Всяка година крадците от виртуалното пространство се добират до данни, оценявани на 114 млрд. щ. долара, твърдят експерти на фирмата за сигурност Symantec Corp. За сравнение, от всички банкови кражби в САЩ през 2010-а са отнети едва 43 млн. долара, информира ФБР. На световния пазар на кокаин пък се осъществяват сделки за 85 млрд. долара, сочат данните на ООН.
Проблемът с електронните кражби се задълбочава по-бързо, отколкото се подобрява ефективността при разкриването им, признава Тони Сейгър – главен оперативен офицер от Дирекцията за информационно застраховане на Националната агенция за сигурност, в която работят едни от най-добрите киберексперти на щатската администрация.
nbsp;
В средата на септември 2011-а европейски хакер с прякор Покси прониква в компютърната мрежа на щатска компания. Той твърди, че е откраднал номерата на 1400 кредитни карти, имената и адресите на собствениците на сметките и кодовете на всяка от тях. Без особени спънки Покси продал номерата по 3.50 щ. долара на карта чрез собствения си сайт CVV2s.in на купувачи от подземния свят, които били сигурни в качеството на стоката. Сайтът предлагал възможност за търсене по банков идентификационен номер, което означава, че потребителите можели да изберат карти от институции, известни със слабата си защита, споделил Покси. CVV2s.in дори давал възможност на клиентите да наберат номерата на сметките в реално време, за да са сигурни, че банката не е блокирала картите.
За да проникне в дълбините на този виртуален базар и да открие подробности за цените и стоките за продан, екип на агенция Блумбърг нюз с помощта на експерти по сигурност в тази област събрал информация от публичните интернет страници и форумите с ограничен достъп. Част от данните били получени чрез онлайн интервюта с участници в престъпните схеми под променена самоличност, които изнесли детайли от живота и криминалната си дейност. А находките на Блумбърг нюз са направо поразителни.
Евтин заразен софтуер
Някои от най-авангардните невидими системи, които крадат данни или позволяват на хакерите да командват компютъра мишена от разстояние, могат да се купят за няколко хиляди долара.
Продавачите от черния пазар ги тестват срещу последните антивирусни програми, осигуряват подслон на управляващите и контролиращи сървъри в държави, в които законите на САЩ нямат сила, или започват директна атака на търговски или други интернет страници, които обират часове след като са били пробити.
Едно подземно дружество
nbsp;
рекламирано неотдавна по израелския форум SecondZion, дори създало специален помощен езиков център за хакери, които трябвало да се представят за клиенти на щатска банка или да се свържат с говорещо немски муле, както се наричат преносителите на откраднатите пари. Хакерът давал сценария, а останалото било работа на операторите. Добър ден, дами и господа мошеници, поздравява сайтът и отбелязва, че всичките му преводачи са с огромен опит.
Разпространението на стоките и услугите по специален режим на достъп е организирано чрез хиляди незаконни сайтове за разговори в реално време (chat rooms) и форуми. Форумите са достъпни за широката публика и всеки начинаещ, който иска да изучи основните фази за атака на защитата на интернет страница, може да се включи във форуми като OpenSC и да поиска съвети. Другите са частни и достъпът до тях се охранява стриктно.
Най-сериозните криминално проявени лица се събират във
форуми като Maza
nbsp;
Членство в него се получава само със съгласието на всичките му старши участници и след осем дни чакане, твърдят анализатори, които се опитали да се внедрят там. Повечето сделки, осъществявани на форума, са големи и затова членовете използват системата на доверително съглашение (escrow). Пари в брой или в стоки се държат или от ползващ се с доверие старши хакер , или от лице, напуснало бизнеса. Просто защото повечето транзакции са за петцифрени суми, споделя агент по сигурността, успял да се инфилтрира в няколко подобни форума.
Сайтът на Покси, който вече не съществува
е по-скоро бутикова фирма в криминалния бизнес с индустриални измерения. Подобните на него независими оператори обикновено правят по няколко хиляди долара на месец за джобни към легалната си работа. Други обаче са членове на големи криминални организации. Някъде по средата между тези два вида е Hex Nightmare.
Когато човек върти бизнес с двадесетина киберкрадци , първото и единствено нещо, което се появява на онлайн мрежата ICQ (обичайната платформа на подземния свят от виртуалното пространство), е анимационна версия на момиче с дънки и блуза без ръкави. Лице, което я е следило няколко години, споделило за Блумбърг нюз, че Hex Nightmare успяла да направи забележителна кариера в подземния виртуален свят, усъвършенствала се бързо и се придвижила в едни от най-надеждните кръгове от висши киберкрадци .
Нейният приход от кражби във виртуалното пространство, които били предимно от кредитни карти и банкови документи, бил съизмерим с възнаграждението на корпоративни директори от по-ниско ниво (около 8 хил. щ. долара месечно към редовния й доход), споделила дамата чрез ICQ, запазвайки в тайна истинската си самоличност. Нейните приятели и познати дори не подозирали за страничните й занимания.
Макар че истинският пол и възраст на Hex Nightmare не могат да бъдат доказани, нейният бизнес модел и дейност отговарят на профила на типичен млад хакер, твърди специален агент Ерик Стром от ФБР, който ръководи елитен екип за борба с виртуални престъпления от Питсбърг. Той споделя, че тези пазарни пространства са като университети – има новаци, има и сезонни персонажи. Това е място и за срещи, и за социални контакти.
Преди да се прехвърли във виртуалния свят, Стром дълги години се борил с мафията. Най-сериозният успех на екипа му е през 2008-а, когато разбива елитния форум DarkMarket на английскоговорещи хакери и арестува 56 от членовете му.
Киберкартелите
Паричните суми, които печелят гангстерите от виртуалното пространство, особено от Източна Европа и бившия СССР, конкурират някои наркокартели , заяви през октомври 2011-а по време на конференция по сигурност в интернет Ричард Кларк – бивш специален съветник в тази област на президента Джордж Буш.
Изправени срещу изключително интелигентни картели, ФБР и европейските специални служби са създали нови виртуални екипи и започнали мащабни разследвания. През октомври 2010-а ФБР дава началото на една от най-амбициозните си операции срещу престъпленията в световната мрежа под кодовото наименование Trident Breach. Агентите разбили международен криминален кръг, отговорен за кражбата на 70 млн. щ. долара от онлайн банкови сметки на дребни бизнесмени и регионални власти в САЩ и Европа. Арести били осъществени в четири държави, включително и на 39 души в САЩ.
Следователите обаче нямат почти никакъв шанс срещу най-изкусните престъпници, базирани в държави убежища като Беларус, Румъния и Украйна. Повечето задържани при специализираната акция от октомври 2010-а били задгранични студенти, играещи ролята на мулета, които теглели пари от хакерските сметки в САЩ и ги връщали в родината си.
Пет души, описани като важни клечки, били задържани, за да дадат показания в Украйна. Всички те по-късно били освободени, без дори да бъдат изправени пред съда, съобщи ФБР през септември 2011-а.
През април 2011-а министерството на правосъдието на САЩ разтури една от най-големите известни на властите криминални мрежи (Coreflood) от заразени компютри, програмирани да изпращат автоматично данни от поразения хардуер към контролиран от хакери сървър. Макар че тогава ведомството определи разбиването на Coreflood като огромна победа, експертите не казват почти нищо за престъпниците, които са ръководили мрежата. Това били трима руснаци, които, по последни сведения, си живеели необезпокоявани в Ростов на Дон.
Руската диря и демонът Грибо
Най-именитият руски виртуален гангстер е демонът Грибо (Gribo-demon) – руски програмист на около 30 години според оценка на щатското следствие. Той е един от малкото киберпрестъпници в центъра на специална операция на ФБР.
Демонът Грибо е автор на SpyEye(в превод шпионско око) – заразен софтуер от висока класа, пуснат в края на 2009-а и модернизиран няколко пъти от тогава до сега. Веднъж инсталиран на компютъра, той може да се използва от хакерите за поемане на дистанционно управление на ключови функции. С помощта на SpyEyeвиртуалният крадец може да се включи в банкови операции в реално време, да прехвърли средства по сметки, които той или неговите мулета контролират и да компенсира баланса в края на транзакцията, така че да не личи липсата на каквото и да било. Като електронен трансфер операцията изглежда законна и всички банкови служители ще са убедени, че тя е осъществена от компютъра на техен клиент.
Базовата версия на SpyEye
пък струва около 2 хил. щ. долара.
Реалната новост в случая с демона Грибо е, че той не е запазил SpyEyeза лично ползване, както е прието в света на хакерите, където добрите инструменти са търговска тайна. Нещо повече – демонът Грибо е лицензирал SpyEyeпо подобие на Майкрософт и Оракъл като бизнес модел, който отваря виртуалните престъпления за масите.
Всъщност пионер на този модел е местен конкурент руснак, създал
п
опулярния заразен софтуер ZeuS (Зевс)
посочват експерти по сигурността. ZeuS се е появил за първи път през 2008-а и също като SpyEye осигурява на клиентите поддръжка и обслужване и предлага серия съблазнителни модули за подобряване на ефективността на допълнителна цена. Авторът на ZeuS, познат като Славик, изчезнал в края на 2010-а, но преди това предал на Грибо програмния код на ZeuS.
През септември 2011-а фирмата за киберсигурност Trend Micro от Токио публикува досие на руски виртуален крадец на възраст около 20 години, известен с прякора Войник (Soldie), чиято дейност в подземните форуми била следена от няколко месеца. С помощта на SpyEyeтой отмъкнал 3.2 млн. щ. долара от сметките на щатски клиенти на три банки само за шест месеца – по 17 хил. долара средно на ден.
Хакерът използвал информацията от банкови сметки от компютрите на над 25 хил. жертви, като в някои случаи наемал мрежи от инфектирани устройства на други крадци. Той създавал фалшиви чекове с банкови данни и ги изпращал по пощата на мулета на територията на САЩ. Те ги осребрявали и след това превеждали парите до Русия, без възможност да бъдат проследени. Войникът дори използвал откраднатите номера на кредитните карти за покупката на предплатени марки за пощенските пратки.
Най-обезпокоителният факт в случая е, че от хакера не се изисква никакъв компютърен опит – всичко, което му е необходимо, е списък на покупките.
Всъщност именно на този списък за пазаруване разчитат и агентите на ФБР, за да заловят Войника.
Агент Ерик Стром от ФБР и колегите му имат едно голямо преимущество: навикът на хакерите да използват уменията си един срещу друг. Всъщност краят на DarkMarket започнал с хакерска война.
Неотдавна елитният руски форум Maza също бил нападнат и базата му от данни – публикувана онлайн. В нея се съдържат списък с членовете му, електронни адреси, IP адреси и пароли – информация, която топкрадците от виртуалния свят се стремят с всякакви средства да държат в тайна.
Hex Nightmare е съгласна, че ФБР може и да постигне известен напредък в борбата със събратята й. А обяснението й за изчезването на Славик точно когато е бил на върха на славата е, че той просто е решил да се оттегли от бизнеса в най-добрия възможен момент.
Снимки – StolenCreditCards.jpeg, cvetanka.docи Virus.gif, cvetanka.doc
nbsp;
