Статьи

Бабло на малварі: як і скільки заробляють наші кримінальні колеги?

  1. Зміст статті Абсолютно ясно, що на малварном бізнесі некислі наварюють цілі групи товаришів. Неясно...
  2. налагоджений механізм
  3. How To Not To Do
  4. масштаб трагедії

Зміст статті

Абсолютно ясно, що на малварном бізнесі некислі наварюють цілі групи товаришів. Неясно тільки, в яких саме масштабах вони наварюють, і як все це відбувається. Сьогодні ми проллємо світло на деякі кримінальні схеми, які використовуються в бізнесі, пов'язаному з малваре. Зрозуміло, виключно в освітніх цілях :).

На жаль, часи, коли хакери створювали свої творіння і зламували сайти або програми тільки заради того, щоб насолити розробнику або довести друзям, що вони можуть проникнути в Пентагон, вже пройшли. Звичайно, згадуючи недавні події з Anonymous і LulzSec, а також читаючи ресурси дефейсеров, можна сказати, що "ідейні" ще не перевелися, але здебільшого вся кіберкрімінальная активність, яка ведеться зараз в інтернеті, спрямована тільки на одне - заробляння грошей. Почалося все це на зорі поширення інтернет-банкінгу і платіжних систем, коли реальні гроші стало можливим перехопити через Мережу і потім перевести в готівку. У наші ж часи кіберзлочинці крадуть буквально все і, як і звичайний кримінал, мають чітко розписані ролі, сфери впливу, ієрархію і структуру, про що і піде мова далі.

еволюція грабежу

На початку 2000-х рр. банки тільки починали думати про свою онлайнової безпеки, а хакери - про те, як багато грошей звідти можна відвести. Несвідомі одинаки знаходили уразливості в системах захисту фінансових онлайн-операцій того чи іншого банку, забирали базу карток і виставляли її на продаж у відкритому вигляді. На не дуже-то засекречених форумах можна було спокійно прочитати імена тих нещасних, у яких забрали банківські реквізити, і дізнатися інші інтимні подробиці. Професійні кардери або просто дурники радісно скуповували такого роду інформацію, швиденько друкували потрібний пластик (тобто ліву картку з правильною інформацією про гроші) і йшли запасатися в найближчий банк. Більш розумні пластика не друкували, а закуповувалися в онлайн-магазинах.

Однак халяву почали швидко прикривати: стало з'являтися все більше антивірусних рішень, які стали потрапляти не тільки до користувачів, але в і банки. А останні, крім того, стали посилювати доступ до своїх даних, тобто зламати банк стало набагато складніше. При цьому поліція почала звертати все більше уваги на подібні кримінальні активності, що призвело до того, що "закуп по повній" на черговому хакерському форумі міг обернутися зустріччю з представниками закону, що грають роль продавців. На цій хвилі поступово став формуватися більш розвинений ринок, зі своєю специфікою і спеціалізацією на банківських троянах.

Звичайно, нікуди не поділися початкові підходи типу скіммінгу, тупого злому банкоматів та іншого, але все це, по суті, грубо і неакуратно, не кажучи вже про те, що клопітно, як швидко зрозуміли хлопці, які знайшли 1001 способ відвести всю потрібну інформацію з компа користувача. Згідно зі статистикою від "Лабораторії Касперського", яка уважно вивчає любителів "поламати" банки, за 2010 р її аналітики додали більше 60 тис. Сигнатур з вердиктом Trojan-Spy. У наявності той факт, що малварі пишуть все більше і більше, і вищезгаданий вердикт превалює.

Від чого? Тому, що зловмисники зрозуміли, що нехай краще збирається вся інформація, а там подивимося, як нею скористатися. Збирати тільки банківські дані через банальний фішинг, електронну кореспонденцію від банків в ключі "ми тут вирішили оновитися, підтвердіть дані рахунки" та інші лохотрони в якийсь момент стало не модно. Звичайно, купа кіберзлочинців продовжують це робити, але ефективність підходу не настільки висока. Результативні удари виходять рідко, при цьому розумні негідники побачили, як можна зробити більше і краще.

налагоджений механізм

Таким чином, в бізнес стали потихеньку приходити індивідууми з мізками, які були готові рулити грошовими потоками, але не вміли писати малваре. Зокрема, під їх впливом ринок став спеціалізуватися, поділившись на різні групи, про які ми далі поговоримо.

Почнемо з творців малварі - тих людей, які краще за всіх тримають руку на пульсі. Вся їх діяльність нагадує виробничий цикл будь-якого програмного продукту: вивчення ринку, створення якісного функціоналу, боротьба з конкурентами. Ті, хто стоїть за створенням експлоїт-паків і суворою малварі типу SpyEye і Zeus'а, ретельно документують зміни, швиденько вносять корективи в код, як тільки їх починає детектувати той чи інший антивірусний вендор, навіть додають в свою малваре міні-антивіруси, витираючи тим самим найбільш злісних конкурентів. Причому роблять вони це не гірше справжнього антивіруса. Також варто згадати, що хакери-альтруїсти зламують дорогі творіння своїх побратимів і викладають на форуми просто так. Той же Zeus, SpyEye та інші відомі у вузьких колах тулзи можна спокійно скачати в крякнутий вигляді. Так що творцям таких троянів доводиться боротися ще і з таким видом нападок, весь час покращуючи свої творіння і вигадуючи нові засоби захисту. На думку спадає аналогія з китайцями, які нещадно копіюють айфони і інші модні аксесуари, тим самим підриваючи бізнес великих і успішних контор.

Очевидно, що такі програмісти стоять набагато більше типового аналітика в антивірусної компанії, причому в прямому сенсі. Згідно з розповідями нехороших хлопців, які створюють реальні трояни і експлоїт-паки, їх тижневий заробіток більше, ніж місячний у типового топ-менеджера в західній компанії. Такі люди ніколи не перейдуть працювати в нормальну компанію навіть керівниками розробки: хіба що тільки після того, як стануть мільйонерами. І природно, з тим щоб не світитися в подальшому. Генії-програмісти або пишуть малваре на замовлення, або створюють щось круте самі з нуля і починають продавати. Роблять вони це як і раніше через тематичні форуми, тільки потрапити на них тепер трохи складніше. Як правідератори форумів часто також грають роль гарантів, тобто посередників, які відповідають за те, що, замовивши малваре у Васі, ти не просто викинеш гроші, а отримаєш те, що обіцяє Вася.

Окремі індивідууми займаються створенням ботнетів. Їх можна орендувати для DdoS'а, для подальшого розвитку і збору даних з користувачів, для подальшого продажу, для організації анонімних проксі-серверів і т. П. Окремо заточені товариші займаються пошуком вразливостей в усьому і вся. Це найбезпечніша робота. Ти напевно знаєш легітимні ресурси, які пропонують тобі ділитися знайденими уразливими за безкоштовно або за дрібну грошики заради миру на землі. Але не всі ж такі альтруїсти, особливо за умови того, що творці експлоїт-паків можуть заплатити за знайдену уразливість кілька десятків тисяч доларів, якщо мова йде про 0day-знахідку в найпопулярнішою версією Windows'а.

Нарешті, ми дісталися до тих, хто, власне, замовляє весь банкет - злочинців, які фільтрують тонни вкраденої інформації і виставляють її на продаж в спеціалізованих магазинах.

Це дилери, які пропонують кінцевим споживачам - іншим злочинцям, - доступ до живих грошей. Ну тобто практично живим. Отримати доступ до таких магазинах складно: треба бути в тусовці, регулярно закуповуватися на великі суми. Правда, і наданий сервіс на висоті: купити можна все що завгодно. Ми вже побіжно згадали про те, що крадуть все: номери банківських карт з пинами і банківські рахунки - товар, яким нікого не здивувати і який в світлі активізації кіберполіції досить небезпечний для переведення в готівку. Правда, є можливість замовити картку певного банку, визначеного типу, потрібної країни, що в ряді випадків призводить до сильного зниження градуса небезпеки (ти, наприклад, чув про кіберполіції Лаосу?). На замовлення продавець дістане все що завгодно. Ціни демократичні - 10% від доступної готівки.

Крім того, можна купити будь-які платні акаунти - на рапідшару, в ЖЖ, скайп і інше. На віртуальних полицях лежать вкрадені ліцензії для софта, включаючи, що найсмішніше, антивіруси, паролі і логіни до FTP-серверів (буде де похостіть командний центр ботнету). Останнім часом популярність набирає продаж особистості, тобто вкрадених даних про паспорти, прописку, місце проживання, номери страховок тощо. Ти не повіриш, але величезне число тупих юзерів сканують паспорт, кредитки, пенсійне страхування, ІПН та інші документи і залишають ці скани на гвинті. А потім реальні злочинці, отримавши скани, викачані тим же Zeus'ом, радісно роблять з цього господарства клони, звичайно ж, з фоткою замовника. Для ряду країн їх можна навіть зарегиться в базі поліції!

Новий паспорт, та ще з безкоштовною доставкою
Новий паспорт, та ще з безкоштовною доставкою ?! В інеті такого добра вистачає

Так що стати громадянином Америки (ну або принаймні в'їхати туди на ПМЖ) можна за якісь 1000 доларів. При цьому зрозуміло, як зручно все це в рамках масштабної операції: якийсь Вася під ім'ям Джона Сміта в'їжджає в країну, веде мільйон баксів зі зламаного рахунку, на який ці гроші перевели з іншого рахунку, і спокійно їде додому. Поліція приїжджає до ні в чому не винному лошка Сміту, паспорт якого вкрали і аккаунт якого був зламаний, і починає ставити його в дуже незручне становище. При цьому знайти кінці Васі практично нереально.

Загалом, як ти вже зрозумів, все зручно і по ролям. Якщо ти негідник і тобі хочеться випробувати долю, ти можеш вибрати ще й професію мула, і сам купити крадених карток, і піти знімати готівку або купити на них 100 айфонів і замовити їх собі додому. Без мулів, власне, нікуди, в тому випадку якщо злочинець хоче отримати реальні гроші. Для того щоб тобі стало зрозуміло, що всі ці гвинтики утворюють налагоджений механізм, давай розглянемо шлях до легких грошей від початку до кінця, так, як якщо б якийсь зловмисник вирішив невимушено збагатитися, скориставшись свободою і благами інтернету.

How To Not To Do

Відразу обмовимося, що все розписано приблизно, з певними припущеннями і в рамках вузького сценарію. Знавці справи (а нас напевно полістивают і такі) можуть посперечатися і знайти купу неточностей, але повторюся: головний сенс - дати зрозуміти, як все досить легко і прибутково.

Для початку кіберзлочинці вибирають жертву: чи одну, або дуже багато. Від цього залежить, як вони збираються збагачуватися: швидко за один раз або поступово за рахунок великого числа користувачів. Як наслідок, змінюється і тип атаки: таргетована або килимове бомбометання. У разі таргетированной атаки інформація збирається, як правило, з соціальних мереж, при масовому підході це не настільки важливо. Далі треба вирішити технічні моменти, тобто як буде здобута інформація від невдалого користувача. Для початку береться так званий куленепробивний хостинг.

В інтернеті на тематичних форумах пропозицій хоч відбавляй. Для розуміння: хостера все одно, що ви там зберігаєте на серверах, при цьому він не буде здавати вас поліції. Щоб у нього самого не було проблем з законом, сервери розміщуються в країнах з теплим, приємним кліматом, великою кількістю диких мавп і законами, які не вітають вторгнення іноземних спецслужб на суверенну територію країни і погано описують, що ж таке кібепреступность, крадіжка грошиків і інших приємних речей через інтернет. Чи варто говорити, що поліція таких країн, як правило, не особливо говорить по-англійськи і не особливо користується електронною поштою.

Куленепробивний (абузоустойчівий) хостинг - найдорожча річ в типовому кримінальному заході. В середньому він обійдеться в 500 американських доларів в місяць. Можна дорожче, можна дешевше. В цілому на успішний збір інформації, розтягнутий у часі, треба закладати кілька тисяч доларів.

У Китаї, як бачиш, можна хостити все що завгодно
У Китаї, як бачиш, можна хостити все що завгодно. І при цьому дуже дешево

Далі в разі масової атаки (а вони більш поширені в цілях наживи і при небажанні потім довго сидіти в тюрмі) береться який-небудь свіженький експлоїт-пак (він же "краймвар-пак"), який ставиться на цей самий хостинг. Можна навіть відразу купити все готове, встановлене. Немає тільки пейлоада, тобто малварі, за допомогою якої і витечуть дані. Експлоїт-паки, до речі, можна дістати навіть безкоштовно. Але якщо ти хочеш, щоб у них були свіжі уразливості, а це досить часто запорука успіху, то доведеться заплатити. Близько 1300-1500 баксів.

Завантажити SpyEye може будь-хто, хто в змозі забити пошуковий запит в Google
Завантажити SpyEye може будь-хто, хто в змозі забити пошуковий запит в Google

У кіберзлочинці зовсім дебілів не беруть, так що очевидно, що зловмисник розуміє, що на компі жертви варто який-небудь антивірус. Тому, розробляючи малваре і кріптуя вже наявну, підступний гадениш повинен прогнати результат через антивірусний мультісканер. Знайти таке добро в інтернеті в різних реалізаціях не складає труднощів: це може бути хмарне рішення, може бути локальний софт, можна заплатити за це грошей, а можна скористатися вже заздалегідь вкраденим (Нагадаємо, що той же вірустотал - ресурс, дані з якого витікають в антивірусні компанії, тому приватну малваре на ньому не тісто. - Прим. ред.). Якщо хочеться гарантій, то зазвичай платять близько 500 баксів. Щоб написати або закріптовать унікальну малваре, доведеться викласти ще баксів 800. Зате, як це не сумно для виробників антивірусів, жоден з них її, швидше за все, не зловить протягом як мінімум кількох днів, а цього достатньо, щоб викачати з жертв все найцікавіше.

Отже, малваре написана, хостинг, куди планується збирати дані про кредитки і банківських рахунках, є, залишається питання поширення. Немає проблем! Орендуємо ботнет. Ціни залежать від того, чи відомий він уже виробникам антивірусних рішень чи ні, які ти отримаєш над ним права, скільки машин гарантовано в онлайні та інше. Орієнтування для початку - всього 200 баксів, але це, звичайно, мінімум.

Дешевий ботнет
Дешевий ботнет! Нікому не треба?

Якщо кіберзлочинець особливо розумний, то після покупки ботнету він його модифікує - крипти протокол передачі даних, змінює щось ще. Таким чином він убезпечить себе від кидалова з боку продавця ботнету. Це буде коштувати ще кілька сотень баксів у вже підгодованих програмістів. Ботнет ув'язується з експлоїт-паком, і понеслася: дані починають валитися на злочинний сервер.

Постає найголовніше питання: як отримати гроші? Очевидно, що переклад на зламані рахунку нічого не дає: це все елементарно простежується. Тому злочинці воліють знімати гроші через мулів. Їх з самого початку розбійного плану починають шукати по інету, як правило, під виглядом рекламки: "Хочеш 1000 доларів на годину? Тикати в банер!". Напевно ти бачив купу таких банерів в інтернеті, причому найчастіше на цілком собі респектабельних сайтах.

Хтось із грошових віслюків розуміє, що робить, хтось - ні. Адже якщо злочинці підходять до справи з розумом, вони становлять трудовий договір, за яким працівник просто повинен знімати гроші в банках. Коли потім мула ловлять - а ловлять їх майже завжди, - ті можуть піти в нєсознанку і говорити: "Ну дозвольте, я ж працював! Я і не знав, що це незаконно! Ось у мене договір! Що ви говорите? Гроші крали ?! ось сволочі! я готовий допомогти вам, хлопці! я з вами! покараємо злодіїв, тільки ось я про них нічого не знаю, все спілкування було по електронній пошті ". Така ситуація дуже типова, наприклад, в Латинській Америці. Там взагалі людей прийнято після першого разу прощати: ну не хотів людина поганого, біс поплутав. Що ж, відразу в тюрму садити ?! Мулів шукають в тому банку, акаунти якого чистять. Або можуть попросити відкрити аккаунт. При цьому мул отримує 10-15% від суми, що знімається. Що він робить потім? Відправляє гроші будь-якою платіжною системою типу Western Union Саші Кузнєцову (це, як не дивно, найпоширеніші ім'я та прізвище для Росії) зі своєї гнилої Америки в якусь країну, що розвивається на кшталт Росії. Шукати потім Сашу - заняття марне, не кажучи вже про те, що Саша може купити лівий паспорт в переході і отримати всі на нього.

Що наш незаконослухняним Сашок має на виході? Все залежить від його жадібності. Якщо у тебе добре з математикою, ти вже порахував, що початкові вкладення обійдуться мінімум в 6000-7000 доларів. Припустимо, ботнет підгорнути 1000 користувачів, хоча в реальності їх, звичайно, буде більше. Ті ж американці хоч пару тисяч зелених на картці, та мають. Множимо користувачів на гроші, забираємо 10-15% на мулів, отримуємо нехай навіть 500 000 доларів готівкою. Покриває 7000? Мені здається, цілком. При цьому, повторимося, не варто забувати, що кіберзлочинці, який вирішив все це провернути, не треба бути ні кодером, ні адміном, взагалі не треба володіти якимись реальними технічними знаннями.

масштаб трагедії

Як результат - не дивно, чому ЗМІ по всьому світу, а в Амеріці зокрема, дуже регулярно рапортують про багатомільйонні збитки з боку приватних Користувачів и компаний. Одна только Старенька Англія відрапортувала, что збиток від кіберзлочінності в стране оцінюється в 27 млрд фунтів на рік. Чому так відбувається? Пробують багато, а ловлять НЕ ВСІХ. Закони більшості стран знаходяться в такому стані, что по ним засудіті злочинця можна або умовно, або Всього на пару років. При цьому ніхто не вимагає повернути всіх вкрадених грошей, тому що ніхто не знає, скільки їх взагалі було вкрадено. Морально і етично вчинити злочин в інтернеті простіше: ти не бачиш жертву в обличчя, при цьому багато хакерів люблять грати роль Робін Гудів - карати, скажімо, багатих америкосів на жадібність і принципово, наприклад, не атакувати жителів рідної країни (Хм ... а я чув , що це тому, що в рідній країні за це іноді відрізають пальці. - Прим. ред.). Бракує і світової кіберполіції - якщо в останні роки вона хоч десь стала з'являтися, то над взаємодією підрозділів по всьому світу між собою ще працювати і працювати. При цьому частина питань не буде вирішена ніколи через загальнополітичних перешкод: як відомо з хорошого фільму "Після прочитання спалити", у США немає екстрадиції з Венесуелою.

Від чого?
И, наприклад, чув про кіберполіції Лаосу?
Новий паспорт, та ще з безкоштовною доставкою ?
Нікому не треба?
Постає найголовніше питання: як отримати гроші?
Їх з самого початку розбійного плану починають шукати по інету, як правило, під виглядом рекламки: "Хочеш 1000 доларів на годину?
Що ви говорите?
Гроші крали ?
Що ж, відразу в тюрму садити ?
Що він робить потім?

Новости