Баллада о дропах, или Эволюция от торпеды до дроповода за 6 летЧасть 1

Но, как водится, за миллиардными потерями и сложными высокотехнологическими схемами и алгоритмами атак теряются простые, но при этом не менее интересные нюансы и детали мошенничества. Именно об этих деталях пойдет речь в данной статье.

Кардинг, фишинг, фарминг, спуфинг, хакеры, кодеры, криптеры, спамеры – в обиход отечественных специалистов по информационной безопасности с каждым годом входят все новые специфические термины. Одним из таких слов, пришедших в русский язык из английского словаря, является термин "дроппер", или, сокращенно, "дроп".

Кто же такие дропперы?

Глагол drop с разговорного английского дословно переводится, как "бросать, сливать, спускать". Этот глагол как нельзя лучше соответствует характеру действий и роли, которая отведена дропперам в запутанных мошеннических схемах.

По своей сути дроппер – промежуточное звено в мошеннической цепи, позволяющее с допустимым уровнем риска вывести безналичные денежные средства из банка или товар со склада магазина в доступную для дальнейших манипуляций (обналичивание, перепродажа, разделение и дальнейший перевод на подконтрольные счета и пр.) внешнюю зону.

"Да это же простой отмыв! Нальные схемы, 115-ФЗ, противодействие финансированию терроризма и прочее!" – воскликнут коллеги из экономической безопасности и будут правы. Дропперы могут быть использованы и для "обнала" тоже. Организаторы мошеннических схем давно поняли, что одними выводами криминальных денег со счетов ограбленных клиентов сыт не будешь (взломы ДБО происходят не так часто, как этого бы хотелось участникам схемы), поэтому в остальное время дропперов используют в том числе для обналичивания безналичных денежных средств, природа поступления которых на счет дропперов может быть самой экзотической.

С точки зрения злоумышленников, дроппер – подконтрольный человек (в настоящее время это может быть и юридическое лицо/ИП, но это сути термина не меняет), на которого "сливаются" безналичные денежные средства с "подломленных" счетов в банках или товары, заказанные в магазине от имени держателей платежных карт, которые он потом передает лично, отправляет по почте или переводит своему сообщнику. Различаются разводные и неразводные дропперы. Ведь дроппер часто не догадывается о том, что поступившее (слитое) к нему получено не совсем честным способом.

Разводные дропперы – это те, кого втянули в криминальную авантюру обманным путем. Люди, которые соглашаются участвовать в мошеннической схеме, заранее зная и понимая риски своей новой профессии, получили название неразводных дропперов. Чаще всего они соглашаются заниматься этим на регулярной профессиональной основе, образуя небольшие сообщества (дропперские сети). Именно они впоследствии становятся дроповодами, но об этом чуть позже.

В том и в другом случае организаторы мошеннических схем предлагают дропперам взять на себя риски, связанные с транзитом и обналичиванием денежных средств или товара в обмен на часть прибыли.

В среде злоумышленников дропперы (физические лица) считаются самой низшей кастой. Зачастую ими становятся: новички, которые только начинают вникать в суть компьютерных преступлений и хотят быстро получить сомнительный опыт; лица низкого социального статуса (алкоголики, наркоманы, бездомные), готовые пожертвовать собственными здоровьем и свободой ради единовременного дохода от продажи личных данных или совершения какой-либо не совсем законной операции; студенты и молодежь в возрасте от 18 до 25 лет, нуждающиеся в постоянном притоке денежных средств.

Дропперами-юриками (юридические лица) становятся предприятия и индивидуальные предприниматели, попавшие в сложную жизненную ситуацию (разорившиеся, банкроты, владельцы "невзлетевшего" бизнеса и пр.), выставившие свои организации на продажу в надежде получить минимальные деньги до окончательного закрытия своего бизнеса. В Интернете сейчас много различных сайтов, предлагающих за небольшие деньги оказать юридическую помощь и выкупить документы на проблемные организации на особых условиях.

Различают доверенных и недоверенных дропперов. Доверенные – прошедшие необходимые проверки организаторов, неоднократно участвовавшие в схемах и заслужившие криминальный авторитет. Они могут выполнять в схемах злоумышленников помимо обнала и другие мелкие поручения в пределах своей небольшой компетенции: играть роль прикрытия для торпеды, стать связными с другими дропперами или посыльными при доставке реквизита (оформленных на других лиц платежных карт, PIN-конвертов, инструкций и пр.). Недоверенные дропперы – все остальные, которыми в нужный момент всегда можно пожертвовать, отвлекая при этом внимание правоохранительных органов от других, более важных участников схемы. Часто злоумышленники пользуются доверием дропперов, которые не до конца понимают, что они рискуют и чем, соглашаясь на условия дроповодов.

В 2007–2009 гг. под термином "дроппер" понимались люди, предоставившие свою (полученную в банке на официальных основаниях) пластиковую банковскую карту и PIN-код от нее злоумышленникам за определенное вознаграждение. Чаще всего это требовалось для многократного совершения операций снятия переведенных извне безналичных денежных средств в нужном банкомате нужного банка в нужное время.

Исторически в 2005–2007 гг., когда на рынке электронных розничных услуг в России появились пластиковые банковские карты с возможностью совершать операции покупки товара через Интернет в магазинах на территории США и Европы, продвинутые держатели карт массово начали заказывать импортный товар на адреса в регионы РФ. Опасаясь повышения уровня мошенничества, владельцы крупнейших иностранных интернет-магазинов ограничили на программном уровне возможность заказа товара с указанием адреса доставки за пределами своих стран. Но граждане Российской Федерации стали массово налаживать связи через Интернет с жителями того региона, к которому отнесен магазин (чаще всего – гражданами США), и заказывать товар через них как через посредников с последующей отправкой заказа в Россию. Эта схема, придуманная "во благо" для обхода искусственно созданных препятствий, и стала "мамой" современных дропперов.

Подобная схема и сейчас довольно часто практикуется злоумышленниками в регионах России, но гарантированно работает только для тех банков, процессинговые центры которых не смогли или не захотели своевременно автоматизировать процессы противодействия (фильтрации, выявления и блокировки) легализации (отмыванию) доходов, полученных преступным путем (в соответствии с базовыми требованиями Федерального закона от 07.08.2001 № 115-ФЗ) – по аналогии с владельцами иностранных интернет-магазинов. Число таких банков в настоящее время стремительно сокращается, в т.ч. благодаря успехам представителей надзорных подразделений ЦБ РФ. Большинство банков уже научились в бесконечном потоке транзакций выявлять подозрительные операции и блокировать/лимитировать снятия по пластиковым банковских картам в банкоматах, что сильно сказалось на объемах обнального бизнеса в последнее время, но сама схема продолжает работать на небольших оборотах.

Мышеловки для потенциальных дропперов

Злоумышленники своевременно отреагировали на появление в ряде крупных банков черных списков и автоматических систем выявления подозрительных транзакций (предшественников современных комплексных решений класса Antifraud).

Это досадное обстоятельство заставило их скорректировать схему использования дропперов и отказаться от многократного использования ценного реквизита. Недолго думая, мошенники решили брать банки числом: в качестве дропперов стали использоваться реквизиты не только физических, но и юридических лиц и индивидуальных предпринимателей. Добытые на возмездной основе у коллег по черному рынку (полуофициальных скупщиков разорившихся организаций) реквизиты дропперов – юридических лиц – стали использоваться злоумышленниками (после предварительной проверки наличия в банке систем фильтрации) точечно и с высокой осторожностью, преимущественно для гарантированных переводов, существенно реже, чем данные дропперов – физических лиц.

Поначалу в среде злоумышленников даже сложились свои стереотипы, например, о том, что дропперфизик – дешевый товар массового потребления. Он "хорош" тем, что не привязан к региону, может перемещаться и открывать счета на свой пока чистый паспорт в разных банках, в разных регионах. В этом смысле дроппер-юрик – это сравнительно "дорогой товар", а чистый и не засвеченный – фактически штучный.

Но затем, в 2010–2011 гг., принципиально поменялся глобальный подход к поиску дропперов и реквизита на черном рынке: появились алгоритмы привлечения и стимуляции дропперов. Те, кто раньше сам выполнял роль рядового дроппера, в свете активных действий со стороны МВД стал больше задумываться о собственной безопасности и о построении региональных сетей и пирамид (по аналогии с сетевым маркетингом). В обиход злоумышленников вошел термин "дроповод", или лицо, ответственное за развитие сети дропперов в нужном регионе РФ или в любом иностранном государстве. Функцию по управлению дропперами, которую ранее выполняли воодушевленные своими успехами и размерами неожиданной прибыли молодые хакеры, стали выполнять люди, не имеющие к компьютерной безопасности или программированию никакого отношения, но при этом достаточно опытные в криминальном бизнесе и желающие получить такие же деньги. В работу пошли совершенно типичные для этой категории людей методы: манипуляция, обман, шантаж, угрозы и пр.

Некоторых дропперов злоумышленникам удавалось находить по старым связям в регионах и использовать в открытую. Но чаще всего (так меньше рисков для дроповода и организатора преступной схемы) дропперов привлекали без раскрытия всех планов и нюансов теневого бизнеса, общими словами, но при этом регулярно стимулировали по четко отработанной коммерческой схеме.

В Интернете, в том числе и в социальных сетях, стали появляться заманчивые объявления, сулящие всем желающим быстрые деньги за, казалось бы, простые и безопасные действия. Суть одного из таких объявлений следующая: крупной российской "строительной компании" (точное название не указано по понятным причинам) требуются сотрудники на "договор подряда", имеющие свои собственные/способные получить пластиковые банковские карты и готовые их передать для регулярного перечисления заработной платы нелегально трудоустроенным в "строительную организацию" иностранным рабочим из постсоветского пространства. Предлагалось официально оформлять банковские карты на сотрудников этой самой "строительной компании" (т.е., в терминах данной статьи, – на дропперов). Обязанности дроппера в этой схеме: дроппер должен заранее подготовить необходимые для открытия счета документы (количество документов зависит от требований выбранного банка), приехать в нужное время в нужный банк, открыть на себя счет, написать заявление на выпуск обычной дебетовой платежной карты к этому счету, при наличии – подписаться на систему SMS-информирования на номер мобильного телефона "строительной компании". После получения карты, передает ее и PIN-конверт в установленном "договором подряда" порядке (по почте, при личной встрече, через посредника и пр.) представителю "строительной компании". За каждый выезд в нужный банк дроппер получал определенный гонорар – от 500 до 5000 руб., – чем больше выездов (минимум – 2), тем выгоднее для дроппера сотрудничество с этой "компанией".

В других похожих схемах дроппер выполнял все те же действия, только не передавал пластиковую банковскую карту "представителю строительной компании", а регулярно (не чаще двух раз в месяц) или по звонку бухгалтера-дроповода самостоятельно снимал определенную сумму в ближайшем банкомате. Тут появляется следующий термин – "торпеда" (в английской тематической литературе – "мул"), или лицо, совершающее снятие наличных денежных средств в банкомате по пластиковой банковской карте (картам), зачастую выпущенной на третьих лиц, и отправляющее 80–90% от суммы по системе WesternUnion на дополнительно указанные реквизиты дроповода. Оставшиеся 10–20% являлись премией торпеде (в контексте статьи – подвид дроппера) за хорошо выполненную работу.

С помощью социальных сетей, тематических форумов, объявлений на столбах и автобусных остановках злоумышленникам удавалось и удается постоянно пополнять свои ряды и не зависеть от степени удачливости или личных качеств того или иного участника распределенной сети дропперов. Поскольку организаторы таких схем рискуют не своими деньгами, а средствами, похищенными у жертв мошенничества, они могут себе позволить достаточно спокойно относиться к постоянной ротации внутри сети дропперов. Они защищены от правоохранительных органов, поскольку никто из дропперов не знает организатора схемы, а с дроповодом чаще всего общение происходит только через Интернет (Jabber). Если кто-либо из действующих дропперов решит покинуть теневую схему и прихватить с собой все деньги, переведенные ему в соответствии с планом по обналичиванию, функция по восполнению рядов и решение о применении санкций (репрессии, рэкет, травля в Интернете, привлечение к ответственности родственников и пр.) в отношении нерадивого сотрудника-дроппера ложатся на дроповода.

Другим примером создания дропперских сетей является появление в регионах РФ микрофинансовых организаций, название которых меняется с периодичностью в 2–3 месяца. Эти организации привлекают по объявлениям в Интернете и фиктивно устраивают в штат молодых и амбициозных финансовых директоров и менеджеров, единственной задачей которых является транзит: открытие в нужных банках лицевых и расчетных счетов и совершение операций перевода поступающих денежных средств на указанные счета в российские и иностранные банки. После того, как микрофинансовая организация попадает в поле зрения правоохранительных органов, она таинственным образом пропадает (банкротится, перепродается, ликвидируется и т.д.), а на ее месте появляется другая, с обновленными реквизитами, но теми же сотрудниками и схемой работы.

Таким образом в настоящее время организованы и отлажены схемы обналичивания денежных средств, в которых жаждущие быстрых денег дропперы используются злоумышленниками практически вслепую, без четкого представления о возможных последствиях.

В чем подвох?

Объявления о работе дроппером, массово размещенные в Интернете, рассчитаны в первую очередь на людей в сложных жизненных обстоятельствах. Злоумышленникам, по сути, неважно, какая у данного человека конкретная ситуация, неважны возраст или вероисповедание кандидата, важно только, насколько кандидат соответствует базовым требованиям, предъявляемым в данной сети к дропперу. Типовой профиль дроппера в РФ и в других странах примерно совпадает. Индикаторами для потенциального кандидата (физического лица) на работу в таких случаях должны стать уклончивые ответы со стороны работодателя-дроповода на задаваемые простейшие вопросы.

При подготовке материалов для данной статьи ко мне в руки попала инструкция, заботливо подготовленная дроповодом для потенциальных дропперов и заточенная под один из сибирских банков. Эта инструкция, по заверению организаторов мошеннических схем, должна была стать гарантией успешной реализации задуманного.

Далее приведу пример диалога (см. таблицу) новоявленного кандидата в дропперы с опытным дроповодом, представителем одной из обнальных сетей, взятый из интернет-переписки, с дополнительными комментариями, раскрывающими суть.

Таблица. Пример диалога кандидата и опытного дроппера

Из примера диалога со злоумышленником видно, что основная цель дроповода – это искусственно сформировать у дроппера ощущение спокойствия и нормальности ситуации с передачей пластиковой банковской карты третьему лицу после ее оформления в банке.

Действительно, с точки зрения законодательства РФ ничего криминального здесь нет, во всяком случае, ответственность за передачу держателем своей пластиковой банковской карты третьему лицу по собственному желанию (пусть даже при наличии мотивации) не предусмотрена. На момент передачи карты и PIN-конверта владелец (потенциальный дроппер) нарушает исключительно пункты договора с банком: требования по информационной безопасности в части обеспечения конфиденциальности реквизитов и сохранности инструмента доступа к счету. Но это не нарушение закона, за это не штрафуют и не сажают в тюрьму.

Никто не сообщает дроппперу, что привлечение его к гражданско-правовой, имущественной, а в некоторых случаях – к уголовной ответственности, возможно после совершения организаторами схемы несанкционированных операций по переводу со счета жертвы и зачисления денежных средств на счет пластиковой карты этого дроппера в "нужном" банке, в процессе обналичивания им (торпедой) денежных средств в банкомате с использованием пластиковой карты, при переводе снятых в банкомате наличных денежных средств через систему WesternUnion в адрес дроповода, а также в любое время после составления жертвой мошенничества заявления в правоохранительные органы по установленной форме с указанием точных реквизитов дроппера, полученных из банка.

О том, как выявить дроппера и какое наказание его ожидает, мы расскажем в части 2 данной статьи, которая будет опубликована в журнале «Information Security/Информационная безопасность» №3/2016.