Денежные мулы, кроты, криптовалюты: как киберпреступники легализуют деньги

Сен 10, 2020 Редакция Vtimes

SWIFT проанализировала опыт крупнейших кибератак

Киберпреступники – от одиночек до организованных групп, нередко связанных с определенным государством, – заработали за год $1,5 трлн, говорится в отчете межбанковской платежной системы SWIFT и BAE Systems Applied Intelligence «По следам денег» (Follow the Money). Но украсть деньги – это только полдела: чтобы ими пользоваться, надо их отмыть. Без банков тут не обойтись. Основываясь на приемах, которые использовались при крупных кибератаках на платежные системы банков (и системы управления сетью банкоматов), SWIFT и BAE описывают запутанную схему, в которой задействованы так называемые денежные мулы, подставные компании, инсайдеры и криптовалюта.

Эта война бесконечна: банки инвестируют в развитие технологий и информационной безопасности, а злоумышленники придумывают новые методы обхода систем безопасности и схемы вывода полученных денег.

Три цикла стирки

Замышляя кибератаку, преступники заранее готовят и легализацию похищенных денег. Она традиционно проходит в три этапа.

Внедрение. Сначала деньги надо ввести в финансовую систему – зачислить на банковские счета.

Маскировка. Затем надо замести следы – деньги перемещаются по финансовой системе, чтобы замаскировать их происхождение и собственность.

Выход из тени. После этого отмытые деньги снова попадают в законную экономику либо инвестируются в преступное предприятие.

Внедрение

Чтобы отмыть украденное, нужен доступ к банковским счетам, на которые будут перечисляться деньги. Это ключевой шаг в отмывании, мошенникам надо избежать любых подозрений. Иногда банки открывали счета добросовестно, не зная, что документы клиента фальшивые, либо использовались настоящие паспорта людей, которых преступники принуждали к открытию счета. Чтобы избежать подозрений, такие счета создавались за несколько месяцев до ограбления. Так возникает меньше вопросов, почему в какой-то момент на счет начнут поступать крупные суммы.

Казалось бы, банки за столько лет должны были научиться распознавать фиктивные компании, а принцип «Знай своего клиента» (KYC) заставляет проверять каждого. Тем не менее были случаи, когда наличие инсайдера в банках помогало злоумышленникам избегать или минимизировать комплаенс при открытии счетов.

При атаке на банкоматы преступники должны заранее завербовать людей, которые заберут из банкоматов украденную наличность. Второй подготовительный этап – вербовка «денежных мулов», которые будут переводить деньги дальше.

 «Денежные мулы»

Они нужны кибермошенникам независимо от цели и способа ограбления. Их роль – запутать цепочку между преступлением и переходом денег к самим преступникам. Счета могут открывать участники преступной группы, а могут и ничего не подозревающие люди, которых обманом уговаривают использовать свои счета в преступных целях.

Задачи у «денежных мулов» разные – контроль за банковским счетом, получение средств на счет до перевода их преступнику, использование поддельных документов для открытия счета за вознаграждение, снятие украденных денег в банкоматах. Именно «мулы» являются слабым звеном во всей цепочке: на них первых падает подозрение, их первыми вычисляют и арестовывают (например, в банкоматах, с которых крадут деньги, часто установлены камеры).

Киберпреступники креативно подходят к вербовке «денежных мулов», например, обещают легкий заработок, используя объявления о работе, онлайн-сообщения, социальные сети. Целевая аудитория – это молодые люди, например те, кто планирует получить платное образование, или взрослые, которые не работают и могут рискнуть ради легкого заработка. Из таких псевдообъявлений трудно сделать вывод о конечной цели «работы». Пример: вакансия «девелоперской компании» с ежемесячным окладом порядка $10 000 плюс комиссии подразумевала общение с потенциальными инвесторами проектов через электронную почту или телефон, разъяснение им сути проектов и обеспечение удобных способов инвестирования между инвестором и компанией-застройщиком.

Обычно в крупной операции участвует около 10 «денежных мулов». Но бывают исключения. Например, в 2017 г. хакерская группировка Lazarus благодаря вредоносной программе за два часа сняла наличные в 12 000 банкоматов в 28 странах.

Маскировка

Деньги, снятые с банкоматов, как правило, немедленно конвертируются в доллары в обменниках. Тут предполагается соучастие или халатность сотрудников обменников. Иногда, сняв деньги в банкомате, «денежный мул» передает их другому посреднику, и лишь после этого они доходят до самого преступника.

Для маскировки денег используются счета подставных компаний, часто из юрисдикций, известных жесткими законами о банковской тайне или недостаточным противодействием отмыванию денег, – Ирана, Пакистана, Северной Кореи, Кении и других стран из черного списка FATF. Формально такие компании часто производят текстиль, одежду, морепродукты, занимаются рыболовством.

Киберпреступники используют для отмывания денег и реальные предприятия, которые работают в основном с наличными деньгами: это компании рынка предметов роскоши (золото, алмазная и ювелирная промышленность) и казино. Казино, например, может конвертировать наличные в фишки, а затем обменять их обратно для внесения в банк и выдать чек, подтверждающий законность операции. Особенно удобно, что в некоторых юрисдикциях имена и выигрыши не регистрируются.

Выход из тени

Последний шаг – вложить отмытое: инвестировать в бизнес или что-то купить. Среди активов, которые привлекут наименьшее внимание правоохранительных органов, – имущество и ювелирные изделия. Зачастую награбленное инвестируется в преступный бизнес, в частности в наркотики. Более трети организованных преступных групп в Европе, включая киберпреступников, непосредственно участвуют в производстве или обороте запрещенных средств, говорится в отчете. Все большей популярностью пользуются криптовалюты – благодаря их анонимности.

У арестованного лидера одной из хакерских групп обнаружилось 15 000 биткойнов на сумму $109 млн. При обыске в его доме нашли два спортивных автомобиля и ювелирные изделия на $557 000. Группа действовала на международном уровне: ферма, где производились биткойны для отмывания украденных средств, находилась в промышленном здании в Восточной Азии, в то время как многие из арестованных были выходцами из Восточной Европы, а лидер группировки тратил награбленное в Западной Европе.

Денежные мулы, кроты, криптовалюты: как киберпреступники легализуют деньги