если бы сразу сумели получить нужную информацию от Мамедова, глядишь, и не было бы 45 потерпевших и 53 миллионов ущерба...
Оба хакера сразу же пошли на сотрудничество со следствием. Алмас Омаров предоставил свой компьютер, который и стал главным вещдоком. Оказалось, что на ноутбуке сохранены все следы преступлений - и доступ к серверам в других странах, и документы от “прокуратуры”, и многое другое.
Честно говоря, этот криминальный дуэт больше напоминает студентов, заигравшихся в крутых хакеров из голливудских блокбастеров. Да и их помощники, выводившие деньги по своим настоящим удостоверениям, на гениальных злодеев ну никак не тянут. Многие из них были уверены, что участвуют в обычных обнальных операциях: снять “денюшку”, получить свой маленький процент - и гуляй смело. Однако сотрудники прокуратуры, проводившие следствие, записали всех причастных в преступную группу.
По закону за это полагается от 7 до 12 лет лишения свободы, а с учетом того, что все 20 фигурантов подозреваются в десятке самых разных преступлений, сесть они могут надолго, минимум лет на десять.
А там - за колючкой - вполне могут найтись “доброжелатели”, которые помогут даже в зоне найти компьютер с модемом для выхода в Интернет. Дальнейшее - опять-таки дело техники.

Михаил КОЗАЧКОВ, фото с социальных сетей, Алматы

Комментарий в тему:

Илья САЧКОВ, эксперт по информационной безопасности:

Даже в тех случаях, когда служба информационной безопасности в компании полностью отсутствует, есть ряд действий, которые позволят защититься от подобных инцидентов:

1) Самое важное - производить операции с системой ДБО с отдельного компьютера, который ни для чего более не используется, даже для других рабочих целей.
2) Постоянно обновлять всё программное обеспечение, которое используется на компьютере. Помните, что зачастую обновления ваших программ - это ещё и усиление их безопасности. Если этого не делать, вас смогут взломать даже при простом посещении популярного сайта, который вам например необходим для работы, мы такое не раз наблюдали.
3) Установите антивирусное ПО, подойдут даже бесплатные решения, это все равно убережёт вас от многих опасностей. Угроза может прийти к вам не только из Интернета, но и например с банальной флешки. Обновление антивирусных баз должно также производиться регулярно, не реже раза в сутки.
4) Если в штате есть системный администратор, то возможно автоматизировать многие процессы, а именно:
а) Производить минимум раз в неделю полную антивирусную проверку компьютеров в автоматическом режиме.
б) Разрешать пользователям работу только под учётной записью с ограниченными правами.
в) Блокировать все исходящие соединения, не относящиеся к работе ДБО, антивирусного ПО и служб обновления приложений.
Всё это не доставит неудобств, если компьютер используется только для работы с ДБО.
5) Бережно относитесь к ключам электронной подписи ДБО, если они у вас используются. Всегда извлекайте их после завершения работы с ДБО, не вставляйте их в сторонние компьютеры, храните их в защищенных от посторонних людей местах.