Вчерашний студент из лондонского района Баркинг подчинил себе компьютеры по всему миру, не выходя из своей спальни в родительском доме. Обманув сотни тысяч любителей порно, он сумел сколотить миллионное состояние. Все полученные деньги он спустил на предметы роскоши, дорогие удовольствия и тусовки. Какая судьба ждет самого злостного киберпреступника Великобритании и при чем тут русские хакеры, — в материале «Ленты.ру».
24-летний безработный Зайн Кайзер много лет жил не по средствам. Менее чем за год он потратил 68 тысяч фунтов стерлингов (5,7 миллиона рублей) на азартные игры в одном из лондонских казино. Он скупал предметы роскоши — такие, к примеру, как часы Rolex за пять тысяч фунтов, жил в дорогих отелях и тратил огромные деньги на наркотики и проституток. Но ничто не мешало ему проживать вместе с родителями и целыми днями бездельничать.
Развод «для взрослых»
Кайзер разработал хитрую схему шантажа и вымогательства. Он обратил внимание на самую осторожную и скрытную аудиторию в интернете — посетителей порнографических сайтов.
По версии следствия, парень вступил в одну из российских хакерских группировок еще в подростковом возрасте и почти сразу стал одним из наиболее востребованных ее членов. Несколько лет назад он учился на факультете компьютерных наук и мог использовать в деле свои обширные знания из области онлайн-рекламы и социальной инженерии. Отлично выражаясь по-английски и активно применяя в переговорах профессиональную лексику, он обманом купил рекламный трафик на многих ресурсах «для взрослых».
Предприимчивый юноша действовал под ником K!NG и использовал фиктивные организации и фальшивые имена, чтобы притворяться сотрудниками легальных рекламных агентств и фирм, занятых в сфере социнженерии. Владельцы сайтов шли навстречу. Преступная компания расширялась, захватывая все новые и новые площадки.
После сделок Кайзер и его сообщники размещали свои «рекламные объявления» на порталах. За яркими баннерами скрывались вирусы. Когда пользователи нажимали на них, они перенаправлялись на сторонний сайт. Он подгружал различные опасные программы, в том числе известный набор эксплоитов Angler и троян Reveton, который блокирует браузер жертвы. После блокировки зараженное устройство отображало сообщение от правоохранительных органов или государственного учреждения. В нем сообщалось, что адресат послания совершил преступление, и теперь он обязан заплатить «штраф», чтобы разблокировать устройство. Сумма выкупов варьировалась от 300 до тысячи долларов. Конечно же, эти предупреждения были фейковыми.
Несмотря на то что подобная схема обмана стара как мир, опасливые посетители сайтов «для взрослых» оплачивали «штрафы» вновь и вновь. Жертв не смущало, что оплата должна была производиться исключительно в криптовалюте. С ее помощью молодой человек отмывал средства через множество теневых посредников. К примеру, один из американских сообщников хакера перевел часть платежей на особые банковские карты, оформленные по поддельным удостоверениям личности. Позднее он обналичил средства в нескольких местах по всей территории США, сконвертировал их в криптовалюту и лишь потом передал Кайзеру.
Часть рекламных интернет-агентств пытались остановить преступную деятельность своих клиентов, увидев, как на самом деле используют их площадки. Однако в ответ хакеры устроили DDoS-атаку и принялись шантажировать вчерашних партнеров. «Сначала я убью ваш сервер, а затем пожалуюсь на то, что вы рассылаете детское порно», — ответил им Кайзер. Предполагается, что хакерские атаки обошлись компаниям в полмиллиона фунтов (653 тысячи долларов), — в эту сумму вошли как потерянные доходы, так и издержки на ликвидацию последствий.
Сейчас исследователи в области кибербезопасности подозревают, что преступник активно сотрудничал с хакерской группировкой Lurk, ответственной за создание одноименного банковского трояна и набора эксплоитов Angler (главного инструмента Кайзера и его сообщников). Преступники атаковали различные финансовые организации с 2011 года. В 2016 году российские силовики идентифицировали и задержали 50 участников этого объединения. Всего, по данным ФСБ и МВД, злоумышленникам удалось украсть с различных банковских счетов около 1,7 миллиарда рублей.
Блокировщик Reveton известен в сфере информационной защиты также примерно с 2011-2012 годов. Он неоднократно дорабатывался: со временем хакеры научили его не только ограничивать доступ к системе компьютера, но и воровать пароли и даже майнить криптовалюту.
По версии следствия, Кайзер начал свой преступный путь в сентябре 2012 года — почти одновременно с появлением Reveton. Несмотря на арест в 2014-м, остановить хакера удалось лишь спустя четыре года. На пути правосудия встали непростое расследование и неожиданные проблемы молодого киберпреступника.
Щедро оплаченный больничный
Темное дело Кайзера жило еще несколько лет из-за британского закона, защищающего психологическое здоровье предполагаемых преступников. По данным прокуратуры, внезапно объявивший себя больным хакер использовал больничный Wi-Fi для продолжения преступной деятельности. Будучи пациентом клиники в северной части Лондона, он продолжал договариваться с новыми площадками и зарабатывал на своей псевдорекламе. Запланированное на февраль 2018 года судебное разбирательство пришлось отложить.
Преступника заключили под стражу лишь в конце 2018-го. По данным следствия, только доказанная часть преступного заработка составила 700 тысяч фунтов (почти 58 миллионов рублей по текущему курсу), однако обвинение уверено, что на деле Кайзер получил в разы большую сумму. Национальное криминальное агентство Великобритании обнаружило несколько криптовалютных счетов, где на тот момент хранилось около 100 тысяч фунтов (8,2 миллиона рублей). При этом киберпреступник утверждал, что был безработным, и не декларировал никакие доходы.
Расследование оказалось длительным и чрезвычайно сложным. Чтобы поймать преступников, британская Королевская прокуратура привлекла европейских, американских и канадских правоохранителей. В аресте других членов банды (их имена не оглашались) помогали Секретная служба США и ФБР. Выяснилось, что от рук мошенников пострадали миллионы пользователей из более чем 20 стран мира. Большинство жертв платили вымогателям, не обращаясь в полицию, так как опасались огласки — им казалось, что близкие отвернутся от них, узнав об их пристрастии к порнографии.
Тем не менее Национальное криминальное агентство сумело деанонимизировать преступников и привлечь к ответственности. Основным инструментом в работе стали «упорство и специальные навыки». Старший следователь Найджел Лири назвал группировку одной из самых непростых и серьезных.
Кайзер признал себя виновным в 11 пунктах обвинения. Среди вменяемых ему преступлений — шантаж, мошенничество, отмывание денег и злоупотребление компьютерными технологиями. Королевский суд Кингстона приговорил его к шести годам и пяти месяцам заключения.
Согласно действующему законодательству Великобритании, за решеткой хакер проведет не более половины срока. Помимо этого, четыре проведенных под стражей месяца будут зачтены дополнительно.
Бизнес на стыде
Мошенничество, которым промышляли Кайзер и его подельники, обычно называют sextortion. Такой вид шантажа является одним из наиболее прибыльных. За неделю преступники могут без труда «заработать» более 50 тысяч долларов — более 3,2 миллиона рублей по текущему курсу. Они оказывают давление на жертв, играя их чувством стыда и вины, а также строго ограничивая время на оплату выкупа. Напуганные пользователи, как правило, быстро переводят требуемую сумму на счета вымогателей.
За последние годы порновымогательство стало одним из наиболее распространенных преступлений. В 2017 году интернет-центр жалоб ФБР получил почти 15 тысяч заявлений, связанных с подобными преступлениями. Общие потери пользователей составляют более 15 миллионов долларов (в рублях — свыше 970 миллионов).
В начале апреля 2019 года стало известно о массовой рассылке подобных спам-сообщений. Авторы посланий угрожали жертвам распространить видеозаписи, где те просматривают порнографические видео. Хакеры неплохо подготовились: они перевели письмо на несколько языков и разослали текст пользователям из России, Чехии, Германии, Франции, Испании и США. Свое «молчание» хакеры оценили в 0,45 биткоина (почти 150 тысяч рублей). Адресаты могли перевести средства на тайный счет в течение двух дней. Сколько юзеров пали тогда жертвами вымогателей — неизвестно.
Изначально мошенники отправляли только формальные текстовые угрозы, надеясь на доверчивость получателей писем. Позднее они нашли способ запугать жертв еще сильнее: хакеры включали в письма пароль адресата от электронной почты. Так они создавали у юзера впечатление, что тот находится у них «под колпаком». Всю конфиденциальную информацию преступники доставали из слитых в сеть взломанных баз данных.
Около полугода назад киберпреступники ввели новую уловку: они пугали жертв, создавая у них иллюзию, что имеют доступ ко всем их аккаунтам. Для этого преступники подделывали данные послания, ставя в графу «отправитель» почтовый ящик самой жертвы, то есть фактического получателя. Такой тип шантажа впервые был замечен пользователями из Нидерландов, где мошенники в короткие сроки выманили у испуганных жертв 40 тысяч евро (2,8 миллиона рублей). При этом подобная подделка не является новым изобретением — она давно известна в среде киберпреступников. В этот раз вымогатели лишь соединили свои методы с известным приемом фишеров и пранкеров. Позднее группировка переключилась и на англоязычную аудиторию, тогда за два дня им удалось пополнить счет на 2,3 тысячи долларов (это лишь открытые данные по первым четырем транзакциям на счет).
Однако порой преступники сталкиваются с хладнокровным отпором. Летом 2018 года анонимный злоумышленник пытался шантажировать 82-летнего коуча Эда Эйсена. Он прислал ему типичное письмо, где требовал семь тысяч долларов за интимное видео, записанное на взломанную веб-камеру. В этот раз преступникам не повезло: «Я не смотрю порно», — отрезал пожилой Эйсен.
Исследователи в области кибербезопасности провели исследование, согласно которому за несколько месяцев чуть более 300 биткоин-хранилищ, связанных с хакерами-вымогателями, приняли на свои счета около 250 тысяч долларов. При этом кошелек, реквизиты которого были высланы Эйсену, среди них не указан, — это означает, что на деле у преступников намного больше счетов, чем кажется.