Как отмыть виртуальные деньги
Сразу нужно прояснить, что наша команда не поддерживает отмывателей денег и финансирование терроризма. Законы, которые препятствуют финансовым преступлениям, нужны обществу. Но есть проблема, что они имеют последствия и для законопослушных граждан. Независимо от ваших убеждений, знать и понимать факты просто необходимо, ведь незнание не освобождает от ответственности.
Эту статью написана после внесения дополнений в конгрессе США «S.1241: Модернизация законов о противодействии отмыванию денег и борьбе с отмыванием денег и финансированием терроризма».
Слушание в Комитете США состоялось 28 ноября 2017 года во главе с сенатором Чаком Грассли. В нем принимали участие чиновники, несколько свидетелей со стороны сообщества, один был из Coinbase. Слушание предлагало факты и статистику, как преступные организации отмывают триллионы долларов.
Законы по борьбе с отмыванием денег
Что такое BILL S.1241?
S.1241: Борьба с отмыванием денег и финансированием терроризма 2017 года — законопроект США, разработанный для обновления устаревших законов о борьбе с отмыванием денег.
Законы о борьбе с отмыванием денег изначально созданы, чтобы кокаиновые бароны не легализировали свои деньги. S.1241 призван модернизировать закон что предоставит правоохранительным органам больше инструментов для судебного преследования и закрытие лазеек в праве. S.1241 также добавляет раздел 13 о криптовалютах.
А именно, к закону добавлено:
- Устраняет пробелы в действующих законах по борьбе с отмыванием денег.
- Усиливает полномочия прокурора.
- Криминальное преступление, если вы лжете банку.
- Накладываются санкции для банков, которые не отвечают на запросы от правоохранительных органов.
- Меры по улучшению связи между банками и облегчению отчетности о подозрительной деятельности.
- Увеличивает срок наказания от 5 до 10 лет для лиц, которые контрабандой вывозят более 10 тысяч долларов в США и за границу.
- Уточняет правила перемещения денег в США и из США для уклонения от налогов.
- Разъясняет правила по фирмам-однодневкам и людям, которые пытаются отмыть деньги через сложные бизнес-структуры.
- Изменяет статус «цифровых валют» и определяет его как «финансовый инструмент» (раздел 13).
Закон в России
В России интерес к чужому богатству не так стабилен, как на Западе. Но законы также имеются. Занимается борьбой Федеральная служба по финансовому мониторингу, которая соответствует принципам глобальной организации ФАТФ (FATF). Главный закон страны: «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма».
Насколько глобальна проблема отмывания денег?
Сенаторы на слушании в Конгрессе США представили убедительные статистические данные о неэффективности действующих законов о противодействии отмыванию денег в США и во всем мире. 99,99% от незаконного отмывания денег проходят мимо следствия.
Международный валютный фонд подсчитал, что отмывание денег составляет примерно 2–5% мирового ВВП каждый год, или примерно от 1,5 до 3,7 триллиона долларов в 2015 году: почти размер федерального бюджета США. Аналогичным образом Управление ООН по наркотикам и преступности провело исследование для определения масштабов оборота незаконных средств. По данным Управления, доходы от преступной деятельности в 2009 году составили 3,6% от глобального ВВП, примерно 2,7 трлн. долларов.
Всемирный банк и МВФ считают, что каждый год отмывается от 2,17 до 3,61 триллиона долларов США. Преступники готовы тестировать новые методы отмывания денег и находятся в числе первых пользователей новых технологий. Из-за этого должны развиваться законы о противодействии отмыванию денег.
Кэтрин Хаун Родригес, член совета директоров Coinbase
Почему новые правила США касаются держателей криптовалюты?
В разделе 13 излагаются правила регулирования биткоина и альткоинов, когда дело касается перемещения денег внутри страны и за ее пределами. Если говорить проще, S.1241 добавляет цифровую валюту к финансовым институтам и включает ее вместе с цифровыми биржами и обменниками в перечень финансовых инструментов. Это поднимает вопрос о том, что определяется под «цифровой валютой». Логика говорит, что правительство рассмотрит биткоин и другие криптовалюты как «цифровую валюту». Если это так, то от владельцев монет могут потенциально потребовать соответствия правилам отчетности. А они таковы (для США):
Регулируется это BSA, Законом о регистрации валютных и иностранных операций, финучреждения должны сотрудничать с правительством США в случаях подозрения на отмывание денег и мошенничество. Значит, что для любого движения «цифровой валюты» более 10 000 может потребоваться отчет.
Еще это означает, что каждый раз, когда вы переезжаете границу с большой суммой в криптовалюте, вам, возможно, придется сообщить об этом, идти через красный коридор и декларировать. Скрывать это в таком случае преступление.
В Америке уже отдано распоряжение усилить пограничный контроль и разработать инфраструктуру для обнаружения держателей.
Вопрос резонный: криптовалюту я не вожу с собой, это адреса на блокчейне. Как я могу перевозить их через границу? Даже сид на бумаге не является суммой моих монет!
Не знаю, насколько логика будет работать на таможне, но некоторые трейдеры удаляют с телефонов и ноутбуков кошельки и другие программы, связанные с криптовалютами, когда пересекают границы.
Примерный ответ уже есть: многие из сегодняшних финансовых инструментов работают таким образом. Если у вас есть доступ к онлайн-банку на телефоне или возможность снимать деньги с кредитных карт, и это превышает 10 000 долларов, то вы тоже перевозите цифровую доступную валюту через границу.
Также усиливается контроль за биржами и обменниками.
Рекомендации FATF — Recommendations 2018
Рекомендации даны развернуто в оригинальном документе. Мы приводим краткие тезисы:
- Страны должны оценивать риски отмывания денег и финансирования терроризма, назначать ответственные органы. Финучреждения также должны снижать такие риски самостоятельно.
- Действия по AML/CFT должны быть скоординированы.
- Венская и Палермская конвенция относят отмывание денег к преступлению, станы должны квалифицировать это деяние так же.
- Законы должны обеспечить возможность для уполномоченных органов замораживать подозрительные счета, конфисковать средства и прочее.
- Финансирование терроризма должно классифицироваться как преступление.
- У страны должны быть механизмы финансовых санкций против терроризма и его пособников.
- Санкции накладываются на лицо/организацию, финансирующую оружие массового уничтожения.
- Некоммерческие организации должны контролироваться государством, чтобы через них не финансировался терроризм/отмывались деньги.
- Должна проходить проверка клиентов банковских учреждений. Нельзя открывать счета фиктивным лицам, на явно поддельные документы.
- Финансовые учреждения должны хранить все данные по операциям клиентов минимум пять лет.
- Публичные должностные лица (иностранные) должны тщательно проверяться.
- Банки-корреспонденты должны быть благонадежными и соблюдать эти же рекомендации.
- Услуги перевода денег и ценностей должны лицензироваться.
- Оценивать риски с появлением новых технологий.
- Электронные переводы должны сопровождаться полной информацией о клиенте.
- Можно полагаться на благонадежную третью сторону.
- Меры по борьбе с ПОД/ФТ применяются и компанией, и ее филиалами.
- Сделки с представителями стран с высоким риском финансирования терроризма/теневой экономики должны идти на особом контроле.
- Подозрительные транзакции отслеживаются, о них докладывается в органы.
- Сотрудники финансовых учреждений не должны предупреждать подозреваемых.
- DNFBP, установленные нефинансовые предприятия и профессии, которые должны проверять клиентов и хранить данные: казино, недвижимость, дилеры драгметаллов, камней, адвокаты и нотариусы (когда осуществляют сделки от лица клиента), трастовые компании.
- Эти УНПП должны сообщать о подозрительных клиентах.
- Юридические компании должны быть прозрачны.
- То же для УНФПП.
- Правительство страны должно обеспечить выполнение компаниями рекомендаций ФАТФ.
- Правительство страны должно обеспечить выполнение финансовыми образованиями рекомендаций ФАТФ.
- Надзорные органы должны иметь достаточные полномочия, чтобы проводить мониторинг и пресекать ситуации, связанные с отмыванием денег.
- Казино особо контролируются, преступники не должны допускаться к владению долями в компаниях.
- В стране должна быть финансовая разведка.
- По финансовым преступлениям должны проводиться соответствующие расследования.
- Компетентные органы при расследовании преступлений должны получать широкий доступ к различным данным (в том числе прослушка).
- Должна идти борьба с курьерами наличных — лицами, которые перевозят наличные деньги через границы без декларации.
- Нужно вести статистику с результатами деятельности в этом направлении.
- Обратная связь уполномоченных органов с финансовыми учреждениями.
- Те, кто не выполняет требования ПОД/ФТ, попадает под санкции.
- Странам нужно присоединиться к конвенциями по проблеме отмывания денег.
- Страны должны помогать друг другу в борьбе с финансированием терроризма и отмыванием средств.
- Страны должны выполнять экстрадицию по названным выше причинам.
- Все должны сотрудничать и искать новые способы взаимодействия во благо.
Схемы отмывания денег через биткоин
- По отчету DEA, многие китайские фирмы, используемые в отмывании, теперь предпочитают принимать биткоин. Он широко популярен в Китае, потому что может использоваться для анонимного переноса средств за рубеж, обходя контроль Китая за капиталом.
- Сторонние брокеры без посредников помогают упростить трансграничные транзакции. Вне биржи переносятся миллионы долларов в биткоине через международные границы, как часть схемы вывоза капитала.
- Открыть фирму, которая принимает биткоин, и покупать у себя, получая законный доход со своего магазина.
Но конкретно в биткоине наоборот меньше грязных денег, ведь все транзакции записаны в публичной книге!
Но другие характеристики криптовалют говорят обратное:
- Биткоин-адреса и протокол не требуют идентификации клиента.
- Криптобиржи не так строго регулируются, как обычные, которые по закону обязаны хранить надлежащую документацию своих клиентов.
- Такие устройства, как микшер или тумблер, смешивают несколько транзакций вместе, что затрудняет отслеживание определенного адреса.
- Транзакции могут выполняться через сеть TOR, которая направляет веб-трафик через несколько нод, тем самым скрывая реальный IP-адрес.
- Трудно определить, в какой юрисдикции должно проводиться уголовное расследование, если таковое имеется, поскольку сделка может распространяться по нескольким странам и организациям.
- Трудно определить, какой закон о противодействии отмыванию денег и соблюдение должны применяться, когда сделка идет по нескольким странам.
- В большинстве стран законы еще не разработаны.
Реальные примеры отмывания денег через биткоин
- По обвинению в отмывании денег в греческой тюрьме находится Александр Винник. Российский оператор биткоин-биржи BTC-e получил обвинение в отмывании денег, включая средства с Mt Gox. Через биржу проходили деньги, полученные от взломов, наркотиков и прочих незаконных способов.
- Микшеры криптовалют используют для заметания следов, в том числе для отмывания денег. Говорят, что ФСБ уже имеет некоторые разработки по отслеживанию этих запутанных транзакций.
- Транзакции в Deep web, которые выполняются через TOR, при должной осмотрительности невозможно отследить. Через Silk Road незаконные средства обменивались на нужные товары. Конечно, там никто не думал, откуда у заказчика деньги.
- В 2016 году в Голландии были арестованы 10 человек за отмывание денег через биктоин.
- В 2018 году по отчетам CipherTrace AML отмыто уже в три раза больше средств, чем в 2017. FATF собирается создать отдельные рекомендации для криптовалютных бирж.
Модели отмывания денег через Интернет
Если вам интересно, вот некоторые способы цифрового отмывания денег, не только через биткоин. Мы приводим их без подробностей по понятными причинам: не раздаем инструкции по незаконными действиям.
eCache: Некоторые виртуальные валюты, такие как eCache, полностью анонимны. По словам его операторов, eCache не связывает человека с транзакциями; он работает как сертификат цифрового носителя (DBC), который может быть передан другой стороне, как и любые другие данные в Интернете. Есть и другие анонимные криптовалюты. Для биткоина есть Dark Wallet: кошелек, который помогает BTC стать полностью анонимным.
Crowdfunding можно использовать для отмывания денег несколькими способами. Например, эмитент может вступить в сговор с инвесторами для обмена денег на ценные бумаги. Согласно новому отчету FINCEN, в отчетах о подозрительной деятельности были выявлены случаи незаконного использования платформ сбора средств с толпы для отмывания денег, возможного финансирования терроризма, мошенничества с кредитными картами, кражи личных данных, схем фишинга и злоупотреблений со стороны компании.
Схема — положить деньги на кредитные карты с подставными данными, открыть с них кошелек и делать покупки онлайн.
Возврат акций в цифровой форме: облигации на предъявителя выпускаются как бумага и подлежат оплате держателем инструмента. Следовательно, их право собственности не регистрируется эмитентом, что удобно для преступников при перемещении средств.
ММОРПГ: многие игроки используют виртуальные валюты в MMORPG. Преступники используют виртуальные валютные системы в этих играх для отправки виртуальных денег партнерам в другой стране.Популярные игры для такого типа схем — Second Life и World of Warcraft.
Фирмы-консультанты: якобы покупаются информационно-консультационные услуги у иностранной фирмы.
В норме использовать сразу несколько методов. Как видите, биткоин не единственное возможное средство для отмывания денег.
По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и другим интересным вещам. Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения, случаются ситуации, когда “новинками” делятся силовики. Думаю многие разделят мою точку зрения касательно того, что если “схема” или “уязвимость” попала на форум, то, как правило, все “сливки” с нее уже давно кто то снял. Да и форумы вне зоны .onion супер серьезно воспринимать не стоит. Но в этот раз была найдена схема которая удивила своей относительной простотой и новизной. Собственно о том, как хакеры воруют и отмывают деньги через сервисы доставки еды и будет сегодняшний рассказ.
Как убили значительную часть кардинга, предыстория
Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону (через смс, звонок или приложение). У VISA такая система называется 3-D Secure сокращенно 3DS, работает в рамках системы Verified by Visa (VbV) у Mastercard есть аналог под названием Mastercard SecureCode (MCC). Суть проста, если Вы ввели где то данные со своей кредитной карты, для успешного платежа, вам потребуется еще и ввести код полученный из смс, звонка или приложения, чтоб подтвердить что это именно Вы совершаете покупку, а не хакеры грабят Вас.
С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие.
Гигантам важнее объем выручки и оборота средств, чем безопасность
Однако крупные, высоко нагруженные сервисы вроде Booking.com, Airbnb, Amazon.com, Facebook.com отключили или ограничено используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсии. Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, однако это не сильно помогло. Проблема не нова и широко обговаривается (пруф). Так же Федеральная торговая комиссия США заявила что за период с 2012 до 2016 года поступило 13 миллионов жалоб, 3 миллиона только за 2016 год, 13% из которых это хищение личности и кредитной карты. И это данные только по США. Реальность такова, что лучше содержать штат юристов занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие появились целые форумы с предложением забронировать отель за 25%-50% от стоимости (пруф). Бизнес риски не более.
Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:
- Берут квартиру в аренду с правом субаренды.
- Регистрируют квартиру на booking.com и/или Airbnb
- Покупают данные ворованных кредитных карт
- Якобы бронируют квартиру у самих себя, на данные ворованных карт
- Получают уже чистые деньги от Booking или Airbnb
Естественно вариантов вышеописанной схемы может быть миллион, от регистрации на Booking, Airbnb не существующих квартир (это реально), до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут/скупают недобросовестных владельцев отелей (пруф) или же предлагают свои услуги (пруф).
Почему деньги отмывают именно через сервисы аренды квартир? Как я писал Выше там нет (или используется ограниченно) VBV и 3DS и карты туда легче “вбиваются”. Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение в POS терминалах с поддержкой ручного ввода карт (пруф), но это уже совсем другая история о которой я расскажу в следующий раз.Вернемся к нашим доставщикам еды.
Сервисам доставки еды тоже не важно чья карта
GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует совпадает ли имя владельца аккаунта, с именем на кредитной карте. Им не Важно куда доставлять и откуда брать товар. Им так же как гигантам бронирования отелей не так важны VBV и 3DS, куда важнее оборот и выручка.
Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на “новинку”. Кардеры и мошенники и придумали схему, которая в первом приближении выглядит так.
- Регистрируют магазин/хотдожную/ресторан/лавку в системе доставки еды, или просто указывают доставщику где именно он должен купить заказ.
- Покупают ворованную кредитную карту и привязываем к аккаунту.
- Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером скупаются в собственном магазине и ждут доставку.
- Отвозят продукты обратно и так по кругу.
Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется.
Дисклеймер и выводы
Данная публикация не несет в себе цели показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует на роль исчерпывающего руководства по защите и предотвращению мошеннических действий. Не может быть трактовано как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды — абсолютно незаконны и являются уголовным преступлением.
Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам отвечающих за риски и архитекторам нужно иногда спускаться в “подземелье”, чтоб посмотреть как еще можно использовать разработанные ими сервисы. Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на мошенничество с бизнес логикой. На сегодняшний день даже тестирование на проникновение без проверки бизнес логики уже становится не полным. Бизнес не покупает шаблонные услуги, продажи идут скорее через бизнес аналитиков помогающих улучшить тот или иной процесс и предотвратить риски. При создании сервиса доставки нужно продумывать не только основные риски, вроде “а не будут ли через нас доставлять наркотики”, но и другие риски незаконного использования сервиса в противоправной деятельности.