-
добавить в избранное
Что губит «крутых пацанов»
8 июня 2018
Для затравки – случай из российской реальности (хотя, думается, за рубежом такое случается не реже, чем у нас):
Как только дело передали в JSOC CERT, мы сразу начали сбор цифровых доказательств (копия жесткого диска, RAM и прочее), и тут на пути расследования встали два неприятных обстоятельства:
- ... У клиента не было удаленного доступа к гипервизорам, потому что по документам их списали в утиль 2 месяца назад.
Едем в ЦОД, чтобы снять данные на месте. Там нам показывают пустые стойки и сваленные в кучу размагниченные жесткие диски. Сотрудники ЦОД тоже отработали штатно: в целях информационной безопасности при демонтаже гипервизоров диски должны быть размагничены, что собственно и было сделано 2 месяца назад – это подтверждали даже документы с печатью.
А вы говорите: «призраков нет»... Но тему поимки сотрудников оставим на потом, а в этом выпуске поговорим о том, как ловят хакеров. Собственно, этой темы мы уже касались, но накопившиеся материалы позволяют вернуться к ней еще раз. Если кратко, то губят «крутых пацанов» три вещи: жадность, лень и пренебрежение защитой.
Жадность
В мае 2009 года они совместно с ФБР встретились в Москве с ФСБ и достигли договорённостей относительно обмена информацией, после чего прошёл буквально месяц, и Селезнёв исчез из Интернета, уничтожив все известные ФБР аккаунты. Он разместил этот пост в мае, а в июне исчез.
Естественно, Селезнёв не собирался уходить на покой – он просто сменил «ник» и на протяжении 2009-2012 пользовался «никами» Track2 и Bulba.
Практика показывает, что правоохранителям попадаются две категории злоумышленников: желающие легко заработать «ламеры» и те, кто не может остановиться, украв слишком много.
С первыми все понятно – их берут на месте преступления.
Как отметили в пресс-службе суда, несколько лет назад школьник всерьез увлекся информационными технологиями. Уже очень скоро он стал пробовать создавать различное программное обеспечение, а в 2017 году решил ещё на этом заработать. Полученные деньги планировал потратить на онлайн-игры и спортивные интернет-ставки.
Чтобы продать быстрее и выгоднее, он создал вредоносную программу, с помощью которой можно было получить удаленный доступ к чужим компьютерам, удалять, копировать, изменять имеющуюся на них информацию, а также нейтрализовать средства защиты. Покупатель этого продукта нашелся быстро.
Когда школьник получил 60 тысяч рублей, то пообещал, что эту программу он передаст покупателю по Интернету на утро следующего дня. Но не успел – в дверь старшеклассника вломились сотрудники Федеральной службы безопасности.
Вторые, как правило, ведут себя осторожнее, но поскольку они не могут остановиться в силу своей алчности, то рано или поздно оставляют следы.
Из ниоткуда взявшаяся репутация:
Новый пост Селезнёва, который принялся заново создавать свою империю на сайте carder.su, авторитетнейшем ресурсе кардеров, где Роман уже имел репутацию солидного продавца. Об этом свидетельствует пометка в верхней левой части сообщения под «ником». Это подсказало Секретной Службе, что это не просто какой-то новый хакер, доставший немного украденных карт из своей «заначки», он обладает весом и известностью среди пользователей данного ресурса. Администрация сайта даже предоставила ему монополию в этом деле, выбросив более мелких конкурентов Селезнёва, предлагавших аналогичный товар.
Лень
Она приводит к тому, что злоумышленники ведут все свои дела с одних и тех же адресов, не меняя их, а также используют слабые пароли.
Что касается адресов электронной почты, то они позволили нам идентифицировать Селезнёва. Он использовал один из адресов почтового сервиса Yahoo, на которые приходили различные уведомления. В ящике rubensamvelich@yahoo.com мы обнаружили письмо об успешной регистрации Романа Селезнёва в платежной системе PayPal 19 сентября 2009 года.
Он не подумал, что основой американских платёжных систем является сохранение копий подобных сообщений о регистрации пользователя, где имеются все его идентификационные данные. Здесь указан адрес его регистрации во Владивостоке, который послужил идентификацией особы во время проверки паспорта при аресте.
Ящик boookscafe не помог в расследовании современной инфраструктуры хакерской сети Селезнёва, однако помог установить его связь с пользователем, известным под «ником» nCux. Мы отследили множество связанных с этим вещей, включая заказ букета цветов для его жены. К нему прилагалась почтовая открытка со словами, что «ты самая красивая, но Ева всё-таки красивее тебя»! Ева – это имя его дочери, которое тоже было внесено в его паспорт, и послужило ещё одним доказательством идентификации при аресте. Мы также нашли его заказ для российского интернет-магазина, с домашним адресом во Владивостоке, размещенный с помощью этого ящика.
https://habr.com/company/ua-hosting/blog/354560
Джереми Хаммонд − настоящий профессионал, и он, безусловно, шифровал свой диск. Вот только пароль к диску был "Chewy 123”. Chewy − кличка его кошки. А поскольку агенты ФБР следили за ним, они, естественно, данную информацию знали и без особого труда подобрали пароль.
Как обычно происходит подбор пароля. Первым делом специалисты проверят, не использовали ли вы один из нескольких десятков миллионов распространенных паролей (например, QwErTy1234567890), затем сформируют список, куда в том числе войдут и ваш адрес, номера телефонов, фамилии, имена родственников, клички домашних животных, любимая команда, любимый певец, спортсмен, номер школы; после начнут проверять их, при помощи программы подставляя к ним различные данные. Вы сильно ошибаетесь, если думаете, что девичья фамилия вашей матери и 123456 на конце − это надежный пароль. Кстати, кроме этого специалисты постараются выяснить ваши пароли к другим ресурсам и если увидят, что к одному из ресурсов в качестве пароля использовалась цитата Овидия, они проверят все его цитаты с различными дополнениями.
Пренебрежение защитой
Нам повезло не только с арестом, но и с тем, что удалось получить множество доказательств, которые были при нём – ноутбук, iPhone, паспорт, путевые документы. Мы смогли связать имеющиеся в них данные с собранными на протяжении многих лет уликами, найти его письма на серверах, установить неопровержимую связь с «никами» nCux, Smaus, Ochko123. Существовал одинаковый шаблон, который он использовал в электронных письмах – одинаковые имена пользователя и пароли smaus, shmac, ochko. Угадайте, каким был пароль от его ноутбука. Ochko123!
Очевидно, что стойким такой пароль назвать нельзя.
Мало того – злоумышленники держат при себе и нужные для суда доказательства.
В его компьютере нашли около 1,7 миллиона номеров кредитных карт, и можно уже больше ничего не говорить, когда в вашем ноутбуке во время отдыха находится свыше 1,7 млн. краденых карт.
Еще один способ выйти на преступников – использование для этого ранее пойманных злоумышленников. Все мы знаем, что многие из них идут на сделку со следствием.
Этот чат 2007 года из расследования, проведенного департаментом Восточного района Нью-Йорк. Если вы помните, расследование началось ещё в 2002-2003 годах. Оно касалось хакерского сообщества Carder Planet и было очень успешным для Нью-Йоркского управления. Мистер Карранза был одним из задержанных по этому делу, и в его компьютере был обнаружен чат между ним и неким nCux 111, который сообщил ему свои настоящие данные – имя, фамилию, домашний адрес во Владивостоке, два почтовых ящика, в числе которых был указан и boookscafe@yahoo.com.
https://habr.com/company/ua-hosting/blog/354560
«Вот как все происходит: они ловят одного хакера, а затем заставляют его расставлять ловушки для его друзей», — рассказал один российский хакер, согласившийся дать интервью BuzzFeed News на условиях анонимности. Этот хакер, который недавно вышел из тюрьмы и сразу же после освобождения уехал из России, сказал, что, чтобы заставить хакеров работать на российскую разведку, на них оказывается мощное давление. «Они давят на вас. Это вовсе не вежливое предложение. Они могут постучать к вам в дверь или настучать по голове. И, если они не могут угрожать вам, они начинают угрожать вашей семье».
https://inosmi.ru/social/20170422/239198618.html
В ходе операции Trident Breach ФБР внедрило одного из своих агентов в мошенническую сеть именно в качестве дропа. Через российскую социальную сеть (все общение происходило на русском) агент нашел "работодателя", скрывавшегося под ником Jack Daniels. Jack Daniels, который впоследствии оказался 26-летним гражданином РФ Антоном Юферицыным, предложил следующую "работу": требовалось открыть в США несколько банковских счетов, получать на них переводы и обналичивать деньги. Под пристальным наблюдением ФБР все было выполнено, да так хорошо, что замаскированный агент даже сумел лично встретиться с Юферицыным. "Работодатель" вдруг решил воочию обсудить со "студентом" перспективу открытия бизнес-счета, на которой можно было бы переводить больше денег. Очевидно, в ходе этой первой встречи Jack Daniels ничего не заподозрил, так как вскоре на счет подставного "мула" поступил первый перевод в размере $9983. Через несколько дней Jack Daniels назначил агенту повторную встречу, на этот раз уже непосредственно для передачи денег. В ходе этого действа Юферицын и был благополучно арестован.
Ему предъявили обвинение в сговоре с целью мошенничества, свою вину Jack Daniels признал и даже дал показания против других участников группировки.
Использование «надежных» сервисов тоже может привести к фиаско:
Для расчетов с исполнителями использовалась платежная система "WebMoney", популярная в русскоязычном сегменте интернета. Данная система требует от пользователя идентификации и собирает о нем максимум информации, включая IP-адрес. Эта информация, которая хранится длительное время, и была выдана правоохранительным органам. Все вышесказанное − не повод отказываться от использования платежных систем, просто не питайте иллюзий, что это анонимно. Они хранят о вас даже больше, чем вы способны вообразить.
В апреле 2013 года Коди Кретсингер, член хакерской группировки LulzSec, известный под псевдонимом «Recursion», получил год тюрьмы с последующим домашним арестом и выполнением общественных работ сроком в 1000 часов. Человек, участвовавший в хищении конфиденциальной информации с серверов Sony Pictures, безусловно, думал о своей анонимности и использовал VPN. Но... Единственное, он не смог предусмотреть, что VPN-сервис собирал и хранил информацию о нем, и по запросу передал ее спецслужбам.
Антивирусная правДА! рекомендует
Каким бы параноиком ни был человек, рано или поздно он совершит ошибку – ведь их совершают все, даже те, кто учит других людей информационной безопасности. И этому есть много причин. Во-первых, постоянная забота о заметании следов держит человека в непрерывном стрессе, во-вторых, особые меры, направленные на обеспечение собственной безопасности и анонимности, крайне негативно сказываются на удобстве пользования компьютерными сервисами.
Можно использовать виртуальные машины, криптоконтейнеры, не оставляющие следов дистрибутивы операционных систем, динамические цепочки прокси-серверов со сквозным шифрованием, но однажды внимание притупится и злоумышленник закажет пиццу, используя для этого «засвеченный» в темных делах адрес электронной почты, или позвонит своей маме, а может быть, его подведет техника, и неправильно настроенный VPN-сервер на минуту выдаст его реальный IP-адрес.
Подпольные миллионеры
Однажды на конференции Интерпола голландский полицейский, расследующий хакерские атаки на банки, сказал: «В любой непонятной ситуации следуйте за деньгами». И это совершенно верное утверждение.
Чем бы сегодня ни занимались киберпреступники, конечной их целью практически всегда будут именно деньги. И зачастую они являются ниточкой, позволяющей в итоге распутать весь клубок.
Казалось бы, банк ограблен, похищенные миллионы осели на банковских счетах, можно успокоиться и радоваться жизни. Как бы не так! Кража денег – лишь самое начало пути, который должен привести злоумышленников к настоящему обогащению.
Для начала, нельзя так просто взять и перевести все средства на какой-то один счет. Банки быстро отреагируют на подобную подозрительную операцию и прекратят транзакции. Необходимо заранее подготовить цепочки счетов и электронных кошельков, зарегистрированных на подставных лиц. Причем желательно, чтобы часть из них находилась на территории других государств. Также нужно разбить похищенные средства на небольшие суммы и выводить на заранее подготовленные счета.
Однако деньги на банковских счетах все равно остаются в опасности, поэтому их нужно как можно быстрее обналичить, не попав при этом в поле зрения камер, установленных в банковских отделениях. Существует много способов обналичивания и отмывания незаконно полученных доходов, но большинство из них так или иначе связано с необходимостью найма большого количества людей, т. н. дропов, которые будут за определенный процент от суммы получать наличность в банкоматах.
Не будем излишне вдаваться в подробности работы этой «темной кухни» – скажем лишь, что реализовать такую схему в одиночку практически невозможно, а чем больше людей задействовано в каком-то предприятии, тем выше шанс, что кто-то из них ошибется и подставит всех остальных.
Даже выполнив все необходимые условия и получив заветные наличные (которых к этому моменту осталось не более двух третей от похищенной суммы), нельзя сразу же бросаться жить на широкую ногу, ведь это немедленно вызовет подозрения. Как видите, если разобраться, все выглядит уже не так привлекательно, как кажется на первый взгляд.
Иными словами, сколько веревочке ни виться...
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
cruise
07:44:01 2019-10-01
Денисенко Павел Андреевич
00:00:49 2018-08-07
gtsnik
09:47:27 2018-06-14
Ruslan
09:27:54 2018-06-12
МЕДВЕДЬ
12:38:11 2018-06-11
Любитель пляжного футбола
21:05:12 2018-06-10
Здесь примера ради были приведены лишь несколько ситуаций, когда мошенники могут проколоться. А таких ситуаций может быть бесчисленное количество.
Как говорят в Америке, "Shit happens". Если литературно перевести, то можно сказать, что "никто не застрахован от случайностей". Ибо просчитать всё, увы, невозможно.
Пaвeл
14:26:33 2018-06-10
Любитель пляжного футбола
11:47:48 2018-06-10
Любитель пляжного футбола
11:43:38 2018-06-10
Да и не уважаю тех "олимпийцев", что поехали в Корею. Я был против этого. Плюнули нам в душу, часть спортсменов унижалось, но всё равно их не допустили до участия, а тех, кто поехал, мурыжили как следует там. Впервые за всё время я не смотрел эту так называемую "Олимпиаду", а тех, кто поехал, считаю предателями. Равно как и "наших" спортивных чиновников да правительство, что допустили такую ситуацию. Молча сносили те плевки, что вадовцы отпускали нам, не заступались за спортсменов, только тявкали пару раз, как собачонки. Ну, те, из вада, видят, что нам любую гадость сделать можно, вот и сделали. Логично.
Простите, что не по теме выпуска.
Пaвeл
09:38:07 2018-06-10
Абсолютно согласен. Спорт давно уже превратился в бизнес. Спортсменов продают и покупают. Сами спортсмены борются за денежные призы и подарки, которые потом продают. Честь страны их давно уже не интересует.
zsergey
19:47:18 2018-06-09
achemolganskiy
14:27:11 2018-06-09
alex-diesel
13:25:49 2018-06-09
razgen
00:25:24 2018-06-09
== Лучше бы было, если бы он в составе сборной России выиграл ЧМ 2018!==
razgen
00:21:47 2018-06-09
== Сомневаюсь, что всех их поймают. Хакер хакеру рознь. Начиная с "любителей" школьного уровня и заканчивая "профессионалами" высокого уровня в соей кибердеятельности. Их знания довольно таки часто превосходят уровень познания в этой области специалистов соответсвующих спецслужб.
К основным преимуществам спецслужб в борьбе с хакерами являются:
возможность привлечения больших сил, с необходиомой численностью команды участвующей в расследовании и действующей одновременно по различным направленим, а хакерские группировки в своей основе обычно немногочисленны, а зачастую хакеры действуют в одиночку;
на стороне спецслужб возможность получения доступа к различным закрытым к доступу ресурсам;
наличие разнообразного дорогостоящего современного оборудования.
При всём при этом часто "высокопрофессиональных" хакеров подводит элементарная беспечность и самоуверенность.
А будь они всегда бдительны и осторожны, то шансы на их поимку мизерные. И думаю таких не пойманных и занимающихся противоправной деятельностью в настоящий момент немалое количество. В чём каждый раз убеждаешься читая ежемесячный обзор вирусной активности который публикует «Доктор Веб».
Любитель пляжного футбола
22:53:44 2018-06-08
Любитель пляжного футбола
22:46:00 2018-06-08
Как говорится, жадность фрайера губит. Ну, награбил, понял, что сыщики тобой заинтересовались, поменял ник. Но надо уметь вовремя остановиться. Так нет, снова решил заняться тем же ремеслом, просто всё мало. Исправляет ли таких тюрьма? Ещё и самоуверенным оказался, что несложные пароли установил.
Да хоть и наворуешь, но шиковать всё равно не придётся, будешь жить, как миллионер Корейко с чемоданчиком.
Попокатепетль
21:50:03 2018-06-08
L1t1um
21:48:19 2018-06-08
orw_mikle
21:17:15 2018-06-08
duduka
21:13:27 2018-06-08
Andromeda
21:13:04 2018-06-08
Шалтай Александр Болтай
20:59:54 2018-06-08
marisha-san
20:57:39 2018-06-08
Альфа
20:53:16 2018-06-08
vla_va
20:52:26 2018-06-08
Шалтай Александр Болтай
20:43:21 2018-06-08
Dvakota
20:36:18 2018-06-08
tigra
20:35:49 2018-06-08
В...а
20:03:44 2018-06-08
Сергей
20:01:28 2018-06-08
Геральт
19:11:51 2018-06-08
razgen
19:04:56 2018-06-08
https://habr.com/company/ua-hosting/blog/354560/
== Вот это абсолютно правильно, нельзя выдавать своих граждан другим странам. Потому что довольно таки часто обвинения в адрес российских граждан зарубежными спецслужбами бывают надуманными. ==
НинаК
18:02:22 2018-06-08
Дмитрий
17:17:04 2018-06-08
La folle
17:14:03 2018-06-08
razgen
17:11:51 2018-06-08
Так, украденные данные карт он продавал с 2002 года.
Секретная Служба CIS стала вести за ним слежку с 2005 по 2009 год.
В 2017 году состоялось вынесение приговора суда, то есть через 15 лет с начала известной активной деятельности Романа.
А по факту может быть его хакерская деятельность началась ранее, кто ж об этом может знать теперь.
Ну и когда такими темпами всех их переловить и осудить?
ek
16:38:30 2018-06-08
Damir
16:15:33 2018-06-08
Oleg
16:11:55 2018-06-08
razgen
16:10:26 2018-06-08
"В других штатах процесс по делу Романа ещё не начался, там ему может грозить пожизненное заключение по закону RICO."
https://habr.com/post/403425/
kva-kva
16:06:13 2018-06-08
razgen
15:58:31 2018-06-08
== В результате федеральный судья признал Селезнёва виновным по 38 пунктам обвинения и приговорил к 27 годам заключения.
https://habr.com/company/ua-hosting/blog/354560/ ==
achemolganskiy
15:44:33 2018-06-08
uaHwElAqIW
15:01:02 2018-06-08
Masha
14:40:53 2018-06-08
mk.insta
14:01:43 2018-06-08
razgen
14:01:09 2018-06-08
Увидел для себя, что в своей основе предложенный материал и советы, не что иное как советы по безопасности для любого пользователя интернета. Этим материалом может воспользоваться любой добропорядочный пользователь для своей защищённости от тех же самых хакеров.
razgen
13:48:09 2018-06-08
anatol
13:48:08 2018-06-08