РУССКИЙ
РУССКИЙ
ENGLISH
03.08.2022
«Бороться с киберпреступностью помогает супероружие — наши технологии»

Зафар Астанов расскажет о том, какие схемы придумывают мошенники и как работают технологии, защищающие 200 млн клиентов банков по всему миру
Возможно, вы уже догадались, что весь стэк инженерных технологий Group-IB, читай каждый наш продукт, служит одной очень важной цели — обнаружить киберпреступника и остановить его, защитив от его действий компании и их клиентов. О наших бойцах из сферы киберкриминалистики и реагирований на инциденты, а также из киберразведки (Threat Intelligence) вы уже знаете. Сегодня мы перенесемся в мир антифрода — борьбы с финансовым мошенничеством. Именно этим занимается новый герой нашего проекта “Киберпрофессии будущего” — Зафар Астанов. Он расскажет о том, какие схемы придумывают мошенники и как работают технологии, защищающие 200 млн клиентов банков по всему миру. В конце статьи, как всегда, ссылка на актуальные вакансии Group-IB.

Профайл:
Имя: Зафар Астанов.
Должность: руководитель международного департамента компетенций и сопровождения проектов по противодействию мошенничеству, Group-IB.
Специализация: Antifraud/ Fraud Protection
Возраст: 27 лет.
Образование: МГТУ им. Баумана.
Чем известен: автор патентов и изобретений.
Хобби: большой теннис
Начало карьеры специалиста по антифроду, где нет ни слова об антифроде
Вообще-то до поступления в Бауманку я планировал стать врачом. Но как-то раз попал в операционную, где девушке делали кесарево сечение, и настолько впечатлился, что понял: медицина — не мой вариант. С детства моей страстью и увлечением были компьютеры — вовремя вспомнив об этом, я начал тот путь, который в итоге привел меня в кибербез. Но на первом курсе Бауманки было трудновато. Как-то раз меня вызвали к доске и просили написать код на С++, а я на тот момент владел разве что HTML — пришлось пострадать. 

Однажды я случайно заразил трояном компьютер бухгалтера в фирме, где проходил стажировку. Случай, который, наверное, должно быть стыдно вспоминать, но нет. Он стал для меня челленджем и по сути привел в кибербез — я провозился с тем компом всю ночь, в итоге все исправил, троян обнаружил, машину “зачистил”. После этого начал читать хрестоматийные книжки, вроде работ Эндрю Таненбаума о компьютерных сетях, еще больше погружаться в специфику инфобеза, программирования и ради него даже пропускал математику и физику, которые на тот момент казались мне менее значимыми (так делать не надо, вы постарайтесь успевать все!). Пользуясь случаем, хочу поблагодарить Андрея Созыкина и создателей курсов LinkMeUp, которые очень сильно помогли мне разобраться, как работают компьютерные сети.

Во дворе Бауманки висят профайлы выдающихся выпускников — я увидел портрет Ильи Сачкова и так узнал о Group-IB. Сейчас я могу уже признаться, что после университета хотел пойти работать в “Лабораторию Касперского”, где проходил практику и тестировал разный софт, но как гражданин Узбекистана столкнулся с бумажной бюрократией. Ждал-ждал и в итоге просто устал ждать. Направил резюме в Group-IB и мне сразу сказали: приходи к нам, люди нужны, с бумагами сами разберемся. Я подумал — вот это знак. Кажется, двери в кибербезопасность все же начали приоткрываться.

“Школу жизни” в Group-IB я прошел экстерном — в каких подразделениях я только не работал: в компании очень сильна история с горизонтальной ротацией, когда ты можешь со временем попробовать свои силы в соседнем департаменте, и я бы сказал — я воспользовался этим максимально. И везде свой кайф. Сначала я был аналитиком в департаменте защиты от цифровых рисков — скаммерские группы, фейковые розыгрыши, распродажи и прочие нехорошие вещи, аффектящие бренды, а иногда и селебрити. Все это ты, как аналитик, видишь на темном, как в хакерских фильмах, дашборде и любой возникающий риск — поддельная страница, нелегально используемый лого или, условно, совпадение в репозитории кода — все это “видит” система и блокирует. Сегодня она стала еще круче: в ее основе крутятся нейронные сети, которые как раз и обучают те аналитики, которым когда-то был я.

Затем перешел в CERT-GIB и здесь, наверное, понял в чем мое призвание. И это точно была не медицина. Я даже помню день, когда стал частью команды CERT-GIB — это легенда российского кибербеза: в далеком в 2010 году в Group-IB была создана первая в России технология детекта мошеннических и фишинговых сайтов. Так вот для оперативной блокировки этих сайтов и был открыт первый в стране частный круглосуточный центр мониторинга и реагирования на киберинциденты — CERT-GIB. Благодаря его работе было подписано соглашение с Координационным центром национального доменов .RU/.РФ, которое дало нам, аналитикам, возможность блокировать фишинговые сайты без судебного решения. Такое соглашение стало уникальной практикой в мире, а сама технология используется до сих пор. Благодаря ей доменные имена в зонах .RU/.РФ перестали активно задействоваться в мошеннических схемах. Я это знаю, потому что в CERT-GIB есть крутейшая книга “молодого бойца” — каждый здесь изучает эту историю и потому круто чувствовать себя частью ее.

Если честно, меня всегда охватывала гордость, когда удавалось предотвратить кибератаку. Помню года 3-4 назад, тогда я еще работал в CERT-GIB, в России финдиректоров и бухгалтеров терроризировал банковский троян RTM. Он легко обходил самые продвинутые антивирусы, а некоторые даже мог запросто снести с рабочей машины — для этого у RTM был встроен специальный модуль. Мы увидели один такой семпл, причем новой версии, и я быстро написал сигнатуру для статического способа выявления вредоносного ПО и довольный собой ушел с работы домой. Поздно вечером мне звонит парень из CERT-GIB: “Зафар, твоя сигнатура?”. Я думаю, ну все, приехали, наверное, фолсит. А он продолжает: “Можешь идти за шампанским. Это победа!”. Оказалось, что в тот же вечер, несколькими часами позже, с помощью этой сигнатуры предотвратили атаку на крупную компанию. Я был счастлив.

Кибербезопасность — это чистейшая практика: за за три месяца в Group-IB я узнал гораздо больше, чем за три года учебы. Хотя Бауманка — это фундаментальная база, она дала хороший бэкграунд в плане программирования, понимания основ. А в CERT-GIB мы фактически работали на переднем крае — сталкивались не только с фишингом и мошенничеством, но и с целевыми кибератаками, которые попадают на главные страницы международных медиа. Например, когда злоумышленники похитили и слили в сеть разрабатываемые АНБ США эксплойты EternalRomance я был частью команды CERT, которая задетектила атаку вируса-шифровальщика Bad Rabbit с применением этого ВПО. Через две ночи бессонной работы наша компания выпустила первый во всем мире технический отчет, подробно описав ход атаки и инструменты. Для новичка это был ярчайший опыт: никаких разглагольствований, сразу в бой да еще с таким крутым результатом!

Безумный поступок — за месяц подготовиться к экзамену Cisco. Спустя пару лет, я решил двигаться дальше внутри компании. Обязательным условием, чтобы из CERT-GIB перейти в Департамент системных решений Group-IB на должность пресейла стала сдача этого экзамена. Готовился после работы, ночами, зубрил, штудировал десяток книг. В итоге с распухшей головой пришел на экзамен — и под прицелом трех камер и убийственного взгляда экзаменатора выдал все, что только мог. Результаты были отличными. Так начался новый этап моей карьеры. В Департаменте системных решений я консультировал заказчиков, готовил сэмплы для разных сценариев атак, совершенствуя нашу технологию Malware Detonation Platform, позволяющую проверять и принудительно вскрывать — а точнее “взрывать” — подозрительные аттачи или зараженные письма в изолированной среде. Фишка в том, что вредоносное ПО, которое, естественно, постарается скрыть свою сущность от детекта, не распознало, что находится не в реальной инфраструктуре, а в полностью эмулированной. И там, где оно могло бы пройти “ниже радаров” — у нас оно “взорвется” и покажет свою истинную сущность. Тогда я много общался с клиентами, питчил продукты Group-IB и в итоге прокачал скиллы, необходимые для публичных выступлений. И почувствовал, что готов к управленческим челленджам.

Цифровой отпечаток императора Марса

Попав в направление антифрода, я начал понимать, насколько глубока кроличья нора. Скажу сразу Group-IB не занимается классическим транзакционным антифродом — мы умеем останавливать мошенников до совершения плохой транзакции. Как? По поведению. Представьте себе, что каждый из вас — уникальный набор цифровых характеристик: то как вы водите мышкой, с какой силой нажимаете на тачпад, в какой руке держите смартфон, какая операционная система, браузер, локация у ваших трех или более устройств — все это набор из нескольких сотен параметров, которые создают ваш уникальный “цифровой отпечаток” в цифровом мире. Вся собранная обезличенная информация с устройства, в том числе позволяет нам сформировать Global ID, т.е. мы умеем идентифицировать устройство на глобальном уровне. Мы не знаем, что этот Global ID принадлежит Илону Маску, но наша система без труда отличит любого, кто попытается выдать свой “цифровой отпечаток” за “цифровой отпечаток” императора Марса. Для чего нам это? Для того, чтобы по поведенческому анализу понять, что пользовательская сессия, открытая сейчас на вашем смартфоне в мобильном-банке, инициирована не вами, даже если кто-то завладел вашим устройством. Таким образом мы анализируем пользовательские сессии, не вставая на конечные устройства, и постоянно обогащаем параметры поведенческого анализа. Представьте: наша супер-высоконагруженная система Fraud Protection в режиме реального времени анализирует поведение более 200 миллионов (!) клиентов банков по всему миру. Для меня подобные технологии — настоящий rocket science, а инженеры Group-IB — это супергерои типа Железного человека. Они делают мир безопаснее и справедливее. 
Все всегда просят рассказать про “смешные случаи” с антифродом — у меня есть только один: про мужа и жену. Все спрашивают: неужели ваша система никогда не ошибается? В ответ я обычно рассказываю эту историю. Клиент банка — муж — едет за рулем. Им срочно надо что-то забронировать и он, разблокировав смартфон, отдал его сидящей рядом жене, чтобы та оплатила бронь в онлайне. Муж — клиент банка, в котором мы защищаем пользовательские сессии физлиц в мобильном канале, то есть на смартфонах. Жена берет в руки телефон и пытается что-то оплатить: меняется и поведение на устройстве мужа, и диаметр подушечки пальца, и нажатие. Наша система чувствует неладное — дает сигнал в банк: подозрительная сессия с легального устройства. Представьте, что это не жена, а злоумышленник, которому потребовалось оплатить отель. Банк увидел сигнал от нашей системы и приостановил платеж. Как правило, банк получает сигнал через 200-300 милисекунд после фиксирования нашей системой аномалии и принимает решение, блокировать ли транзакцию. То есть до того, как произошел фрод, банк владеет информацией, кто зашел в личный кабинет, является он мошенником или нет, нужно ли препятствовать операции. Но эта история закончилась хорошо: муж был VIP-клиентом, поэтому сразу получил звонок из банка: вы или не вы? В результате, пришлось припарковаться и все же провести транзакцию самому. 

Буквально с первых дней работы, как это обычно бывает в Group-IB ,меня бросили на “сложный объект” — сразу же доверили защищать один крупный российский банк. Огромная отвественность, новое для меня поле, в общем все сложилось. Я работал по 20 часов, чтоб вникнуть в специфику банковского фрода. Так оказалось, что у моего клиента 90% дроперских операций проводили мошенники. Чтоб их “глушануть”, мы начали разрабатывать первые P2P-проекты для защиты платежей между физическими лицами и, в итоге, забегая вперед скажу, что спасли клиентам банков, благодаря этим технологиями, миллиарды рублей. И это по самым скромным подсчетам. 

Современное финансовое мошенничество — это продвинутые технологические схемы обмана.  Одна из них схема с “подложными мерчантами”. Преступники создают фейковую страницу оплаты, на которую покупатель переходит после подтверждения покупки в онлайн-магазине. То есть реквизиты с карты мгновенно передаются мошеннику на сервер и с этого сервера инициируется запрос к MerchantPluginInterface (технологический компонент, который управляет потоком транзакций). Далее пользователю высвечивается фейковая 3DS страница для ввода пароля из СМС. Покупатель вводит одноразовый код и успешно переводит деньги… на карту злодеев. Для покупателя платежная операция не вызывает подозрений, она выглядит очень правдоподобно. Обман выдает только информация в СМС-сообщении - там указывалось, что перевод идет не на счет юр лица, а с карты на карту - но кто внимательно читает СМС?

Мне как-то позвонили утром в субботу: Зафар, кража! Нескольких десятков миллионов рублей увели! Да, во время форс-мажоров приходится работать и на выходных. Злоумышленники вывели со счета фирмы деньги, заразив трояном Buhtrap компьютер бухгалтера. Первой зацепкой стал факт несовпадения клавиатурного почерка: бухгалтер обычно вводил логин и пароль с определенной частотой, в то время как мошенник вставлял его из буфера обмена. Если интересно — почитайте наш блог “Золотой век” Buhtrap”.

По нашим оценкам, за первые три недели апреля 2022 года количество попыток совершить платежи на нелегальных или мошеннических сайтах выросло более чем на треть. Примерно треть от этого числа приходится на сессии на мошеннических сайтах, которые имитируют оплату платежи на сайтах казино, разные лохотроны, или вот, например, платежи с поддельной страницей подтверждения платежей 3D Secure. В прошлом году мы подсчитали, что ущерб для клиентов российских банков только от этой мошеннической схемы с использованием подложных платежных систем, которые имитируют оплату 3D Secure (форма авторизации банка для проведения платежа), составил 3,15 млрд. рублей! Чувствуете аппетиты?

Бот хороший, плохой, злой

Бот — это предвестник Skynet из “Терминатора”: если ты хочешь бороться с фродом, ты должен уметь выявлять опасных ботов. Эту угрозу наш департамент увидел одним из первых на российском рынке и мы сразу же начали разрабатывать “антибот”.  “Плохие боты” проникали в личные кабинеты, собирали конфиденциальную информацию о пользователях, воровали авторский контент с сайтов, «скликивали» рекламные объявления, спамили, «накручивали» голоса на любой платформе, в общем, мы получали большое количество жалоб на атаки. Но и были и более значительные — например, боты использовались, чтоб «положить» сайт, генерируя бесчисленное количество запросов. Боты брутфорсили пароли, то есть перебирали разные числовые и буквенные комбинации для дальнейшей продажи. Эта проблема вышла далеко за пределы крупных компаний, с которыми мы привыкли работать. Например, хищение бонусных баллов ведет к тому, что ритейлеры теряют прибыль. Например, за 100 рублей бот дает бонусы на 4 000 рублей, и покупка на 8 000 рублей становится в два раза дешевле.
Нашему главному разработчику идея создания технологии борьбы с ботами пришла в тот момент, когда он принимал ванну. По крайней мере так гласит легенда. В итоге мы в кратчайшие сроки разработали наше собственное решение по борьбе с ботами, которое потом еще и было признано Роспатентом одним из 10 “изобретений года” по итогам 2020. Мы умеем детектировать плохого бота везде, алармить клиенту и реагировать на возможную попытку мошенничества. Эту технологию сначала начали покупать банки. Традиционный транзакционный антифрод, который раньше повсеместно устанавливали банки, анализирует откуда и куда перемещаются деньги, в каком количестве. Он не видит, кто инициирует перевод, с какого устройства, какие у “клиента” цифровые и поведенческие характеристики. А вот наше решение может сравнивать поведение пользователя и бота — потенциального злоумышленника в личном кабинете, страницах с оплатой, авторизацией, регистрацией, корзиной. Если действия подозрительны, запрос может быть вовремя заблокирован, поскольку клиент Group-IB получает оповещение. Теперь наше решение против ботов пошло “в народ” — его покупает и большой е-коммерс, и небольшие онлайн-магазины, и ресурсы, на которых идут голосования, в общем все, кто может пострадать от ботов.  

В беттинге и гемблинге свои схемы фрода и свои боты. Мир ставок — это отдельное пастбище для фродеров со своими схемами. Чтобы выглядеть для систем защиты легитимно, используются коммерческие антидетект-браузеры, они генерируют уникальные цифровые отпечатки устройств, автоматизированно ходят по сайтам и сохраняют историю, куки - тем самым "прогревая" аккаунты. Пишут ботов, которые разыскивают "валуйные ставки", "коридоры" Потом они делают ставки... выигрывают... и компания теряет деньги. Наши технологии позволяют предотвращать и такие хищения.
Наше супероружие — технологии

Мой карьерный лифт, очевидно, еще не доехал до последнего этажа, потому что его не существует. Если вы задумывались о том, идти или не идти в кибербезопасность или, допустим, в анти-фрод направлении, то просто представьте, что у этого рынка нет границ и вы поймете насколько велики ваши возможности. Развиваться как специалисту, аналитику, разработчику — здесь можно каждый день, да что там — каждый час. Как в моей истории с сигнатурой, которая через несколько часов после написания остановила атаку на компании. Ну а если вы хотите стать руководителем, знайте, что бумажки подписывать — это не про кибербезопасность. Вы всегда будете играющим тренером.
Со стороны кажется, что все очень размеренно и спокойно — но это кажущаяся тишина перед извержением вулкана. Мой среднестатистический день выглядит так: я просыпаюсь в 6.30, гуляю с собакой, завтракаю и еду в офис и дальше день почти полностью посвящен работе. Начинаю с чтения писем, общаюсь с коллегами, проходят деловые встречи. Затем мы обсуждаем с командой ближайшие технические задачи, тестируем продукты Group-IB, реагируем на важные запросы, в общем, спасаем мир. Каждый день я обязательно посвящаю хоть 30 минут проверке работы “пилотов” нашей системы: что они видят, как идет пилотирование, нет ли чего аномально-нового на радарах. После работы я приезжаю домой, ужинаю, три раза в неделю хожу на тренировку по теннису. Это в обычный день. Но иногда все меняется: тише всего перед бурей.

Никогда не нужно бояться прийти в компанию и заявить о себе. Даже если вы еще не до конца решили, чем будете заниматься. Карьера в Group-IB начинается… с желания стать профи в кибербезе. Мне кажется, это объединяет всех нас. Приходите и учитесь. Или учитесь на стороне вашей компании, записываясь на наши курсы, которые ориентированы на самые разные уровни. Не понимаете, как работает та или иная система — неважно, главное, чтоб было желание учиться. Начав сейчас, со временем вы станете играть в высшей лиге кибербезопасности.

Я точно знаю, что никогда не устану от этой работы.. Помните, вначале я говорил, что до поступления в Бауманку планировал стать врачом? Потом рискнул и встал на непростой путь, который привел меня к любимой работе в Group-IB. У нас непростая, а часто и очень опасная задача — бороться с киберпреступностью, но нам помогает супероружие — наши технологии.