Особенности киберпреступлений: инструменты нападения и защита информации

ОсОбеннОсти  

киберпреступлений: 

инструменты нападения  

и защиты инфОрмации

Масалков А. С.

Москва, 2018

УДК 004.056
ББК 32.972.13
 
М31

 
Масалков А. С.
М31  Особенности киберпреступлений: инструменты нападения и защиты информации. – 
М.: ДМК Пресс, 2018. – 226 с.: ил. 

 
ISBN 978-5-97060-651-3

Материал книги помогает разобраться в том, что обычно скрывается за терминами 
и шаблонными фразами «взлом электронной почты», «кибершпионаж» и «фишинг». 
Автор старался показать информационную безопас ность как поле битвы с трех 
сторон: со стороны преступного сообщества, использующего информационные технологии, 
со стороны законодательства и правоохранительной системы и со стороны 
атакуемого.
Основная идея состоит в том, чтобы доступно представить картину сегодняшней 
киберпреступности на актуальных примерах, включая применение фишинг-атак, но 
не ограничиваясь этим.
Приводимые методы атак подкрепляются примерами из реальной жизни. Углубленно 
разбираются механизмы получения незаконного доступа к учетным записям 
информационных ресурсов, в частности электронной почты. Акцентируется внимание 
на методе проведения фишинг-атак как наиболее эффективном на сегодняшний 
день инструменте получения паролей.
Фишинг рассматривается как универсальный инструмент, находящий свое проявление 
в различных мошеннических и хакерских комбинациях, как с технической, 
так и с юридической стороны. 
Книга включает практический взгляд на механизмы, используемые киберпрес-
тупниками, а также процесс формирования судебного производства и методов расследования 
таких преступлений.
Материал дает возможность пересмотреть и адекватно оценивать риски, эффективность 
используемых систем защиты, выстроить политику безопас ности в соответствии 
с реальностью. Приводятся советы по предотвращению кибератак и алгоритм 
первоначальных действий, которые необходимо предпринимать при наступлении 
инцидента и которые направлены на фиксацию следов, эффективное расследование 
и взаимодействие с правоохранительными органами.

УДК 004.056
ББК 32.972.13

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой 
бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев 
авторских прав.

 
© Масалков А. С., 2018
ISBN 978-5-97060-651-3 
©  Оформление, издание, ДМК Пресс, 2018

Введение ..........................................................................................................................................................6

Глава 1. Хищение паролей методом фишинг-атак ............................................................ 20

Методы несанкционированного получения пароля.............................................................. 20
Особенности фишинга ........................................................................................................................ 25
Виды фишинговых атак ..................................................................................................................... 26
Слепой фишинг ...................................................................................................................................... 26
Целенаправленный фишинг ............................................................................................................. 28

1.1. Как это происходит? Фишинг-атака со стороны пользователя  
на примере электронного почтового ящика ................................................................................... 30
1.2. Роль социальной инженерии в фишинг-атаке ...................................................................... 41
1.3. Фишинг изнутри. Анализ используемых для атаки инструментов ............................... 49

Схема взаимодействия с почтовым сервером ........................................................................ 50
Три основные функции фишинг-движка .................................................................................... 51
Демонстрация механизма функционирования фишинг-движков  
на локальном сервере ........................................................................................................................ 52
Фишинг-движок изнутри. Пример 1 ............................................................................................. 55
Фишинг-движок изнутри. Пример 2 ............................................................................................. 61
Фишинг-движок изнутри. Пример 3 ............................................................................................. 64
Автоматическая проверка похищенного пароля .................................................................... 64
Фишинг-движок изнутри. Пример 4 ..............................................................................................67
Примеры интерфейсов ....................................................................................................................... 69
Доменные имена .................................................................................................................................. 73
Размещение фэйка на сервере .......................................................................................................77

Глава 2. Комбинированные атаки с использованием фишинга ................................ 79
2.1. Подготовка к персонализированной фишинговой атаке.  
Некоторые специфические способы сбора информации ........................................................ 80

Определение браузера и операционной системы атакуемого ........................................ 81
Определение IP-адресов атакуемого .......................................................................................... 85
Анализ служебных заголовков ....................................................................................................... 86

2.2. Атака с использованием «заброса» вредоносных программ ..........................................87

СОДЕРЖАНИЕ

2.3. Атака с использованием маскировки под легальное по программное  
обеспечение или файлы ........................................................................................................................100

Анализ зараженной системы .........................................................................................................113

2.4. Атака на мобильные телефоны ..................................................................................................115

Глава 3. Особенности киберпреступлений ............................................................................125
3.1. Мистика киберпреступности .......................................................................................................126

Незримое присутствие .....................................................................................................................128
Прочитанные и непрочитанные письма ...................................................................................129
Переписка с несуществующим адресатом ..............................................................................130

3.2. Характеристика киберпреступления, проблемы идентификации  
и трудности перевода .............................................................................................................................136
3.3. Доступность инструментов анонимной связи и управления ресурсами .................144

3.3.1. Доступность анонимной связи и управления  ..........................................................146
3.3.2. Виртуальный хостинг, выделенный сервер, VPN ......................................................155
3.3.3. Инструменты управления финансами ..........................................................................163

Глава 4. Противодействие и защита..........................................................................................168
4.1. Правоохранительная система .....................................................................................................168
4.2. Некоторые национальные особенности борьбы с киберпреступлениями .............175
4.3. Традиционная защита и рыночные тенденции ...................................................................185
4.4. Дешевые правила дорогого спокойствия. Советы по защите информации ..........190

Защита личных данных ...................................................................................................................190
Защита корпоративной информации ........................................................................................191
4.4.1. Реакция на инциденты ........................................................................................................192
4.4.2. Обучение в форме учений, приближенных к реальности ...................................193
4.4.3. Учет и контроль  .....................................................................................................................195
4.4.4. Аудит и разбор полетов ......................................................................................................196
4.4.5. Целесообразность автоматических операций ...........................................................197
4.4.6. «Отголоски пиратства» ........................................................................................................198

4.5. Что делать, если произошел инцидент ...................................................................................199

4.5.1. Изоляция системы .................................................................................................................201
4.5.2. Изготовление клонов носителей информации .........................................................201
4.5.3. Проведение исследований и компьютерно-технических экспертиз ...............202
4.5.4. Обращение в правоохранительные органы ..............................................................208

Глава 5. Никакой мистики, только бизнес. Обзор черного рынка 
информационных услуг в России ...............................................................................................210
Первый блок................................................................................................................................................211
Второй блок .................................................................................................................................................212
Третий блок..................................................................................................................................................213
Четвертый блок ..........................................................................................................................................214
Пятый блок ...................................................................................................................................................215

Заключение ...............................................................................................................................................217

Предметный указатель ......................................................................................................................221

4
СОДеРжАНИе

Своим родным и близким, с благодарностью.

Отдельное спасибо за вдохновение дочерям – Марии и Дарье.

ВВЕДЕНИЕ

Стремительное развитие технологий с большим воодушевлением 
было встречено лицами, склонными к различного рода аферам 
и другим преступным деяниям. 
Для хищения денежных средств мошенникам ранее приходилось 
подделывать бумажные платежные поручения и приходить с ними 
в банк, а для хищения важной информации требовалось проникать 
в помещения под покровом ночи и красть либо фотографировать 
документы из хитроумных сейфов. Все эти действия, безусловно, 
были сопряжены с высоким риском для жулика быть пойманным 
за руку и наказанным по всей строгости закона.
Интернет-технологии и сети передачи данных способствовали 
росту электронных учетных записей, которые хранят секреты пользователей 
и позволяют обмениваться важной информацией, а внедрение 
систем дистанционного банковского обслуживания избавило 
владельцев счетов от необходимости частых посещений банков для 
совершения платежных операций.
Стремление получить прибыль от новых технологий регулярно 
приводит к внедрению различных систем, протоколов и стандартов, 
которые при внимательном взгляде на них с другой точки зрения 
оказываются полны всевозможных уязвимостей.
Так, посмотрев на достижения человечества под другим углом 
зрения, криминальный мир обогатился разнообразием методов 
преступлений, совершаемых с использованием информационных 
технологий и средств связи.  Поэтому сегодня мы имеем массу но-

ВВеДеНИе

вых видов преступлений и схем их совершения, требующих изучения 
и выработки алгоритмов противодействия.
Мобильная связь, Интернет, платежные системы, средства дистанционного 
банковского обслуживания, электронные учетные 
запи си – все это хорошо продается потребителям и значительно 
упрощает бизнес-процессы.
Все так называемые высокие технологии, формирующие информационное 
пространство, стали отдельным полем противостояния 
преступного сегмента и общества, при этом, если говорить прямо, 
ситуация больше напоминает охоту, чем противостояние. 
Бесчисленное количество кибермошенников и хакерских группировок, 
наводящих ужас на отдельных граждан, корпорации, государственные 
органы и даже целые страны, вызывают трепет возмущения 
от бессилия, подпитываемого регулярными выпусками 
средств массовой информации. Неуловимость и безнаказанность 
злоумышленников, их кажущаяся вездесущность, непостижимость 
методов и средств, которыми действуют злоумышленники, – все это 
создает не очень оптимистичную картину.
Основная сложность для общества и государства в отношении 
киберпреступлений связана с тем, что сфера киберпреступлений 
обросла множеством мифов и стереотипов. Неправомерные доступы 
к компьютерной информации, «взломы» сайтов и почтовых 
ящиков, атаки на ресурсы и другие киберпреступления связывают 
с немыслимыми по сложности и гениальности техническими про-
цессами, постичь которые может далеко не каждый. Тем не менее 
большинство самых известных киберпреступлений просто в ис-
полнении и вполне поддается анализу любым образованным че-
ловеком.
Самым эффективным из методов, применяемых как серьезны-
ми киберпреступниками, так и мелкими мошенниками, является 
фишинг1 во всем его разнообразии. Этот метод может использо-
ваться в различных вариациях, но основная суть его заключается 
во введении человека в заблуждение с целью получения от жертвы 
требуемой для проникновения в защищенную среду информации 
либо совершения пользователем определенных действий. Основные 
виды фишинга осуществляются посредством средств связи – теле-

1 Фишинг, англ. phishing, от fishing – рыбная ловля, выуживание.

ВВеДеНИе

фонных звонков, электронных сообщений и специально созданных 
сайтов (фишинг-движков). 
На сегодняшний день можно выделить несколько обособленных 
групп преступлений, так или иначе связанных с фишингом и его 
разновидностями, совершаемых с использованием телекоммуни-
кационных сетей.
К одной группе преступлений относятся «слепые звонки» по 
абонентским номерам, чаще всего от имени сотрудников службы 
безопас ности, колцентров банков или операторов связи. 
Мошенниками осуществляются телефонные звонки по номерным 
емкостям мобильных и стационарных телефонов. При осуществле-
нии звонков мошенники подменяют номер вызывающего абонента 
таким образом, что у вызываемого абонента отображается номер 
телефона, принадлежащий соответствующему банку или другой 
официальной организации, от имени которой действует злоумыш-
ленник.
В процессе общения с клиентами банка злоумышленники с ис-
пользованием методов социальной инженерии получают сведения 
о реквизитах, принадлежащих потерпевшим, банковских картах 
и иную информацию, необходимую для осуществления дистанцион-
ных операций по переводу денежных средств. После чего с исполь-
зованием системы удаленного банковского обслуживания злоумыш-
ленники осуществляют хищение денежных средств с банковских 
счетов и платежных карт.
Технология подмены абонентского номера и связанная с этим 
преступная деятельность будут еще затронуты далее (п. 3.3.1).
К другой группе преступлений, использующих фишинг, можно 
отнести рассылки сообщений, содержащих ссылки на скачивание 
вредоносного программного обеспечения1. Сообщения рассылаются 
как в виде SMS на абонентские номера, так и в виде электронных 
сообщений на почтовые ящики, мессенджеры и аккаунты социаль-
ных сетей.
Один из простых примеров этой категории преступлений прак-
тиковался в 2013–2014 годах, в некоторых регионах встречается 

1 Вредоносным ПО в соответствии со ст. 273 УК РФ принято считать компьютер-
ную программу, предназначенную для несанкционированного уничтожения, 
блокирования, модификации, копирования компьютерной информации или 
нейтрализации средств защиты компьютерной информации.

ВВеДеНИе

и по сей день. Применялась схема, целью которой было заражение 
мобильного телефона вредоносной программой, осуществляющей 
рассылки сообщений вида: «Имя контакта из записной книжки мо-
бильного телефона, для Вас есть новое MMS-сообщение. Ссылка» 
или «Имя контакта из записной книжки мобильного телефона, по 
Вашему объявлению на сайте. Может, обменяемся? Ссылка».
Общим признаком для всех аналогичных сообщений являлось 
наличие обращения к абоненту по имени либо имени-отчеству, 
в зависимости от того, как он был внесен в записную книжку ранее 
зараженного мобильного телефона, а также обязательное наличие 
ссылки на интернет-ресурс. 
При переходе по ссылке на мобильное устройство потерпевшего 
скачивается вредоносное программное обеспечение, которое полу-
чает доступ к телефонной книге мобильного телефона для осуществ-
ления дальнейших рассылок сообщений, содержащих ссылки на 
скачивание вредоносного программного обеспечения. В зависимо-
сти от типа вредоносной программы могла также присутствовать 
функция, позволяющая скрыто от пользователя отправлять и полу-
чать SMS-сообщения в целях совершения операций с привязанны-
ми к абонентскому номеру потерпевшего банковскими картами 
и электронными кошельками.
Частыми явлениями стали рассылки электронных писем от лица 
государственных органов с вложением файлов, содержащих вре-
доносные алгоритмы, либо упомянутые выше ссылки на скачива-
ние вредоносного программного обеспечения. Злоумышленниками 
осуществляется рассылка электронных писем от имени прокура-
туры, налоговой службы, в теме которых указывается, например, 
«Предпи сание об устранении нарушений», «Штраф», «Сверка».
В качестве примера подобной рассылки на электронные почто-
вые адреса можно привести рассылку фишинговых писем от имени 
Банка России, так называемые «вакансии», отличительной чертой 
которых являлось наличие вложения с заголовком вида «вакансия_
NoХХ.doc». Согласно отчету FinCERT1 (Центра мониторинга и реа-
гирования на компьютерные атаки в кредитно-финансовой сфере 

1 Отчет Центра мониторинга и реагирования на компьютерные атаки в кредит-
но-финансовой сфере Главного управления безопас ности и защиты информа-
ции Банка России за период с 1 июня 2015 г. по 31 мая 2016 г. URL: http://www.
cbr.ru/statichtml/file/14435/fincert_survey.pdf.

ВВеДеНИе

Главного управления безопас ности и защиты информации Банка 
России), во вложении таких сообщений содержался макрос, выпол-
няющий скачивание загрузчика вредоносного ПО. 
С целью придания достоверности данным письмам для рассылки 
используются электронные адреса и доменные имена, визуально 
схожие с доменными именами реальных сайтов государственных 
органов. При переходе по ссылке, содержащей такое доменное имя, 
может осуществляться перенаправление пользователя на официаль-
ный сайт соответствующей государственной структуры.
В тексте письма от имени должностных лиц, как правило, из-
лагается важная причина, по которой незамедлительно требуется 
открыть вложенный файл, имеющий вид электронного документа, 
либо перейти по содержащейся в письме ссылке на интернет-ресурс.
После открытия документа или совершения перехода по ссыл-
ке компьютер пользователя заражается вредоносным программ-
ным обеспечением, которое в зависимости от заложенного в него 
функционала может заблокировать доступ к имеющим значение 
для финансово-хозяйственной деятельности организации файлам 
(документам, базам данных бухгалтерских и складских программ) 
с последующим вымогательством денежных средств за их разблоки-
ровку (расшифровку); либо может управлять программой удаленно-
го банковского обслуживания и формировать платежные поручения 
с внесением в реквизиты получателя средств данных подконтроль-
ных злоумышленникам счетов.
Использование фишинговых сайтов составляет третью условную 
группу преступлений, связанных с фишингом.
Эта группа включает в себя создание сайтов, оформленных в виде 
почтовых сервисов, банковских ресурсов, социальных сетей или ин-
тернет-магазинов.
Примером такой незаконной деятельности может быть интернет-
магазин, торгующий популярными товарами, зачастую по снижен-
ным ценам, по сравнению со среднерыночными.
Злоумышленниками создается сайт, визуально схожий с уже су-
ществующим, «раскрученным», либо совершенно новый интер-
нет-магазин. При заказе товара осуществляется перенаправление 
пользователя на фишинговую страницу оплаты, практически не 
имеющую отличий от страницы официальной платежной системы. 
При вводе пользователем на данной странице учетных данных для 

ВВеДеНИе

входа в личный кабинет платежной системы они, естественно, попа-
дают в распоряжение злоумышленникам, после чего используются 
для хищения денежных средств со счетов электронного кошелька.
Наибольшую же популярность фишинг приобрел у охотников за 
чужими паролями. Этой группе киберпреступлений в книге уде-
лено особое внимание, потому что автор считает это направление 
киберпреступлений наиболее опасным и, совершенно напрасно, 
недооцениваемым как пользователями, так и специалистами.
Разнообразные онлайн-сервисы и гаджеты, программы и тех-
нологии вошли в жизнь человека, внедрились в бизнес-процессы 
и государственные услуги, начали использоваться в политике и, за-
кономерно, стали инструментами и мишенями преступной деятель-
ности. 
Началом эры компьютерной киберпреступности автор склонен 
считать 2005–2006 годы. Многими специалистами 2007 год указы-
вается как точка отсчета – начало широкомасштабных кибервойн 
(кибератаки на ресурсы Германии, Эстонии, затем Грузии, Ирана). 
С этим периодом связано начало профессионального использова-
ния кибершпионажа для достижений определенных целей – финан-
совой выгоды, кражи интеллектуальной собственности, пропаганды 
и прочего. И основным оружием для ведения кибервойн и реализа-
ции кибершпионажа стал фишинг.
Кибершпионаж застал врасплох консервативных управленцев 
всех мастей, считавших, что существующие правила и меры безопас-
ности способны защитить информацию и финансы.
Регулярно привлекает внимание появляющиеся в СМИ и на просто-
рах Интернета отрывки личной переписки бизнесменов, политиков, 
различных корпоративных материалов, документов для служебного 
пользования, фотографий известных лиц, моделей, ведущих, актрис 
и других медийных личностей, которые похищаются из почтовых 
аккаунтов, облачных хранилищ, серверов и мобильных телефонов.
Многие читатели слышали про интернет-площадку, которую свя-
зывают с деятельностью нашумевшей в 2016–2017 годах хакерской 
группировки. На той площадке, несмотря на появившуюся в СМИ 
информацию о задержании членов данной хакерской группы1, и се-

1 СМИ узнали о задержании ФСБ создателя сайта «Шалтай-Болтай» // РБК. URL: 

https://www.rbc.ru/politics/28/01/2017/588c8ddf9a79475260f2e1da.

ВВеДеНИе

годня предлагается всем желающим приобрести электронную пе-
реписку чиновников и бизнесменов за криптовалюту. 
Сегодня кибершпионаж задевает всех, кто является носителем 
информации, за которую теоретически можно получить деньги, кто 
владеет или управляет финансами, кто принимает важные решения, 
и даже тех, кто просто кому-то интересен.
В этой книге не будут затронуты международные отношения и про-
тивостояние секретных специальных служб, это как-нибудь в следую-
щий раз, лет через тридцать. Материал книги касается гражданского 
смыслового значения кибершпионажа, которое связано с несанкцио-
нированным получением и использованием компьютерной инфор-
мации врагом: конкурентами, хакерами, мошенниками, маньяками. 
Кибератаки стали массовым явлением, а их направления задева-
ют все сферы общества.
В столь широком распространении киберпреступлений некото-
рые специалисты склонны винить пользователей, не всегда соблю-
дающих обыкновенные правила компьютерной безопас ности, срав-
нивая эти правила с соблюдением правил дорожного движения. 
Однако, по мнению автора, беда пришла с другой стороны. 
Проигрыш перед информационной угрозой был предначертан 
особенностями психологии человека. Именно психология стала 
основной уязвимостью, тем местом, где инструменты социальной 
инженерии успешно эксплуатировали эмоции, стереотипы и ассо-
циативное мышление.
Сложившееся впечатление об эффективности программно-ап-
паратных средств защиты, вера в дорогостоящие решения и не-
грамотные инструкции лишь усугубили проблему компьютерной 
безопас ности.
Несмотря на серьезные затраты, вкладываемые в обеспечение 
безопас ности, количество и многообразие преступлений, совершаемых 
с использованием компьютерных технологий, возрастает 
с каждым годом. Все чаще юридические лица несут репутационные 
и финансовые потери от кражи информации, составляющей коммерческую 
тайну, и подвергаются кибератакам. 
Для демонстрации наиболее популярных ситуаций, связанных 
с применением фишинга, будет нелишним привести несколько типичных 
историй, своеобразных образцов актуального в сегодняшние 
дни гражданского кибершпионажа.