Вирус Zeus был весьма своеволен: AEV не назвать ни чрезвычайно богатым предприятием, ни знаменитым брендом. Это просто обычная компания с обычными сотрудниками, которые, разумеется, пользуются электронной почтой. И однажды в сентябре 2013 года один из этих сотрудников получил письмо, к которому был прикреплен файл с вирусом. Спамерам повезло. Сотрудница, которой они написали, работала в финансовом отделе и имела доступ к корпоративным счетам AEV.

В письме как будто бы сообщалось, что компания запаздывает с уплатой налогов, поэтому сотрудница исполнительно открыла прикрепленный файл и, сама того не зная, установила на свой компьютер Zeus. В следующий раз, когда она зашла на банковский счет компании, она ввела свой пароль, и уже через несколько минут были произведены две транзакции: сто тысяч евро ушли на Кипр, а тридцать тысяч долларов – на Украину. Поскольку Zeus умеет заметать следы, женщина понятия не имела, что произошло, пока снова не зашла на банковский счет и не заметила пропажу денег.

Должность управляющего директора AEV занимает Джонатан Кемп. Он прост, как и его ремесло. Он не жонглирует абстрактными финансовыми продуктами на экране компьютера и не создает мобильные приложения, которые неведомо почему продаются за миллиарды долларов. Он управляет заводом, на котором производятся реальные вещи, реально востребованные у людей, и содержит для этого штат сотрудников.

Кемпу нелегко было рассказать сотрудникам о вирусе, который внезапно обокрал компанию на сто тысяч фунтов. Эта история посеяла в штате страх. Украденная сумма составляла значительную долю прибыли компании, и сотрудники опасались, что, если решить проблему не удастся, их ждут сокращения. На носу было Рождество.

Кемп решил предать случившееся огласке. Это очень неожиданный шаг, поскольку в большинстве своем компании, которые сталкиваются с кибератаками, стараются сохранить проблему в тайне.

«Людям было стыдно, они не хотели шумихи. Думаю, это действительно было сопряжено со стыдом и позором», – сказал Кемп.

Он полагает, что банки этим пользовались. По его словам, когда он изначально связался с банком и попросил помощи, ему дали понять, что взломы случаются редко. Но чем больше Кемп рассказывал об атаке, тем больше находилось других жертв. Стало известно о десятках случаев мошенничества, и потери исчислялись миллионами фунтов. Zeus заразил бесчисленное количество компьютеров по всему миру. Сидя в своем маленьком кабинете в Беркенхеде, Кемп обнажил верхушку огромного айсберга.

Его не впечатлила реакция полиции. Он говорит, что местных полицейских этот инцидент немало озадачил. Кемпу сказали сообщить о нем в национальную полицейскую систему Action Fraud, но ответа он, по собственным словам, так и не получил. Из-за такой реакции гложущее его чувство потери становилось лишь острее. «Это было ужасно странное чувство, – сказал он мне. – Мне было бы легче, если бы у меня украли кошелек со ста тысячами фунтов, ведь тогда я бы мог хотя бы физически ощутить, что меня ограбили. Но эту кибератаку у меня просто не получалось выкинуть из головы».

Некоторые критиковали Кемпа за то, что он не обеспечил компании более надежную защиту перед атакой. Теперь все изменилось: он тратит значительную, по его меркам, долю средств компании на кибербезопасность. Он платит «этичным хакерам» (официально их называют специалистами по тестам на проникновение), чтобы они пытались проникнуть в систему и сообщали, какие уязвимости находят. Тесты проводят каждый месяц. «Я понимаю, что это перебор, – говорит он. – Хватило бы, пожалуй, и одного-двух раз в год. Но так я сплю спокойнее».

Банк в конце концов возместил компании ущерб, и это плюс для Кемпа и AEV. Но, если подумать, такой исход просто меняет суть проблемы, не решая ее. Во многих случаях жертвы киберпреступников возвращают деньги через банк или финансовую организацию, создавая тем самым впечатление, что никто не остается в накладе. Здесь можно привести несколько контраргументов. Во-первых – и это самое поразительное, – поскольку действия преступников кажутся «преступлениями без жертв», хакеры часто ссылаются на это, когда пытаются себя оправдать. Кардер Script подытожил это в интервью российскому журналу «Хакер», сказав, что за такие преступления ему «не стыдно».

Он отметил, что мошенничество с картами – «не такое гнусное занятие, как может показаться; кардерство – намного менее стыдно, чем обычное воровство». Кардеры «не причиняют никаких проблем владельцу карты, он вернет при желании все до цента»[39].

Если вы считаете, что киберпреступления не имеют значения, поскольку банки возмещают украденные средства, вы играете на руку преступникам.

Во-вторых, банк вернул AEV деньги по собственной инициативе. Такие возвраты не гарантированы. Кемп нашел еще около восьмидесяти компаний, которые стали жертвами Zeus. Если их оборот не превышал одного миллиона фунтов, а количество штатных сотрудников было не более десяти, им возмещали убытки по специальной банковской программе. Но многие более крупные компании денег так и не получили.

В-третьих, ошибочно полагать, что никто не остается в накладе, просто потому, что отдельные жертвы получают компенсации. На самом деле в накладе оказываемся мы все – и по множеству причин. Например, в случае с AEV банку пришлось каким-то образом возместить недостающие сто тысяч фунтов, и вероятно, что он сделал это, подняв комиссии и сборы. Всякий раз, когда вы платите комиссию за перерасход, всякий раз, когда вы получаете плохие ставки при пользовании финансовым продуктом, всякий раз, когда вы двадцать минут ждете на линии, поскольку в банковском кол-центре недостаточно сотрудников, вы, по сути, совершаете небольшой платеж в пользу хакеров. Киберпреступность постепенно превращается в налог на онлайн-жизнь, а если вам претит, когда с вас взимают слишком много налогов, вам должна претить и она.

Между тем того, кто обокрал AEV, так и не поймали. В конце концов эти деньги просто пополнили казну растущей банды, использующей Zeus: этим людям достаточно было купить программу, научиться ею управлять, разослать ее потенциальным жертвам и подождать, пока кто-нибудь попадется на крючок.

Zeus был чрезвычайно популярен. Спустя два года со своего первого появления на радарах в 2007-м он оказался более чем на трех миллионах компьютеров только в США[40]. Ключ успеха вируса таился в неослабевающем рвении его создателя, который не переставал совершенствовать свой продукт. Он тесно общался со своими покупателями на таких подпольных форумах, как cardingworld, узнавал, какие у них возникают потребности, и удовлетворял запросы клиентов, выпуская обновленные версии вируса[41].

Нам известно об этом, поскольку одним из его потенциальных «клиентов» стал Дон Джексон. В период, когда Zeus распространялся по миру, подобно лесному пожару, Джексон работал исследователем кибербезопасности в американской компании Secure works. Она не