«Интернет-Розыск»: как частная киберполиция ищет мошенников и помогает бизнесу в борьбе с экономическими преступлениями

Не искал легких путей

Игорь Бедеров — не самый типичный пример бывшего сотрудника правоохранительных органов. По первому образованию политолог, по второму юрист. В коммерческих структурах начал работать еще до государственной службы. Потом перешел в оперативно-поисковое подразделение полиции, а затем снова вернулся в бизнес. Игорь возглавлял подразделения безопасности в сети гипермаркетов «Метрика», руководил безопасностью в компании «Северный Текстиль».

«Моя работа в правоохранительных органах проходила под грифом секретности. Контакты с гласными сотрудниками не поощрялись. Когда я возглавил службу безопасности, появилась необходимость проводить оценку благонадежности контрагентов и сотрудников. “Друзей из органов” не было, поэтому я решил создать собственную систему оценки на основе данных из общедоступных источников информации. Сегодня наша модель оценки внедрена в большинстве крупных предприятий, а тогда то, что я делал, трактовалось коллегами как ересь», — вспоминает Игорь Бедеров.

В 2014 году Игорь Бедеров уволился с работы и запустил свой собственный проект в области информационно-аналитического обеспечения безопасности бизнеса, из которого впоследствии выросла компания «Интернет-Розыск». Стартовые вложения в бизнес — исключительно личные накопления Игоря — составили всего 200 тыс. рублей. На эти деньги он арендовал офисное помещение, закупил три компьютера и информационно-аналитическое программное обеспечение, необходимое для дальнейшей работы двух сотрудников-аналитиков. Потребовалось несколько лет, чтобы исследования агентства Бедерова были замечены рынком, а сотрудников «Интернет-Розыска» стали приглашать к участию в расследованиях экономических и преступлений, совершаемых с помощью современных ИТ.

Преступность в сети

Количество преступлений, совершенных с помощью ИТ, растет с каждым годом. Согласно статистике МВД, за прошлый год ведомство зарегистрировало почти 223 тыс. подобных преступлений. Однако лишь 17% из них были расследованы и переданы в суд. Подобная статистика продолжается, начиная с 2013 года: киберпреступность растет, а ее раскрываемость падает.

Наибольшему риску от действий мошенников подвергается бизнес. За последние два года 66% российских предприятий сталкивались с совершением против них мошенничества или экономических преступлений. При этом потери бизнеса оцениваются в крупные суммы. Потери частных лиц, если это не известные или богатые персоны, редко превышает 50 тыс. рублей, а обычно составляют 3–5 тыс. рублей.

Одно из самых распространенных преступлений подобного рода — деятельность магазинов-мошенников. Человек совершает и оплачивает дорогостоящий заказ через онлайн-платеж в интернет-магазине. Кажется, что все хорошо, но товара нет, денег тоже, а по телефонам и другим каналам с продавцом не связаться. В банке или платежном агрегаторе помочь ничем не могут. Мошенники создают анонимные кошельки, выводят полученные деньги на международные карты или счета. Найти их чрезвычайно сложно, так как преступная схема продумана до мелочей. Правоохранители такой сайт заблокируют по заявлению потерпевших, однако появится другой, так как сделать это легко.

Как бороться с киберпреступностью

Возникает закономерный вопрос: «У кого проводить обыск, если киберпреступника еще требуется найти?». К тому же, совершаться такие преступления могут вообще из-за границы.

Есть несколько путей решения существующих проблем в сфере киберпреступности:

• Подготовка специалистов в этой сфере — создание обучающего центра, где сотрудников ответственных отделов будут учить вести расследования в виртуальном пространстве.

• Разработка методических материалов для следователей и полицейских.

• Трансформирование законодательства — оно медленно реагирует на быстрые изменения (новые схемы и инструменты мошенников) в области интернет-преступлений.

• Создание международного центра по борьбе с киберпреступность, например, на базе ЕАЭС. Как правило, многие преступления совершаются из соседних стран или дальнего зарубежья. Такой центр помог бы обмениваться опытом и знаниями, вырабатывать общую стратегию взаимодействия, реагировать на деятельность международных преступных групп и прочее.

• Приобретение специализированного ПО и технических средств, позволяющих находить киберпреступников в сети, своевременно реагировать на их деятельность и предупреждать такие преступления.

Согласно Гражданскому кодексу, предпринимательская деятельность в России осуществляется на свой страх и риск. Этой формулировкой правоохранительная система расписалась под снятием с себя ответственности за предупреждение преступлений против бизнеса, считает Игорь Бедеров. По мере «переезда» преступников в сеть вопрос о принципиальном изменении или улучшении правоохранительной системы все больше становится актуальным. Если говорить о бизнесе и службах безопасности, то они совершенно не решают проблему предупреждения рисков. Они практически не имеют возможность оценивать благонадежность индивидуальных предпринимателей и предприятий до года, так как очень ограничены в своем функционале и зачастую находятся вне правового поля.

«Я сам, будучи силовиком, не выдержал бюрократии и работы по устаревшим методикам, — признается Игорь Бедеров. — Силовые структуры очень тяжело реагируют на нововведения, трансформацию. Поэтому ушел из органов в службу безопасности частной компании. Но и они работают так же. Понял, что такой отдел в организациях обходится недешево, соответственно, выгоднее было бы воспользоваться сторонними услугами. Так и пришла мне идея создать свой проект — по организации безопасности бизнеса».

Сайт «Интернет-Розыска» является одновременно интернет-площадкой и платформой для предоставления услуг по сбору информации, розыску мошенников и формированию деловой репутации. На аутсорсинге предлагаются профильные услуги: юридическое сопровождение клиента, проверки на полиграфе, деятельность частных детективов, услуги адвокатов и даже коллекторов. Специалисты узкого профиля сотрудничают с агентством на договорной основе, и при необходимости клиент сможет получить весь спектр услуг, касающийся личной и корпоративной безопасности. Это решение позволило привлечь клиентов и одновременно не раздувать штат специалистами, чьи навыки востребованы лишь время от времени.

Число привлекаемых специалистов доходит до 40. В зависимости от числа исполненных заказов сотрудники получают до 150 тыс. рублей в месяц. Около половины выручки агентства приходится на выполнение рутинных проверок сотрудников, 40–50 на каждого соискателя ежедневно.

Как осуществляется проверка физических лиц

По данным «Интернет-Розыска», 15–20% нанятых сотрудников оказываются проблемными и несут неприятные последствия для внутренней политики. Если компания наймет человека, который находится в розыске, она подписывает себя ответственность за сокрытие нарушителя закона. Долговые проблемы соискателя навязывают проблемы работодателю. Администрацию компании могут обязать погасить задолженность сотрудника и наложить штраф в случае отказа. Человек, который имеет проблемы с законом, не совсем подходит на должность порядочного работника организации. Важно проверять личность на предмет судимости (кража, разбой), а также попытаться проверить, если ли у человека алкогольная или наркотическая зависимость. Соискатель всегда может оказаться подставным рабочим, который прибыл из компании-конкурента для исследования внутренней политики и кражи особых технологий производства. Поэтому заказы, связанные с проверкой физлиц, как правило, это проверка нанимаемых на работу сотрудников.

Регулирование проверок законом

Согласно статье 9 № 152-ФЗ «О персональных данных», работодатель может осуществлять проверку данных по согласию соискателя. В противном случае человек может подать на компанию в суд.

Добиться согласия просто, многие организации вписывают в договор пункт о согласии на обработку личной информации, поэтому без галочки напротив строки устроиться на работу невозможно.

Часть 1 статьи 22 № 152-ФЗ «О персональных данных» говорит о том, что работодатель не обязан уведомлять службу о защите персональных данных о том, что происходит обработка компанией личной информации соискателя.

Согласно статьям 5–9 № 152-ФЗ «О персональных данных», работодатель не имеет права распространять полученную информацию о сотруднике третьим лицам, которые не имеют отношения к процедуре.

Получение первичной информации потенциального сотрудника компании осуществляется с помощью собеседования. Получив необходимый пакет документов и сведений о человеке, ответственное лицо имеет право проверить предоставленные данные на достоверность. Это можно сделать самостоятельно, но надежнее — доверить проверку профессионалам из «Интернет-Розыска», которые не просто изучат открытые источники информации, но смогут узнать о человеке и вполне неочевидные вещи из социальных сетей, истории покупок и местонахождения человека по его мобильному телефону.

Открытые источники для поиска информации о потенциальном сотруднике

• Открытые ресурсы государственных организаций о розыске — Интерпол, ФСИН, МВД, ФССП.

• Ресурсы, которые проводят проверку основных документов (ИНН, паспорт, диплом) — сервис Налог.ру, FrDoCheck.

• Ресурсы, предоставляющие данные о задолженности (кредитов, залогов, банкротства) — «Реестр залогов», «Пеней нет», Unirate24.

• Ресурс, предоставляющий данные об участии физического лица в судопроизводстве — ГАС РФ «Правосудие».

• Ресурсы, содержащие сведения об участии в предпринимательской деятельности — «За честный бизнес», «ОГРН.онлайн».

• Для проверки аккаунтов соцсетях — Яндекс.Люди, PIPL.

Для того, чтобы осуществлять проверку персональных данных человека, необходимо соблюдать законодательство.

Игорь вспоминает показательный случай использования открытой сетевой информации. За помощью обратился консервный завод, отправивший крупную партию товара в адрес воинской части в Севастополе. Груз к месту назначения не прибыл, водитель фуры на связь не выходил. Проверка документов выявила факт подлога, водитель логистической компании устроился на работу по поддельным документам. Аналитики предположили, что похищенный товар будет выставлен на продажу. Проверив объявления в сети, сотрудники «Интернет-Розыска» нашли продавца. Полиция произвела контрольную закупку. По маркировке на товаре он был идентифицирован как похищенный и возвращен законному владельцу. Заработок агентства составил 300 тыс. рублей.

Только за 2018 год сотрудники агентства оказали содействие в раскрытии 68 экономических преступлений. В стадии разработки находится сервис по оценке безопасности сделок с криптовалютой, основанный на анализе криптокошельков.

Партнера заказывали

Большая часть клиентов «Интернет-Розыск» — юрлица, а самая востребованная услуга — проверка партнеров перед сделкой, анализ репутации или оценка кандидатов перед трудоустройством. Выполняя заказ, аналитики компании пользуются информацией из открытых источников, базами данных государственных органов и представляют клиенту развернутую аналитическую справку. Стоимость одной проверки составляет 1–5 тыс. рублей, но можно приобрести абонемент, который обойдется в 20–50 тыс.

«Всего в нашей стране чуть менее 700 источников информации, пригодных для использования при оценке контрагентов. Часть из них была автоматизирована и превратилась в такие сервисы, как СПАРК, “Интегрум”, “Контур.Фокус”, “Селдон”, “Глобас” и другие, — рассказывает Игорь. — Большее число данных обрабатывается нами за счет собственных систем. Мы выделили 46 признаков для проверки — изучаем причины отказа в открытии счетов банками, блокировок и приостановлений операций по расчетным счетам, оцениваем связанных физических лиц (директора, учредителей). Все эти риски, безусловно, отражаются на исполнении контрагентом обязательств по договору».

Как проверить юрлицо

В государстве нет конкретных законов, которые обязывают компании проверять своих партнеров по деятельности, однако при первых разбирательствах бездействие является поводом для налоговых отчислений.

Что вызывает подозрения:

• отсутствие регистрации в ЕГРЮЛ;

• наличие «массового» учредителя (участника), руководителя контрагента;

• наличие юридического адреса массовой регистрации;

• отсутствие расходов, характерных для ведения деятельности;

• отсутствие персонала;

• отсутствие основных средств;

• отсутствие складских помещений;

• отсутствие транспортных средств;

• отсутствие производственных активов.

Сведения о компании можно найти на официальном сайте налоговой службы, но если необходимо просмотреть эксклюзивную информацию, следует заручиться помощью платных ресурсов.

Юридическое лицо считается успешно проверенным, если оно соответствует следующим критериям:

• Документы и полномочия директора вместе с другими представителями организации.

• Наличие производственных/технических/кадровых возможностей, с помощью которых будут выполнены условия предполагаемого договора.

• Достоверность адреса компании.

• Отсутствие других «симптомов однодневки».

Сложные методы проверок включают в себя исследование фотографий вывески компании, адреса, мощностей и самого производства, что позволяет убедиться в реальном существовании предприятия. Нередко проводится проверка на предмет участия компании в судебных разбирательствах.

Однодневки можно выявить с помощью следующих признаков:

• доходы в отчетах приближены к расходам;

• по указанному в ЕГРЮЛ адресу юридическое лицо не выявлено;

• организация открывает расчетные счета в противоположных регионах;

• компания работает меньше шести месяцев;

• штат состоит из одного сотрудника или сотрудников вообще нет.

«Проблема автоматизированных проверок, которыми, в основном, все и пользуются, часто не выявляет неблагонадежные компании, — рассказывает Игорь. — Например, есть фирмы, которые любым сервисом оцениваются как благонадежные, но их директора находятся в розыске. Или другие примеры: учредитель Номиналов Номинал Номиналович или компании с названиями, смысл которых появляется при чтении справа налево, вроде ИХОЛ — лохи, КОДИК — кидок».

Если проверка выявила, что преуспевающая компания с миллионными оборотами зарегистрирована по адресу коммунальной квартиры, в которой «прописаны» еще несколько аналогичных фирм, это признак однодневки или транзитной компании, служащей для ухода от налогов. Аналитики выявляют фиктивных директоров, случаи регистрации десятков фирм на паспорт человека, не подозревающего о своей предпринимательской деятельности.

В течение нескольких минут сотрудники «Интернет-Розыска» могут проанализировать недобросовестное проведение тендера. К примеру, выигравшая компания оказывается новичком на рынке. Сопоставив регистрационные данные фирмы и ее руководства, устанавливается, что она создана только для участия в тендере, а ее владелец — одноклассник или сосед человека, ответственного за проведение торгов. На основании добытой агентством информации добросовестные компании вправе обжаловать результаты тендера.

Предупредить мошенничество и «взломать» Telegram

В 2016 году, спустя два года работы агентства Бедерова, специалисты «Интернет-Розыска» создали систему анализа электронных адресов и мобильных телефонов — «ТелПоиск». Причем на ее запуск ушло всего полмесяца. Система анализирует открытые источники, идентифицирует владельца, с высокой точностью определяет, где он находится в настоящий момент, отслеживает ретроспективу его перемещений. «ТелПоиск» использует 52 источника информации, в числе которых данные о сервере email, привязка телефона к определенной приемо-передающей станции, публичная информация соцсетей и мессенджеров.

По 50% запросов удается получить полные идентификационные данные, а в 70% случаев устанавливается владелец почты или телефонного номера. Территориальных ограничений программа не имеет, а значит работает по всему миру.

После обновления «ТелПоиск» научился выдавать точный адрес местонахождения телефона, список номеров, расположенных поблизости, устанавливать адреса регистрации и реального места жительства фигуранта, а также выводит список банковских карт, привязанных к номеру.

«Нам довелось принимать участие в нескольких расследованиях, связанных с совершением мошенничества на электронных площадках “АвтоТрансИнфо” и “Сбербанк-АСТ”. В чем риск? Ни одна электронная площадка не проверяет толком своих пользователей. Ты подаешь заявку на регистрацию, высылаешь много сканов уставных документов (хоть от лица “Газпрома”), получаешь доступ — и все. Через пару часов ты уже начинаешь искать себе жертву. А поскольку ты — “Газпром”, то и отсрочку платежа за поставку тебе простят запросто. Никто же не удосужится проверить контакты в электронной заявке. А наш “ТелПоиск” проверяет и предупреждает мошенничество», — объясняет Игорь Бедеров.

В ходе проведенного расследования было выявлено, что злоумышленник зарегистрировал в системе электронных торгов «Сбербанк-АСТ» личный кабинет от компании «НефтеТрансСервис», входящей в рейтинг наиболее успешных компаний РФ. После чего разместил тендерные заявки на поставку дорогостоящей компьютерной техники с условием отсрочки платежа. Мошенник при регистрации предоставил поддельные документы. Схожие ситуации происходят и с «АвтоТрансИнфо».

Преступная схема проста — зарегистрировался под данными успешной организации, подал заявку, получил товар и скрылся. Торговая система не проработала систему безопасности в области аккредитации участников торгов. Поэтому любой неблагонадежный гражданин может создать кабинет, например, от «Роснефти» и совершать закупки по отсрочке платежа.

Еще один сервис, разработанный компанией «Интернет-Розыск» в 2016 году — «IP-розыск», собирает информацию на основании IP-адреса. Разработка команды Бедерова получает информацию о нахождении компьютера вплоть до здания, где он установлен. Инициатор розыска получит данные даже о версии операционной системы на этом компьютере.

Недавно компания «Интернет-Розыск» закончила альфа-тестирование нового продукта — «Телеграм-Деанонимайзер». Продукт предназначен для установления данных пользователей мессенджера — ID, фамилии и имени, номера телефона. Он также может установить данные о примерном местоположении и языковой группе пользователя мессенджера, проверить активность и принадлежность номера телефона, использованного для регистрации аккаунта в Telegram.

Утечки информации

В начале 2019 года сотрудники «Интернет-Розыска» зафиксировали утечку информации. В ходе планового мониторинга хакерских сайтов специалисты компании натолкнулись на массив, содержащий персональные данные почти 300 тыс. пользователей, проживающих в Екатеринбурге, Волжском, Набережных Челнах, Томске и Ярославле. В ходе изучения массива возникло предположение, что источником слитых данных может быть федеральный телеком-оператор Дом.ru, под брендом которого действует холдинг «ЭР-Телеком» — ему принадлежит порядка 11% всего российского сегмента сети интернет.

О факте возможной утечки был проинформирован руководитель службы информационной безопасности холдинга Михаил Терешков. Он заявил, что выявленный массив данных мог появиться в даркнете в результате лишь одной из утечек, происходивших в период с 2013 года. В связи с этим работа в данном направлении не представляет для них интереса, поскольку каналы данных утечек были ликвидированы. Иными словами, профильный руководитель телекоммуникационного гиганта признал наличие брешей в защите персональных данных холдинга и подтвердил принадлежность Дом.ru к информации, опубликованной в даркнете.

С одной стороны, сотрудниками компании «Интернет-Розыск» были предприняты меры по удалению персональных данных пользователей с ресурса в даркнете. С другой, беспечность телеком-гигантов внушает опасения того, что подобные утечки будут происходить снова и снова. И, как подтверждение данной мысли, через несколько дней в даркнете появилась база данных Дом.ru. Только уже более свежая, за 2016 год.

Игорь Бедеров отмечает, что потеря значимой информации может происходить различными путями, начиная от кражи телефона или ноутбука и заканчивая разглашением данных через сотрудников и взломом компьютерных систем.

Мошенничество против бизнеса

За время работы сотрудники «Интернет-Розыска» регулярно сталкивались с подделкой или клонированием деятельности крупного бизнеса. Преступники могут создавать полные копии сайтов крупных российских бизнес-игроков, чтобы заключать договоры от их имени. Средний ущерб от одной такой атаки равен 1,5 млн рублей.

Например, по такой схеме злоумышленники работали с производителем азотных удобрений «Менделеевсказот». Официальный сайт компании — mendeleevskazot.ru, а сайт-клон расположился по адресу mendeleevscazot.ru.

По информации представителя «ЕвроХима», за посевной сезон 2016-2017 года фермерские хозяйства потеряли более 2 млрд рублей из-за мошенников. Схема работы злоумышленника проста: клиент заходит на сайт-клон крупного производителя, связывается с фальшивым отделом продаж, оплачивает выставленный счет согласно сделанному заказу, однако товара он не увидит, как и денежных средств. Деньги через продуманную цепочку российских и иностранных банков оседают в руках злоумышленника. Клонируют не только сайты, а еще и фирменный стиль, визитки, бренд. Арендуют офис возле «головной конторы». Делают все, чтобы быть внешне похожими на дочернюю структуру, обособленное подразделение. На такие преступные схемы могут также попадаться и физические лица.

Как не попасться и куда бежать, если угодил

Сервисы и базы данных должны содержать полную и достоверную информацию о контрагенте, чтобы каждый смог оценить риск сотрудничества с ним. Необходимы рабочие механизмы, которые могли бы создать эксперты в области безопасности. Проблема многих продуктов отрасли негосударственной безопасности в том, что специалисты, которые их создают, зачастую не имеют никакого понимания о безопасности. Например, можно взять условную банковскую систему проведения платежей. Ее разработкой занимаются программисты, получив определенное техническое задание.

«Не думаю, что в области безопасности операций она будет выполнена идеально, так как ее создает не специалист в этой сфере. Потом и случаются такие ситуации, когда человек приобретает в однодневном магазине товар, понимает, что его обманули, сразу обращается в банк. Там ему говорят о непроведенной еще операции, а на следующий день платеж производится автоматически, так как в системе отсутствует возможность пометки операции как неблагонадежной до проведения внутреннего расследования. Это ошибка программиста и банка, — утверждает Игорь Бедеров. — Чтобы победить преступность, нам нужны новые легальные источники информации и возможность их свободно обрабатывать. Нам нужна либерализация законодательства в области персональных данных. И нам нужна поддержка государства для того, чтобы внедрять разработки, чтобы продукты и идеи трудились на благо России».

Инструкция. Что делать, если человек или компания стали жертвами кибермошенничества:

• В срочном порядке подать заявление в полицию. Для более быстрого реагирования рекомендуется обращаться в специальный отдел «К» МВД РФ, который занимается правонарушениями в этой сфере.

• Если было совершено мошенничество, сопряженное с оплатой банковской картой или безналичным переводом, то нужно обратиться в банк или систему электронных расчетов с заявлением о возможности отмены операции.

• По факту мошенничества или вымогательства написать заявление в Роскомнадзор.

• На мошеннический ресурс можно подать жалобу на специальных сервисах. Они могут посодействовать в блокировании таких сайтов. Например, здесь.

• Если проблема касается оплаты товара в интернете, который либо не приходит покупателю, либо приходит не то, что заказано, необходимо обратиться в Роспотребнадзор и прокуратуру за содействием.

• Также можно обратиться в компанию, занимающуюся поиском личных данных и безопасностью в сети за помощью, например, в «Интернет-Розыск».

Сегодня «Интернет-Розыск» ежедневно отрабатывает не менее 150 запросов, оказывает содействие в расследовании уголовных дел и розыске скрывающихся преступников, проходящих по федеральной базе.

В ближайших планах у компании Игоря Бедерова — создание сервиса в помощь HR-агентствам. Онлайн-система позволит проводить проверку потенциальных и действующих сотрудников по государственным базам данных, соцсетям и СМИ. Проанализировав соотношение вакансий и резюме для сотрудников служб безопасности, Бедеров сделал вывод о тенденции снижения затрат на содержание полноценного штата безопасников. Отдельные функции перекладываются на кадровый и юридический отделы, поэтому рост рынка предоставляемых агентством «Интернет-Розыск» услуг будет продолжаться.