Финансовые преступления с использованием сети Интернет

Широкий размах использования Интернета в незаконных целях вызывает глубокую озабоченность американских властей, которые вынуждены тратить огромные средства на борьбу с этим видом преступления. В условиях быстрого развития информационных технологий, поголовной компьютеризации населения и расширения сферы онлайновых услуг наблюдается ускоренный рост нового вида преступлений — электронного мошенничества. Все электронные мошенничества можно условно разделить на две категории:

• мошенничества, связанные с обманом инвесторов и незаконным получением чужих денежных средств;

• мошенничества, целью которых является несанкционированный доступ к персональным компьютерам и кража установочных данных пользователей Интернета.

Электронные мошенничества наносят значительный ущерб отдельным лицам, корпорациям и правительственным структурам.

В США вопросами борьбы с электронным мошенничеством занимаются различные правительственные и общественные организации, включая Службу безопасности США (United States Secret Service), Федеральное бюро расследований (FBI), Департамент внутренней безопасности США U. S. Department of Homeland Security), Комиссию по ценным бумагам и биржам (SEC), Центр сбора сведений об Интернет-преступлениях (Internet Crime Complaint Center, IC3) и другие.

По данным доклада Центра сбора сведений об Интернет-преступлениях, в 2004 г. в IC3 поступило 207 449 сообщений от пользователей Интернета о различных случаях мошенничества, что на 66,6% больше, чем в 2003 г. Наибольшее число нарушений приходится на электронную коммерцию, затем следуют — мошеннические операции с пластиковыми картами и банковскими чеками, незаконное использование инвестиционных схем, несанкционированный доступ к компьютерам и кража установочных данных. Электронная почта и веб-сайты являются основными механизмами, посредством которых мошенники устанавливают контакт с пользователями.

Наибольшее число электронных преступлений, совершенных в течение последних 12 месяцев, зафиксировано в США, Китае и Южной Корее. На долю этих трех стран приходится более 63% всех случаев мошенничества в Интернете.

NN п/п

Страна

Процент электронных преступлений

1

США

30,0%

2

Китай

21,6%

3

Южная Корея

11,5%

4

Бразилия

5,1%

5

Российская Федерация

3,5%

6

Германия

2,6%

7

Испания

2,2%

8

Канада

1,5%

9

Япония

1,4%

10

Великобритания

1,4%

Условно, эти преступления можно разделить на несколько групп.

Электронные мошенничества, связанные с обманом инвесторов. В условиях глобализации финансовых рынков, американские и иностранные инвесторы становятся объектом пристального внимания мошенников. Одной из форм электронного мошенничества является проведение операций с акциями малых компаний (microcap stocks), располагающих невысоким капиталом (менее 10 млн. долларов). При этом мошенники используют схему "Pump and Dump", которая предусматривает искусственное " накачивание" цены на акции конкретной компании с последующим выбросом на рынок большого количества ценных бумаг. События развиваются по следующему сценарию.

Мошенники, выступающие в роли брокеров, скупают по низким ценам большие пакеты акций компаний, имеющих невысокую капитализацию. Затем проводится активная кампания, направленная на рекламирование акций и привлечение инвесторов. Для этого инвесторам рассылаются по электронной почте многочисленные сообщения, в которых со ссылкой на " достоверные" источники содержится ложная информация о благоприятном развитии обстановки на рынке акций и о предстоящем росте цен на акции конкретных компаний. Одновременно мошенники выбрасывают на рынок имеющиеся у них акции по завышенным ценам, получая при этом значительную прибыль. Как только " брокеры" завершают продажу ценных бумаг, цены на акции обычно резко снижаются и инвесторы несут существенные убытки. Когда обманутые инвесторы пытаются связаться с теми, кто продал им ничего не стоящие акции, выясняется, что " брокеры" исчезли и найти их следы невозможно.

Следует отметить, что совершить предварительную проверку компаний с низким капиталом достаточно проблематично по следующим причинам. Во-первых, "microcap stocks" котируются на внебиржевом рынке ценных бумаг, поскольку малые компании не отвечают необходимым требованиям для проведения операций на американских фондовых биржах. Во-вторых, малые компании не обязаны сдавать отчеты в Комиссию по ценным бумагам и биржам США, где накапливается полная информация о финансовом состоянии компаний и о выпускаемых ими акциях. Таким образом, сведениями об этих компаниях SEC не располагает. Чаще всего схема "Pump and Dump" применяется в отношении иностранных инвесторов в расчете на то, что они слабо разбираются в американских инвестиционных продуктах, плохо знают обстановку на рынке акций США и не располагают достаточной информацией о регулирующем режиме и о возможностях регулирующих организаций.

При реализации схемы "Pump and Dump" мошенники активно используют информационные инвестиционные бюллетени, которые регулярно размещаются в Интернете и содержат полезные для инвесторов сведения о тенденциях роста (снижения) цен на акции различных компаний. Авторы информационных бюллетеней постоянно анализируют обстановку на рынке акций и дают рекомендации о продаже или покупке акций тех или иных компаний. Этой возможностью умело пользуются мошенники, которые оплачивают услуги авторов инвестиционных бюллетеней и через них размещают в Интернете выгодную им информацию. Приведем конкретный пример.

15 ноября 2005 г. Комиссия по ценным бумагам и биржам США подала иск в отношении шести частных лиц (американцев) и четырех компаний, которые обвиняются в мошеннических операциях с ценными бумагами и, в частности, в использовании схемы "Pump and Dump". Один из обвиняемых — Рональд Дурандо (Ronald Durando), 48-летний житель штата Нью-Джерси приобрел по низкой цене контрольный пакет " ограниченных" акций[1] неплатежеспособной компании Linkon. С помощью знакомого адвоката (Robert H. Jaffe) Дурандо изменил название компании на PacketPort.com и стал ее президентом. Затем Дурандо вместе с адвокатом, который был назначен директором новой компании, удалили из акционерных сертификатов сведения, указывающие на ограниченность акций, превратив их тем самым в ценные бумаги, открытые для свободной торговли. Далее мошенники привлекли к сотрудничеству двух сотрудников фирмы IP Equity, Inc., которая занималась выпуском информационных инвестиционных бюллетеней. За определенное денежное вознаграждение, полученное от Дурандо, сотрудники указанной фирмы разместили в Интернете ложную информацию о перспективности компании PacketPort.com и рекомендовали инвесторам покупать акции этой компании. В результате рекламной кампании стоимость поддельных акций PacketPort.com за короткий промежуток времени возросла более чем в четыре раза — с 4,75 до 19,5 долларов. Прибыль, полученная Дурандо и его сообщниками, превысила 9 млн. долларов. Мошенники нарушили ст. 5 и ст. 17(а) Закона о ценных бумагах

США 1933 г. и ст. 17(b) Закона о фондовой бирже 1934 г. Каждому из обвиняемых грозит тюремное заключение сроком до 20 лет и штраф в размере до 1 млн. долларов. Расследование по делу продолжается[2].

Компьютерные мошенники понимают, что успех той или иной операции во многом зависит от того, насколько инвесторы доверяют предлагаемым им инвестиционным продуктам. Поэтому мошенники стремятся к тому, чтобы размещаемая ими в Интернете ложная информация выглядела достоверной и законной. Для достижения этой цели разрабатываются более сложные схемы, в которых используются не только различного рода электронные письма или информационные бюллетени, но и фиктивные веб-сайты. При создании сайтов мошенники в большинстве случаев имитируют веб-сайты реально существующих правительственных организаций или широко известных коммерческих структур, внося незначительные изменения в их названия и адреса. Для наглядности на фиктивном сайте размещаются портреты и биографии мнимых руководителей имитированной организации, которые взяты из других источников. По данным Национальной ассоциации биржевых дилеров США (National Association of Securities Dealers, NASD), выявлено более 50 легитимных брокерских фирм, правительственных организаций и коммерческих компаний, данные которых использовались мошенниками при проведении различного рода незаконных операций. Среди них, в частности: Комиссия по ценным бумагам и биржам США (SEC), Корпорация по защите прав инвесторов (Securities Investor Protection Corporation, SiPC), компания NASD BrokerCheck и другие.

Приведем еще один пример.

В июле 2003 г. правоохранительными органами США был задержан 20-летний американский гражданин K. C. Smith за незаконные операции с ценными бумагами. Смит был безработным и проживал в штате Флорида. В ходе расследования выяснилось следующее. В мае 2002 г. обвиняемый создал в Интернете веб-сайт несуществующего инвестиционного клуба Maryland Investment Club (M.I.C.), который предлагал потенциальным инвесторам выгодное размещение денежных средств, гарантируя ежемесячную прибыль в размере от 10% до 20%. Минимальный размер инвестиций составлял 500 долларов. На сайте была размещена ложная информация о том, что M.I.C. вот уже на протяжении семи лет имеет высокие финансовые показатели, а ежемесячный прирост числа инвесторов достигает 1300 человек из различных стран мира. С мая по август 2002 г. мошенник разослал более 6 млн. электронных сообщений, в которых активно рекламировалась деятельность M.I.C. Для повышения доверия инвесторов Смит включил в схему еще один сайт несуществующей правительственной организации United States Deposit Insurance Corporation, в которой будто бы были застрахованы денежные средства инвесторов. На каждой странице сайта мошенник поместил официальную печать Комиссии по ценным бумагам и биржам США. Здесь Смит, что называется, переборщил, поскольку в соответствии с действующими правилами запрещается ставить официальную печать SEC на документах других правительственных организаций. В результате мошеннических действий Смит получил от обманутых инвесторов 102 554 доллара, которые потратил на личные нужды. Он был обвинен в нарушении ст. 17(а) Закона о ценных бумагах 1933 г. и ст. 10(b) Закона о фондовой бирже США 1934 г. и приговорен американским судом

к 14 месяцам тюрьмы.

Кража персональных данных. Понятие " кража персональных данных" (identity theft) означает несанкционированный доступ к информации, идентифицирующей личность, и незаконное использование полученных сведений при совершении различного рода преступлений.

По оценкам американских специалистов, кража персональных данных является наиболее распространенным видом преступлений против потребителей. Как сообщает Федеральная торговая комиссия США (US Federal Trade Commission, FTC), в течение пяти лет (с 1999 г. по 2004 г.) было зафиксировано 27,3 млн. краж персональных данных, из которых примерно половина приходится на 2004 г. Ежегодные убытки американцев от этого вида преступлений оцениваются в размере 52,6 млрд. долларов[3].

Все мошенничества, связанные с кражей персональных данных, можно условно разделить на две группы: " открытые" и " скрытые" мошенничества. К первой группе относятся такие действия мошенников, как незаконное использование чужих банковских счетов или кредитных карт для оплаты товаров и услуг. Этот вид преступления достаточно легко выявить, анализируя операции по счету. Максимальная ответственность владельца счета в данном случае определяется в размере 50 долларов. Более сложными являются " скрытые" мошенничества, когда преступник, добыв незаконным путем личные данные, открывает на них новые банковские счета, получает денежные ссуды и кредиты или совершает операции с активами, используя подставные адреса. Эти мошенничества сложнее выявить, и они могут привести к более существенным финансовым потерям и к другим серьезным последствиям.

Поскольку цены на жилье в США растут быстрыми темпами, недвижимость становится одним из наиболее приоритетных объектов внимания преступных элементов. Представим себе такой случай. Преступнику удалось каким-то образом получить персональные данные владельца дома: его полное имя, номер социального страхования и информацию о водительском удостоверении (карточка социального страхования и водительские права являются основным документами в США, которые не только подтверждают личность владельца, но и наиболее часто используются при совершении различных сделок). Располагая полученными данными, мошенник оформляет фиктивный документ, свидетельствующий об отказе хозяина дома на право собственности, в результате чего имущественное право владельца недвижимости переходит к третьему лицу. Нужно отметить, что операции с передачей права на недвижимость получили широкое распространение в США и не привлекают особого внимания. Оформив передачу права собственности на себя, мошенник может без ведома действительного владельца дома получить кредит под эту собственность или продать недвижимость и присвоить полученные деньги. Он может также переуступить право собственности любому другому лицу. Если в один прекрасный момент действительный владелец дома решит продать его, он обнаружит, что дом ему не принадлежит.

Украденные персональные данные становятся предметом купли-продажи на международном криминальном рынке. Информация о пользователях Интернета продается и перепродается преступными элементами, которые используют ее для совершения различного рода противоправных действий.

Фишинг (phishing) является одним из наиболее распространенных методов электронной кражи персональных данных. С его помощью преступники получают полную информацию о пользователях Интернета, включая их имена (user names), пароли (passwords), номера социального страхования, номера кредитных карт, номера банковских счетов, а также такие сведения, как дата рождения, девичья фамилия матери и другие.

Электронные мошенники (фишеры) действуют по следующей схеме.

• Создание фиктивного фишингового веб-сайта. Характерная особенность фишингового сайта состоит в том, что он включает элементы или почти полностью копирует веб-сайты реально действующих финансовых учреждений, коммерческих структур, благотворительных фондов и других организаций. Фишинговый сайт предназначен исключительно для фиксирования сведений, поступающих от пользователей Интернета. Сразу же отметим, что существует принципиальное различие между ложными сайтами, используемыми мошенниками в вышеописанных инвестиционных схемах, и сайтами, используемыми в фишинговых схемах. В первом случае сайты играют пассивную роль и имеют целью создать у обманутых инвесторов впечатление легитимности действий мошенников. Во втором случае веб-сайты играют активную роль и предназначены для сбора конфиденциальной информации о пользователях электронной системы.

• Подготовка и рассылка ложных фишинговых сообщений. Ложные сообщения рассылаются по электронной почте от имени тех финансовых учрежденией или организацией, которые указанны в фишинговых веб-сайтах. Содержание фишингового сообщения имеет существенное значение для успеха операции. Обычно e-mail извещает получателя о том, что возникли проблемы с его банковским счетом. Для урегулирования проблемы владельцу счета предлагается срочно посетить указанный в сообщении сайт, используя соответствующую ссылку (link), и сообщить запрашиваемые персональные данные. Невыполнение этого требования может привести к временной блокировке счета и к другим нежелательным проблемам. Рассылка фишинговых сообщений носит массовый характер и обычно охватывает сотни тысяч пользователей сети. Многие из них " попадаются на удочку" мошенников и, не ведая того сами, раскрывают им свои установочные данные.

Приведем некоторые статистические данные.

Американская Рабочая группа по борьбе с электронным мошенничеством (Anti-Phishing Working Group, APWG)[4] ежемесячно фиксирует более десяти тысяч дистинктных фишинговых сообщений.

Для незаконного доступа к персональным данным мошенники все активнее используют фишинговые сайты. Если в октябре 2004 г. было создано 1142 сайта, то в сентябре 2005 г. это число возросло до 5242 сайтов.

Наибольшее число фишинговых сайтов приходится на США — 28,75% от общего числа выявленных ложных сайтов. В первую десятку стран с наибольшим числом фишинговых сайтов также входят: Китай (12,13%), Южная Корея (10,91%), Германия (3,16%), Канада (2,97%), Япония (2,44%), Франция (2,31%), Польша (2,24%), Бразилия (1,98%) и Румыния (1,98%) (данные за сентябрь 2005 г.)[5].

В связи с тем, что APWG и правоохранительные органы США активизировали свои действия по борьбе с незаконным использованием фишинговых схем, преступные элементы стали применять новые, более эффективные методы, обеспечивающие негласный доступ к конфиденциальной информации пользователей Интернета. На протяжении последних нескольких лет электронные мошенники активно применяют специально разработанную компьютерную программу Keylogging, которая позволяет получать персональные данные без использования фишинговых электронных сообщений и фишинговых сайтов. Программа автоматически устанавливается на компьютере при посещении пользователем Интернета веб-сайтов или даже при закрытии " всплывающих окон" (pop-up windows). Нажатие функциональной кнопки "close" активирует элемент ActiveX Control, который и устанавливает программу. Keylogging отслеживает все действия пользователя Интернета и каждый раз при заполнении им онлайновых анкет фиксирует его данные. Полученная таким путем информация поступает на сайт, контролируемый мошенниками, которые используют ее по своему усмотрению. За последние пять лет число зафиксированных в США случаев негласного внедрения программы Кeylogging возросло более чем в двадцать раз: с 300 случаев

в 2000 г. до 6191 случая в 2005 г.

Рост числа преступлений, связанных с несанкционированным доступом к персональным компьютерам и кражей личных данных, вызывает беспокойство как у отдельных граждан, так и у корпоративных структур. Результаты опроса, проведенного в октябре 2005 г. компанией Entrust In., показывают, что 18% американцев, которые проводили банковские операции в режиме онлайн, сократили или вообще отказались от этого вида операций, поскольку не уверены в надежности электронных систем, а 95% опрошенных заявили, что хотели бы принять дополнительные меры по защите банковских операций, осуществляемых с использованием электронных средств связи[6]. По данным других опросов, проведенных американской организацией The Identity Guardian, 40% потребителей стали реже пользоваться услугами электронной коммерции, а более 75% опрошенных полагают, что кража персональных данных является серьезной угрозой для американцев[7].

Многие финансовые учреждения, опасаясь ухудшения бизнеса и сокращения числа клиентов, принимают меры для повышения защищенности баз данных, средств связи и используемой электронной техники. Компания American Express разработала комплекс защитных мер "Digital Dozen", которые ограничивают возможности хакеров для доступа к информационным базам компании.

Указанные меры включают: установку на компьютерах более совершенной системы firewall; поддержание защитных пачей[8] на уровне современных требований; шифрование сведений, хранящихся в базе данных и передающихся по каналам связи; использование новых антивирусных программ; присвоение личного номера каждому сотруднику, имеющему доступ к базе данных, и осуществление контроля за доступом к базе данных; ограничение круга лиц, допущенных к работе с персональными данными клиентов, и др.

Компания Visa использует возможности нейросетевой технологии (neural networking technology), которая позволяет компаниям, занимающимся обслуживанием кредитных карт, фиксировать необычные действия клиента при совершении покупок.

Важная роль в снижении числа преступлений, связанных с кражей персональной информации, отводится совершенствованию законодательной базы, строгому контролю за выполнением принятых законов. В США действует Закон о краже персональных данных (Identity Theft and Assumption Act), в соответствии с которым незаконное использование персональных данных другого лица карается тюремным заключением на срок до 15 лет.

Однако, по материалам проведенных исследований, задержание федеральными властями лиц, причастных к краже персональных данных, находится на очень низком уровне (одно задержание на 700 случаев). В этих условиях, как пишет журнал " Форбс" (Forbes), каждый должен защищать сам себя и заботиться о сохранении в тайне номеров банковских счетов и другой личной информации[9].

Серьезность проблемы состоит в том, что финансовые преступления с использованием Интернета приобретают глобальный характер. И, хотя наибольшее число преступлений происходит в США, многочисленные случаи электронного мошенничества зафиксированы в странах Европы, Азии и Латинской Америки. В этих условиях, как считают специалисты, успех борьбы с противоправными действиями международных криминальных группировок во многом будет зависеть от эффективного взаимодействия правоохранительных органов различных стран мира.

1. Restricted securities — ценные бумаги, выпущенные компанией частным образом без оформления их регистрации. В соответствии с

Правилом 144 указанные ценные бумаги могут быть предложены для открытой продажи только по истечении определенного периода времени после их эмиссии.

2. U. S. Securities and Exchange Commission, Litigation Release № 19465 / November 16, 2005.

3. Forbes, "Hooked on Phishing", 29.04.2005.

4. APWG — независимая корпорация, которая занимается проблемами кражи персональных данных и вопросами электронного мошенничества.

В деятельности APWG принимают участие более 1300 компаний и правительственных учреждений США.

5. APWG, Phishing Activity Trends Report, September 2005, p. 4.

6. Reuters, "Online ID theft worsens, scares US bank customers", 8 November, 2005.

7. The Identity Guardian, "United States: Identity Theft Protection: A Public Priority, an Employer Opportunity. The Problem, Issues, Solutions, and Benefits", November, 2005.

8. Patch — специальная программа, исправляющая ошибки, найденные в системе.

9. Forbes.com "Stealing Christmas", 29 November, 2005.