G Data Software: куда утекают наши данные или как работает хакерская теневая экономика?

Процесс роста нелегальной экономики в последние годы можно показать на следующем примере: если когда-то хакеры хвастались, что могут фальсифицировать данные для получения бесплатного доступа к одному из многочисленных порносайтов, то в наше время они упиваются своей способностью украсть наборы данных огромного количества чужих кредитных карт при помощи так называемых ботнетов. Примечательно то, что на такие данные существует платежеспособный спрос. Об этих вопросах в данной статье размышляет управляющий продажами в ретейле G Data Software в России и СНГ Роман Карась.


Управляющий продажами в ретейле G Data Software в России и СНГ Роман Карась



Несмотря на то что черный рынок данных существовал, наверное, с момента появления самих данных, начиная с устных преданий и заканчивая современными цифровыми носителями, только после осознания того, что на этом можно сделать неплохие деньги, появилась целая нелегальная экономика. У этой экономики уже есть все признаки, присущие реальной экономической среде: производители, продавцы, поставщики услуг, «мошенники» и клиенты. Для многих зарабатывание денег подобными киберпреступлениями – всего лишь переходная ступень на пути к организованной преступности.

Давайте рассмотрим структуру черного рынка продажи персональных данных.

Форумы

После похищения данных мошенник выставляет их на продажу, которая осуществляется на различных дискуссионных форумах (так называемые борды, от англ. board), где главные обсуждаемые темы – это ботнеты, спам, кража данных и т. д. В зависимости от характера продаваемой информации принимаются различные меры по безопасности форумов: чем более незаконным является предмет обсуждения, тем более тщательные меры принимаются для доступа на них незарегистрированных пользователей. А в остальном формат таких форумов мало чем отличается от формата обычных форумов. На форуме часто есть приватный раздел, доступ к которому имеют лишь участники, входящие в состав команды форума. Для остальных участников открыты лишь общедоступные разделы форума, хотя даже там начинающие киберпреступники могут найти огромное количество полезной информации.

Например, можно поживиться инструкциями по созданию своего первого ботнета, а также сведениями о слабых местах в системе безопасности и о программах для удаленного администрирования компьютеров. Опытные участники часто предлагают новичкам помощь за определенную плату.



Скриншот нелегального форума



Владельцы таких форумов предоставляют участникам нелегального киберсообщества своеобразный рынок (часто называемый «черным рынком»), где те могут продавать и покупать товары и услуги. Продаваться может всё, что угодно, – от краденых данных кредитных карт до адресов электронной почты и ботнетов (сетей, состоящих из зараженных компьютеров). Например, можно купить или арендовать ботнет, а потом использовать его для проведения DDoS-атак.

Вдобавок почти на каждом таком форуме предлагается для скачивания так называемый варез (пиратское программное обеспечение) – что, впрочем, неудивительно.

Вопросы купли-продажи или обмена «товаром» участники этих сообществ также обсуждают напрямую посредством служб мгновенного обмена сообщениями, таких как MSN, ICQ, Yahoo Messenger и Jabber. Для первоначального контакта киберпреступники часто используют систему личных сообщений соответствующего форума. На этих форумах обычно используется обычное программное обеспечение, но иногда с некоторыми дополнениями.



Боты, выставленные на продажу на нелегальном форуме



Участники сообщества также общаются между собой по протоколу IRC (Internet Relay Chat). Зрелость технологии IRC и отсутствие «прослушки» делает ее идеальной платформой для нелегального сообщества. Чат («беседа», от англ. chat) посредством IRC ведется в режиме квазиреального времени. Благодаря этому в одном чат-руме (дискуссионной группе; от англ. chat room) могут участвовать тысячи пользователей.

Купля-продажа

Большинство сделок купли-продажи данных кредитных карт, а также учетных записей платежной системы PayPal и интернет-акуциона eBay заключается на «рынках», организованных в специальных разделах нелегальных форумов. Есть и форумы, где продаются исключительно краденые товары.

Как происходит продажа: кто-то предлагает определенный товар, например, наборы данных для доступа к пользовательским аккаунтам eBay. Продавец называет сумму за каждый аккаунт; если покупатель желает приобрести все предлагаемые аккаунты или большинство из них, то продавец может сделать оптовую скидку. Кроме того, продавец, как правило, указывает приемлемую для него форму оплаты.



Рынок с разными «товарами»



Существуют даже на вид вполне обычные интернет-магазины, где можно приобрести вредоносное программное обеспечение.

В наше время для этих целей можно приобрести готовый магазин, веб-хостинговый аккаунт, доменное имя – в общем, всё, что нужно. Благодаря такой услуге «всё в одном», продавцу остается только выложить краденые товары на виртуальную витрину своего магазина. Но такая услуга стоит недешево.

Любопытно, что некоторые такие магазины даже гарантируют качество предлагаемых товаров. Например, если приобретенные кредитки окажутся неработоспособными, то покупатель может потребовать возмещения стоимости покупки, и ему действительно вернут потраченные деньги! Это указывает на уровень профессионализма киберпреступников. Также заметно отношение между ворами и торговцами краденым товаром: если вор поставляет некачественный товар, это вредит и торговцу. В конечном счете страдает репутация этого торговца в нелегальном сообществе, из-за чего покупатели могут уйти к конкурентам.

Товары

В число товаров, предлагаемых в нелегальной экономике, входит всевозможная информация. Спросом пользуются данные для создания аккаунтов, кражи личности и осуществления другой деятельности, полезной и необходимой для нелегального сообщества. Ассортимент предлагаемых товаров достаточно широк – от личных данных (фамилия и имя, адрес и т. д.) до банковских реквизитов и дампов баз данных с сотнями и тысячами наборов пользовательских данных. Иногда такие данные бесплатно предлагаются участникам сообщества. Однако, как правило, такие бесплатные предложения ограничиваются базами данных других форумов, поскольку дампы баз данных интернет-магазинов могут стоить немалых денег.

Большим спросом также пользуются адреса так называемых магазинов для кардеров. Это магазины, где из-за недостаточно тщательной проверки данных кредитных карт можно оплачивать покупки через Интернет крадеными кредитками. Дело в том, что чем более полный набор данных требуется для совершения покупки, тем больше данных должен перехватить или купить мошенник. Поэтому чем полнее наборы данных кредитных карт, тем ценнее они для киберпреступника.

Вот список наиболее популярных предложений:

1) Прокси-серверы для заметания следов
Это очень популярная услуга для кибермошенников, которые взламывают сайты и после этого хотят остаться незамеченными. Интересно, что мошенники из Восточной Европы предпочитают пользоваться прокси-серверами в Германии, Нидерландах и Швейцарии, а немецкие киберпреступники покупают польские, российские и украинские серверы. На каждом форуме есть список бесплатных серверов, но зачастую скорость на них оставляет желать лучшего, поэтому для того, чтобы сделать все быстро, проще купить эту услугу. Тогда вместо IP-адреса пользователя останется IP сервера.

2) Различные инфекции для создания ботсетей
Это ПО служит для создания ботнетов или для извлечения прибыли от использования шпионских или рекламных программ. Одни хакеры предлагают доверчивым пользователям доступ к порнографическому контенту и используют эксплойты для заражения их компьютеров, другие рассылают вредоносные программы в виде вложений электронных писем или ссылок на файлообменники. Не желающие самостоятельно создавать сеть из зараженных компьютеров могут обратиться к поставщикам соответствующих услуг. Зараженные компьютеры можно «приобрести» оптом на нелегальных форумах.

3) Хостеры-укрыватели как поставщики вареза и детской порнографии
Хостеры-укрыватели предоставляют своим клиентам серверы, практически недоступные для правоохранительных органов других государств. Самые известные хостеры-укрыватели – это RBN (англ. Russian Business Network, т. е. «Русская бизнес-сеть») и американская фирма McColo. Там можно найти дроп-зоны для собираемых ботнетами данных, серверы для размещения нелегальных интернет-магазинов, управления ботнетами и др. Подобно добропорядочным фирмам, нелегалы предоставляют широкий ассортимент услуг – от мелких интернет-площадок до виртуальных серверов и даже кластеров, в зависимости от потребностей и финансовых возможностей клиента. Хостеры-укрыватели также предоставляют услуги по рассылке спама.

4) Спам
Конечно же, почти каждый знаком с одним из аспектов существования нелегальной экономики, а именно со спамом). Среди киберпреступников спам весьма популярен, и не в последнюю очередь из-за возможности заработать неплохие деньги. Рассылка 1 миллиона электронных писем обходится владельцу ботнета в 250-700 долларов. Даже если использовать ботнет скромных размеров, состоящий из 20 тыс. ботов (компьютеров-зомби), и отправлять с каждого бота по 2 письма в секунду, то вся рассылка займет всего 25 секунд. Списки электронных адресов, организованные по категориям, можно приобрести в интернет-магазинах на нелегальных форумах, а также у поставщиков услуг массовой рассылки.

5) Сервисы по организации DDoS-атаки
Очень популярен сервис по организации DDoS-атак, например, на сайты конкурента. Как правило, эти атаки производятся по коммерческим мотивам. Стоимость DDoS-атаки зависит от ее масштаба и длительности.

6) Фальшивые документы
Покупателям могут требоваться, например, поддельные водительские права или студенческие билеты, а также краденые личные сведения. Продаются и покупаются любые документы, которые можно использовать для того, чтобы скрыть свою личность или выдать себя за кого-то другого. Особенно развит рынок таких документов в России.

7) Кредитные карты
Мошенники обычно получают эти данные, используя фишинг или троянские программы, а также взламывая базы данных интернет-магазинов. Кроме того, данные кредитной карты могут быть незаметно скопированы при оплате товара или услуги законным владельцем. Для кардеров (преступников, использующих краденые или фальсифицированные данные кредиток; от англ. carder) важна полнота набора данных. Это означает, что расценки на такие данные зависят от того, получает ли покупатель только номер кредитки и дату ее истечения или полный комплект.

8) Оборудование для скимминга
Скимминг (от англ. skimming) не столь популярен у киберпреступников, поскольку подразумевает «работу» не в Интернете, а в реальном мире. При скимминге к банкомату прикрепляют устройство для считывания кредитных карт (картридер) и видеокамеру. В то время как картридер считывает данные с кредитки, камера запечатлевает ввод PIN-кода. Поскольку необходимо время от времени посещать банкоматы, вполне понятно нежелание многих участников нелегального сообщества заниматься этим преступным ремеслом. Кроме того, оборудование для скимминга стоит достаточно дорого – до нескольких тысяч евро. Скиммингом больше занимаются «гастролеры», приехавшие из-за рубежа; в эту деятельность нередко вовлечены восточно-европейские преступные группировки.

9) Фишинг
Всё более популярным в нелегальном киберсообществе становится фишинг, позволяющий получать практически любые сведения. Вы мошенник и вам нужны банковские реквизиты? Никаких проблем! Всё, что от вас требуется, это создать несколько поддельных веб-страниц, неотличимых по дизайну от страниц банковского сайта, и использовать ваш ботнет для рассылки огромного количества спама, содержащего ссылки на ваш фишинговый сайт. Затем можно откинуться на спинку кресла и подождать, пока люди, попавшиеся на удочку, сами отправят вам свои данные.

Как получить награбленное?

Какими бы разнообразными не были используемые средства и стратегии, все они в конечном счете предназначены для одной цели: заработать деньги для преступника. Ирония состоит в том, что сложнее всего получить уже «готовые» деньги. Для этого есть разные способы.

1) Можно приобрести товар в интернет-магазине, но вместо своего адреса указать адрес так называемой дроп-зоны (англ. drop zone, букв. «зона сброса»). Получает товар не сам преступник, а какой-нибудь посредник, который сразу же отправляет полученные товары на другой адрес. За это он получает щедрое вознаграждение, часто в виде товаров, которые преступник заказывает для него заодно с товарами для себя. Неудивительно, что дроп-зоны пользуются огромным спросом в преступном сообществе; спрос, как известно, рождает предложение – подобные услуги можно в изобилии найти на нелегальных сайтах.

2) Для перемещения денег киберпреступник также может использовать какое-нибудь интернет-казино. Например, на свой счет в таком казино можно положить деньги с краденого аккаунта PayPal. Разумеется, при регистрации указываются поддельные, а не свои личные данные. На нелегальных форумах можно почитать отзывы о том, какие казино или букмекерские сайты лучше подходят для подобных махинаций. Для таких целей предпочтительнее использовать краденые учетные записи, уже прошедшие проверку. Отсюда деньги можно направить дальше, причем лучше всего на так называемый банк-дроп (банковский счет, к которому преступник имеет доступ, но который оформлен на другое лицо). Эта операция считается одной из самых сложных, поэтому неудивительно, что инструкции по созданию анонимного банковского счета предлагаются в нелегальном сообществе по весьма высоким ценам.

3) Также часто используются комбинации вышеописанных приемов. Например, используется следующий способ: кибермошенник использует краденые данные кредиток для покупки товаров в интернет-магазине, а эти товары затем доставляются на упаковочный пункт, данные доступа к которому были украдены у какого-то ни о чем не догадывающегося третьего лица. Мошенник забирает полученные товары, продает их на интернет-аукционе, а затем переводит деньги на свой частный счет.

Выводы

Давным-давно прошли те времена, когда хакерское сообщество состояло в основном из юношей, использующих Интернет для забавы и удовлетворения своей технической любознательности. В самом деле, термин «хакер» уже нельзя применять по отношению к представителям нового поколения участников этой нелегальной экономики. Это самые настоящие преступники, обладающие техническими знаниями и навыками в определенной области. По сути они ничем не отличаются от «медвежатников» (взломщиков сейфов) и иных «обычных» преступников. Участниками нелегального сообщества движут корыстные мотивы, а обороты в этой «индустрии» исчисляются многими миллионами долларов. Деньги либо крадутся у жертв, либо зарабатываются на спаме. Участники сообщества нередко являются членами профессионально организованных преступных группировок, где каждому отведена своя роль.

Для обычных пользователей это означает, что обеспечение защиты персональных компьютеров от киберпреступников уже стало суровой необходимостью. Всякий, кто пользуется Интернетом, не защитив свой компьютер при помощи хорошего антивируса и файрволла (брандмауэра), рискует стать жертвой таких преступников. В наше время, когда интернет-аукционы и интернет-банкинг стали частью повседневной жизни, риски значительно возросли.

Прейскурант на товары и услуги в нелегальном сообществе

В таблицах приведены расценки на товары и услуги, предлагаемые на нелегальных форумах, по состоянию на июнь-июль 2010 года. Большой разброс в расценках обусловлен скидками и различиями в умении продавцов и покупателей торговаться.

Товар, мин. цена/макс. цена
Средство удаленного администрирования – цена зависит от функциональных возможностей
20,00 € – 100,00 €

Программа-вор – см. выше
5,00 € – 40,00 €

Фальшивое удостоверение личности или водительские права – цена зависит от качества подделки
50,00 € – 2500,00 €

Исполняемый файл бота – цена зависит от функциональных возможностей и от разработчика
20,00 € – 100,00 €

Исходный код бота
200,00 € – 800,00 €

Услуга, мин. цена/макс. цена
Веб-хостинг – цена зависит от набора услуг (от небольшой веб-площадки до множества серверов)
5,00 € – 9999,00 €

Шифрование вредоносных программ
10,00 € – 40,00 €

DDoS-атака, почасовая стоимость
10,00 € – 150,00 €

Боты, установленные на 1000 компьютеров, – цена зависит от географического местоположения компьютеров
50,00 € – 250,00 €

Рассылка 1 миллиона электронных писем на определенные адреса (например, особо ценятся адреса любителей игр)
300,00 € – 800,00 €

Данные, мин. цена/макс. цена
База данных – цена зависит от типа содержимого и степени наполнения; покупается вся база данных
10,00 € – 250,00 €

Данные кредитных карт – цена зависит от полноты наборов данных. (Номера кредиток вместе с датами их истечения стоят недорого; чем полнее наборы данных, тем выше цена.)
2,00 € – 300,00 €

1 миллион адресов электронной почты – проверенные адреса и адреса специальных групп стоят дороже
30,00 € – 250,00 €

Аккаунты (учетные записи), мин. цена/макс. цена
Учетная запись Steam – цена зависит от количества установленных игр
2,00 € – 50,00 €

Учетная запись игры World of Warcraft – цена зависит от полноты данных и от уровня персонажей
5,00 € – 30,00 €

Учетная запись упаковочного пункта – цена зависит от полноты данных и от того, поддельные или краденые эти данные
50,00 € – 150,00 €

Учетная запись PayPal – чем полнее набор данных, тем выше цена
1,00 € – 25,00 €

Учетная запись Click & Buy – см. выше
10,00 € – 35,00 €
Учетная запись электронной почты с частными письмами – цена зависит от продавца
1,00 € – 5,00 €

 

Контакты компании G Data Software
Gdatasoftware.ru

 

 

Автор: Александр Абрамов.

Тематики: Маркетинг, Web, Безопасность

Ключевые слова: информационная безопасность, персональные данные, защита персональных данных, G Data Software