ектронными кошельками и гаджетами.
Вторая группа факторов сопряжена с эволюцией самих платежных систем. Если до 2013 г. монополию на рынке финансовых транзакций держали системы SWIFT, а также транзакционные системы крупнейших карточных операторов, то в 2014–2015 гг. картина начала стремительно меняться. Появляется все больше независимых платежных систем. Особо высокими темпами их количество растет в Европе. В немалой степени это связано с тем, что в Европе очень много лиц, занятых на промышленных предприятиях, в городском хозяйстве и т. п., не имеющих постоянного гражданства в странах-членах ЕС. Соответственно они отсылают огромные массивы денег, по оценкам – более 15 млрд. евро в год, своим семьям в основном в Африку и Азию. Все эти средства в основном приходятся на новые платежные системы, которые осуществляют переводы намного дешевле, чем классические операторы. Новые платежные системы, использующие как правило блокчейн, пока не имеют такой мощной защиты, как традиционные карточные операторы, и тем более система SWIFT.
Наконец, третья группа факторов связана с тем, что в настоящее время в странах-членах ЕС все публичные места оборудованы Wi-Fi. Данный тип сетей не имеет зашиты от хакеров. Поэтому при подключении смартфонов и гаджетов к Wi-Fi велика опасность проникновения вредоносного софта.
В итоге, хотя в настоящее время транзакционная преступность невелика по объему, она демонстрирует экспоненциальные темпы роста. Киберпреступники, как правило, не крадут электронные кошельки и даже не компрометируют кредитные карты, а просто подключаются к электронным кошелькам и добавляют в каждую транзакцию микроплатеж. Анализ, проведенный исследовательскими центрами нескольких европейских университетов, показывает, что в данной области, требующей высочайшего уровня квалификации, действуют преимущественно киберпреступники из России и Великобритании.
В западноевропейских странах-членах ЕС в последние годы быстро развивается 3D печать. Согласно данным Ассоциации 3D печати, Германия, Франция, Нидерланды и Великобритания входят в десятку стран, наиболее широко использующих 3D печать в индустрии и в быту. В 2015 г. в пяти странах ЕС были раскрыты группировки скиммеров, которые использовали 3D печать для фабрикации поддельных кредитных карт для стран, находящихся за пределами Европы. При этом в качестве матриц для 3D печати они использовали скомпрометированные в Соединенных Штатах и странах-членах ЕС карты. Все группировки, так или иначе, были связаны с Балканскими преступными сообществами, действующими в Европе и Южной Азии. Есть основания полагать, что данный высокотехнологичный вид преступности и далее будет активно развиваться.
Несомненно, наиболее быстрыми темпами будет расти преступность, связанная с гаджетами, как новым электронным кошельком и инструментом бесконтактных платежей. Если в 2011 г. по данным Visa Европа на бесконтактные транзакции приходилось 0,7 % от общего количества розничных транзакций, то в 2013 – 4 %, а в 2015 – 9 %. Это самый быстрорастущий финансовый мировой рынок. С учетом того, что в ЕС существует наиболее критическое отношение к наличным деньгам по сравнению с США, Россией, Китаем и другими регионами и странами, есть основания полагать, что в Европе электронные кошельки для бесконтактных платежей получат в ближайшей перспективе наибольшее развитие. При этом, как уже отмечалось выше, в Европе же имеет место наиболее полное покрытие Wi-Fi, а также разнообразие марок продаваемых гаджетов.
Вследствие комбинации данных факторов ЕВРОПОЛ ожидает в ближайшие годы экспоненциальный рост транзакционных платежных мошенничеств в Европе. При этом, поскольку это наиболее высокотехнологичный вид киберпреступности, требующий высочайшего уровня программистских и математических знаний, есть все основания полагать, что действовать на территории ЕС наряду с внутренними организованными преступными группировками будут хакерские команды из США, России, Индии. Это создаст дополнительные сложности для обнаружения, расследования и тем более предупреждения традиционных преступлений. Проблемы юрисдикции могут свести на нет не только усилия правоохранителей, но и эффективность тех или иных программно-аппаратных решений по борьбе с данным видом киберпреступности.
Правоохранительные органы должны стремиться к активному развитию многосторонних инициатив, включая инициативы Европола по борьбе с мошенничеством. В рамках инициативы они должны не только укреплять кросс-государственные связи и обмен информацией, но и инициативно формулировать предложения по созданию в структуре Европола новых групп и команд по борьбе с наиболее опасными типами киберпреступности в платежной сфере. Государства-члены ЕС должны активнее контактировать с системой EMAS, своевременно направляя в нее новые образцы вредоносных программ и кода, используемых киберпреступниками. В целях снижения риска вредоносных атак на платежную систему правоохранительные органы должны содействовать выполнению на межнациональном и международном уровнях «Руководящих указаний и рекомендаций Европола относительно кибератак на банкоматы, банки и платежные системы».
Правоохранительным органам различных стран необходимо повысить координацию в борьбе с торговыми площадками со скомпрометированными платежными картами и усилить свое сотрудничество под эгидой Европола и Интерпола с правоохранительными органами стран, где находятся основные покупатели скомпрометированных карт.
Необходимо создать постоянно действующую межведомственную и кросс-национальную рабочую группу Европола по борьбе с транзакционной киберпреступностью. Целесообразно пригласить к участию в этой группе представителей финансовых, деловых структур ЕС, а также представителей других стран и регионов с развитыми информационными технологиями.
Настоятельно необходимо реализовать в жизнь ранее принятые решения о создании в рамках ЕС специального защищенного канала для правоохранительных органов стран-членов ЕС, по которому они могли бы передавать всю необходимую информацию, касающуюся, в том числе, киберпреступности в финансовой сфере, и в первую очередь криминальных группировок, действующих в сфере транзакционной преступности и преступлений, связанных с платежными картами.
Необходимо также, как уже упоминалось в связи с CSE, установить рабочие взаимоотношения с хостерами во всех основных юрисдикциях, с тем, чтобы не допускать размещения в открытой сети интернет какой-либо информации, позволяющей продавать или распространять сведения о скомпрометированных картах. Применительно к транзакционной преступности и преступности с платежными картами, как никогда актуальными являются предложения активизировать контакты с ФБР относительно работы в сети Тоr.
Правоохранительным органам стран-членов ЕС необходимо обратиться к исполнительным и законодательным органам своих стран, финансовым институтам с просьбой ассигновать необходимые ресурсы для разработки эффективного инструментария, позволяющего снизить ущерб от транзакционной преступности и преступности с электронными кошельками для бесконтактных платежей. Необходимо довести до сведения властей, что в условиях экспоненциального нарастания данного вида преступности у правоохранительных органов отсутствует программный инструмент, позволяющий активно противодействовать криминалу.
Необходимо сосредоточить усилия на унификации законодательства в различных странах-членах ЕС, а также упрощении юрисдикционных процедур в сфере карточного мошенничества, платежных систем и транзакционной преступности.
Независимо от того, сколько ресурсов компании и государственные органы и общественные организации, а также граждане тратят на информационную безопасность, они не могут полностью защитить свою информацию. Самым слабым звеном в информационной безопасности является человек. В одних случаях человеческий фактор сводит на нет огромные ассигнования и значительные усилия из-за ошибок, недостаточного уровня квалификации программистов, системных администраторов, специалистов по информационной безопасности. В других случаях, а таких большинство, инсайдер внутри компании целенаправленно и с выгодой для себя нарушает или даже разрушает транзакционную безопасность, осуществляет те или иные преступные действия. До публикации настоящего доклада, насколько известно, социальный инжиниринг, как важнейший элемент и направление киберпреступности не рассматривался правоохранительными органами какой-либо страны мира и какой-либо части света.
Под социальной инженерией понимается информационная атака, т. е. несанкционированное получение информации в корыстных целях. При этом получение информации осуществляется против воли и цели как лица, через которое получена информация, так и владельцев компании или ее руководителей. Следует отметить, что борьба с социальной инженерией в настоящее время практически невозможна в силу отсутствия в законодательстве всех стран-членов ЕС статей, квалифицирующих социальную инженерию, как уголовно или административно наказуемый вид деятельности.
Включением данного раздела в доклад, Европол стремится инициировать не только общественность, но и законодателей на рассмотрение этого вопроса с четким вычленением тех аспектов социальной инженерии, которые носят априори преступный характер и должны получить соответствующую законодательную оценку.
Необходимость этого связана с тем, что в настоящее время социальная инженерия превратилась в один из самых распространенных векторов атак на информацию, от которых сложнее всего защититься. К тому же тщательный анализ киберпреступности показывает, что практически по всем направлениям наиболее опасных и быстроразвивающихся видов киберкриминала имеет место сложное сочетание социальной инженерии с применением вредоносного софта.
Практически все государства-члены ЕС отмечают стабильную тенденцию к увеличению фишинга в их юрисдикциях. Главной мишенью фишинг-компаний в 2015 г. наряду с частными лицами были финансовые институты.