крупного регионального оператора по приему платежей «сливался» в течение трех дней. В первый день была переведена сумма около 1 млн руб., во второй день – около 1,5 млн руб. и в третий день – еще около 5 млн руб. Многократность хищений (небольшими суммами) также характерна для мобильных банковских троянов.

Действия нальщика после успешного залива зависят от обстоятельств. Практически всегда первый счет (или первые счета), на который были переведены похищенные денежные средства, является промежуточным, на жаргоне – буферным. Задача нальщика – как можно быстрее перевести денежные средства дальше, в другой банк, другую платежную систему (иногда говорят «перестаивать деньги»). Денежные средства, поступившие на буферный счет одной суммой, могут быть разделены на несколько мелких сумм, которые отправляются на счета, открытые у разных операторов. И наоборот, сумма, похищенная серией небольших переводов, например зачислений на балансы сотовых телефонов или переводов на несколько электронных кошельков, может быть после буферных счетов консолидирована на одном счете и оттуда обналичена. После того как денежные средства прошли через цепочку транзакций, нальщики чаще всего обналичивают их в банкоматах, используя банковские карты. Для этих целей хороший нальщик всегда имеет заранее подготовленный запас «материала» – приобретенных у кардселлеров карт, оформленных на посторонних лиц. Криминальные сервисы, торгующие картами, представлены на всех крупных тематических веб-сайтах (пример: http://forum.beznal.cc/).

Наиболее опасный для нальщика случай – когда имеется необходимость получить наличные деньги в отделении банка, пункте получения и выдачи переводов или обмена электронных валют. Потребность в личном посещении такого пункта или отделения банка возникает и тогда, когда особенно дерзкий нальщик пытается получить денежные средства, заблокированные на каком-либо этапе. Часто в таких ситуациях используются дропы. Иногда успешные хищения заканчиваются не обналичиванием денежных средств, а их переводом в надежные электронные валюты (в т. ч. иностранные), обменом на реальные или виртуальные ценности для возврата долга другому нальщику и т. п.

Так или иначе, если хищение совершено удачно и денежные средства прошли все запланированные этапы вплоть до вывода, последним действием является взаимный расчет соучастников. Если хищение совершено устойчивой сплоченной группой, состоящей из реально знакомых между собой лиц, расчеты происходят по заранее согласованной схеме. Например, все денежные средства поступают в так называемый «общак», откуда распределяются в качестве зарплаты или долями по решению организатора преступной деятельности. Если же соучастники (организатор, ботнетчик, заливщик, нальщик) между собой не знакомы, общаются посредством интернета и вступают в кратковременные ситуативные отношения, расчеты между ними обычно происходят путем перечисления на личные банковские или электронные счета. Нальщик перечисляет условленный процент заливщику, а тот в свою очередь перечисляет оговоренную долю ботнетчику и (или) организатору (если эти роли выполняют разные лица). Расчеты с кодерами, траферами, поставщиками хостинга и связок эксплойтов производят бот-нетчик и (или) организатор в установленном порядке, чаще всего на регулярной основе. Оплату услуг дропов, а также «материала» кардселлеров осуществляет нальщик из своей части вознаграждения. При этом для всех участвовавших в хищении лиц важно, чтобы расчеты между ними производились не похищенными в этом или иных случаях денежными средствами (т. е. «грязью»), а исключительно «чистыми» деньгами. Для получения переводов участники стараются использовать банковские карты и электронные кошельки, оформленные не на себя лично, а на посторонних лиц. Эти правила иногда сознательно или по ошибке нарушаются, что дает правоохранительным органам возможность вычислить того или иного участника преступной деятельности.

Приведенная схема взаимоотношений между участниками преступной группы с постоянным составом описана как типовая. В реальности возможны любые схемы организации отношений между лицами, обладающими криминальными специальностями и необходимыми ресурсами. Группы могут складываться на период совершения небольшого числа хищений либо только для разовых крупных хищений. Возможно существование преступных групп, ни один из участников которых не знаком лично с другими участниками. Масштабная систематическая преступная деятельность на основе крупного ботнета может выглядеть как деятельность «группы групп», квалифицируемой правоохранительными органами как преступное сообщество.

Завершая рассмотрение особенностей организации преступной деятельности, необходимо выделить два критически важных и взаимосвязанных вопроса, так или иначе решаемых всеми участниками данной деятельности. Это связь и сокрытие (анонимизация) доступа к сети. Нетрудно предположить, что лица, недооценивающие важность сокрытия своих реальных сетевых адресов (а значит, и физического местоположения) и организации безопасной связи с соучастниками, в «бизнесе по заливам», как и в любом ином криминальном бизнесе, связанном с компьютерной информацией, долго не задерживаются.

Связь внутри территориально разнесенных преступных групп, а также с привлеченными соисполнителями и пособниками в большинстве случаев осуществляется с использованием так называемых мессенджеров – систем мгновенного обмена сообщениями в интернете (англ. instant messaging, messager). Причем популярные коммерческие системы типа ICQ или Skype обычно не используются в связи с их небезопасностью. Используются небольшие системы, преимущественно функционирующие на основе протокола XMPP (известен как «джаббер»), создаваемые на абузоустойчивых серверах и доступные ограниченному кругу лиц. Наиболее технически продвинутые преступные группы, не доверяя чужим ресурсам, устанавливают на отдельных серверах и эксплуатируют собственные «джабберы» и иные системы обмена сообщениями. Обязательная особенность используемых мессенджеров – шифрование передаваемых сообщений для защиты их содержания от возможного перехвата трафика.

В переписке, равно как и при общении на сетевых ресурсах (форумах), никогда не используются реальные имена и иные сведения, позволяющие каким-либо образом идентифицировать злоумышленника. Любопытно, что почти у каждого лица, на постоянной основе занимающегося преступной деятельностью в сфере компьютерной информации, имеется постоянный псевдоним, под которым данное лицо может достигать определенной известности в кругу своих коллег. Это, конечно, не отменяет возможности использования разовых или полностью обезличенных (например, цифровых) псевдонимов. Также участники преступной деятельности иногда используют телефонную связь и электронную почту, что существенно повышает шансы на их выявление и привлечение к уголовной ответственности.

Не менее важной задачей является сокрытие доступа в интернет. Абсолютное большинство компьютерных систем операторов связи, систем операторов по переводу денежных средств и любых иных сетевых систем сохраняет сведения о состоявшихся соединениях, сеансах связи, переданных сообщениях и т. п. в так называемых файлах регистрации статистики (лог-файлах). Участники преступных групп обычно не используют для доступа в сеть постоянные (проводные) соединения, тем более установленные в жилых или рабочих помещениях и предоставляемые на основе официальных договоров. Большинство населенных пунктов сейчас входит в зону покрытия сотовых сетей, предоставляющих услуги широкополосного беспроводного доступа (3-го и 4-го поколений). Устройства для доступа (модемы, телефонные аппараты, смартфоны) повсеместно имеются в свободной продаже, а оформленные на чужие персональные данные идентификационные карты абонентов (SIM-карты) могут быть почти свободно приобретены в любом крупном городе либо на специализированных сетевых ресурсах с доставкой в нужное место. Однако справедливо считается, что даже такой доступ необходимо скрывать, так как по IP-адресу беспроводной сети можно установить если не личные данные и точный адрес пользователя, то как минимум