Работая с выбранным ботом, заливщик иногда длительное время ждет появления денежных средств на счете. Так, например, хищение 8 млн руб. у одного из московских заводов в 2011 г. было совершено в день выплаты заработной платы сотрудникам, хотя заражение вредоносной программой произошло за несколько недель до этого. Заливщик, изучив статистику движения по счету, терпеливо ожидал ежемесячного поступления денежных средств.

Если сумма денежных средств, обнаруженных на счете и доступных для хищения, удовлетворяет заливщика, то перевод денежных средств осуществляется практически при первой же возможности – иногда в течение нескольких часов после заражения троянской программой. Для этого заливщик должен располагать реквизитами счета (или счетов), на которые будет осуществлен перевод. Как уже было сказано в предыдущем параграфе, поставкой таких счетов занимаются нальщики. Непосредственно перед совершением хищения заливщик и нальщик согласовывают его детали: какие счета использовать, какие суммы и на какой счет перевести, какие дальнейшие операции предпринять с деньгами. Кроме того, если стороны не работают друг с другом на постоянной основе или в составе устойчивой группы, достигается договоренность о сумме вознаграждения нальщика, гарантиях, предоставляемых заливщику, и порядке передачи ему остатка выведенных денежных средств.

Момент совершения, сумму и назначение перевода денежных средств заливщик выбирает с учетом всех известных ему данных, а также возможностей используемых вредоносных программ. Учитывается возможная реакция легального пользователя компьютера, если предполагается, что у него останется доступ к истории платежей или что ему по внеполосовому каналу связи (телефону) поступит сообщение от оператора по переводу денежных средств. Также учитывается реакция сотрудников банка (если похищаются деньги с банковского счета), проверяющих поступившие платежные поручения. Часто хищения производятся ближе к окончанию рабочего (или банковского) дня, когда внимание пользователей и сотрудников банков ослаблено.

Примером удачного выбора времени является хищение 25 млн руб. у одного из крупных московских акционерных обществ. Перевод был сделан 7 марта примерно в 16 часов, когда не только приближались к концу рабочий день сотрудников компании и банковский день, но и все коллективы (преимущественно женские) были заняты подготовкой к празднованию Международного женского дня. В таких обстоятельствах перевод денежных средств произошел беспрепятственно.

Момент совершения хищения при использовании автозалива зависит от настроек: хищение происходит автоматически при первой возможности либо при совершении пользователем легального перевода денежных средств на нужную сумму.

При использовании оператором по переводу денежных средств одноразовых кодов (SMS-TAN или mTAN) либо голосового телефонного уведомления заливщик заранее предпринимает меры, направленные на получение такого кода или недопущение его отправки. Это отдельная сложная задача, которая решается как техническими методами, так и методами социальной инженерии. Ее решение упрощается при использовании банковских троянов для мобильных устройств. Наиболее современные программы не только совершают переводы денежных средств в режиме автозалива, но и незаметно для пользователей принимают сообщения с одноразовыми кодами и самостоятельно подтверждают платежи.

Деятельность преступных групп существенно осложнили информирование о совершенном платеже и отправка одноразовых кодов подтверждения, в последнее время повсеместно применяемые операторами в связи с вступлением в силу положений ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51]. Однако полной защиты от хищений не обеспечивают даже такие системы, поскольку преступниками активно вырабатываются и используются различные средства противодействия, в частности:

– отключение систем подтверждения платежей (информирования о платежах) вредоносными программами путем воздействия на интерфейсы ЭСП; убеждение владельцев денежных средств отключать такие системы с использованием методов социальной инженерии;

– предварительное накопление одноразовых кодов путем провоцирования операторов на их отправку, а пользователей – на их ввод под различными предлогами, для чего может применяться выдача фиктивных веб-страниц при использовании ЭСП;

– получение одноразового кода для подтверждения платежа от владельца денежных средств путем обмана – в ходе телефонного разговора, при котором злоумышленник представляется сотрудником оператора по переводу денежных средств;

– завладение телефонным номером владельца денежных средств непосредственно перед совершением хищения путем получения дубликата идентификационной карты абонента (SIM-карты) у оператора связи по поддельной доверенности; для этой цели привлекаются соучастники, занимающиеся подделкой документов и получением карт;

– перехват сообщений, содержащих одноразовые коды подтверждения, с использованием специальных технических средств, предназначенных для негласного получения информации (некоторое время назад было отмечено появление на тематических ресурсах объявлений о предоставлении такого рода услуг);

– использование троянской программы со специальным функционалом, который провоцирует владельцев денежных средств устанавливать под видом обновлений мобильных приложений дополнительные троянские программы на мобильные устройства, телефонные номера которых привязаны к счетам; поступающие на такие номера коды подтверждения используются для совершения хищений;

– прямое физическое воздействие на пользователей ЭСП (наиболее опасный способ подтверждения переводов денежных средств); так, например, некоторое время назад на тематических ресурсах были обнаружены сообщения об успешных хищениях денежных средств в особо крупных размерах, в ходе которых преступники, угрожая бухгалтерам компаний, заставляли их подтверждать переводы.

Вернемся к действиям заливщика. После того как все необходимые операции произведены и действия с нальщиком согласованы, в определенный момент осуществляется несанкционированный перевод денежных средств. В случае хищения с банковского счета формируется платежное поручение, которое передается в банк и поступает в очередь на проверку и отправку. Проверка производится вручную или автоматически в зависимости от правил банка и суммы перевода. Перечисление денежных средств осуществляется по корреспондентским счетам так называемыми рейсами – группами платежей по определенному расписанию. До «постановки в рейс» похищаемые денежные средства из банка не уходят и на счета нальщика не поступают. В этот период наиболее высок риск выявления попытки хищения и блокировки перевода. Что касается электронных денежных средств, то их перевод происходит незамедлительно. В системах денежных переводов и системах по приему платежей, по условиям работы операторов и их агентов/субагентов, платежи обычно считаются совершенными с момента оформления соответствующих операций. Движение денежных средств по банковским счетам происходит в таких системах позднее (иногда весьма значительно), например путем взаимозачетов в конце отчетного периода.

Если для злоумышленников все сложилось удачно, денежные средства сразу или через некоторое время оказываются на счете, предоставленном нальщиком. Пока тот выполняет свою часть работы, заливщик решает судьбу бота. Если это компьютер, при помощи которого только что было совершено крупное хищение, то, как правило, производятся удаление троянской программы и вывод компьютера из строя. Для этого используется функционал самого трояна, если таковой предусмотрен, или дополнительно загружаемая вредоносная программа. Степень повреждения компьютера может быть различной – от кратковременного выведения из строя до тщательного многократного удаления всей информации с жестких дисков. Это необходимо, чтобы предотвратить дальнейший доступ пользователя к ЭСП и списку переводов и, соответственно, раннее обнаружение хищения. Чем дольше пользователь не узнает о хищении, тем больше вероятность успешного вывода денежных средств нальщиком.

Впрочем, выведение из строя бота не является обязательным. Иногда хищение производится несколькими частями или повторяется неоднократно, если заливщик уверен в успешности новых хищений. Так, например, счет