Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Что губит «крутых пацанов»

Прочитали: 2419 Комментариев: 95 Рейтинг: 94

Для затравки – случай из российской реальности (хотя, думается, за рубежом такое случается не реже, чем у нас):

Как только дело передали в JSOC CERT, мы сразу начали сбор цифровых доказательств (копия жесткого диска, RAM и прочее), и тут на пути расследования встали два неприятных обстоятельства:

  1. ... У клиента не было удаленного доступа к гипервизорам, потому что по документам их списали в утиль 2 месяца назад.

Едем в ЦОД, чтобы снять данные на месте. Там нам показывают пустые стойки и сваленные в кучу размагниченные жесткие диски. Сотрудники ЦОД тоже отработали штатно: в целях информационной безопасности при демонтаже гипервизоров диски должны быть размагничены, что собственно и было сделано 2 месяца назад – это подтверждали даже документы с печатью.

А вы говорите: «призраков нет»... Но тему поимки сотрудников оставим на потом, а в этом выпуске поговорим о том, как ловят хакеров. Собственно, этой темы мы уже касались, но накопившиеся материалы позволяют вернуться к ней еще раз. Если кратко, то губят «крутых пацанов» три вещи: жадность, лень и пренебрежение защитой.

Жадность

В мае 2009 года они совместно с ФБР встретились в Москве с ФСБ и достигли договорённостей относительно обмена информацией, после чего прошёл буквально месяц, и Селезнёв исчез из Интернета, уничтожив все известные ФБР аккаунты. Он разместил этот пост в мае, а в июне исчез.

Естественно, Селезнёв не собирался уходить на покой – он просто сменил «ник» и на протяжении 2009-2012 пользовался «никами» Track2 и Bulba.

https://habr.com/company/ua-hosting/blog/354560

Практика показывает, что правоохранителям попадаются две категории злоумышленников: желающие легко заработать «ламеры» и те, кто не может остановиться, украв слишком много.

С первыми все понятно – их берут на месте преступления.

Как отметили в пресс-службе суда, несколько лет назад школьник всерьез увлекся информационными технологиями. Уже очень скоро он стал пробовать создавать различное программное обеспечение, а в 2017 году решил ещё на этом заработать. Полученные деньги планировал потратить на онлайн-игры и спортивные интернет-ставки.

Чтобы продать быстрее и выгоднее, он создал вредоносную программу, с помощью которой можно было получить удаленный доступ к чужим компьютерам, удалять, копировать, изменять имеющуюся на них информацию, а также нейтрализовать средства защиты. Покупатель этого продукта нашелся быстро.

Когда школьник получил 60 тысяч рублей, то пообещал, что эту программу он передаст покупателю по Интернету на утро следующего дня. Но не успел – в дверь старшеклассника вломились сотрудники Федеральной службы безопасности.

https://56orb.ru/news/society/26-04-2018/starsheklassnik-abdulinskoy-shkoly-prodal-virusnuyu-programmu-za-bitkoiny

Вторые, как правило, ведут себя осторожнее, но поскольку они не могут остановиться в силу своей алчности, то рано или поздно оставляют следы.

Из ниоткуда взявшаяся репутация:

Новый пост Селезнёва, который принялся заново создавать свою империю на сайте carder.su, авторитетнейшем ресурсе кардеров, где Роман уже имел репутацию солидного продавца. Об этом свидетельствует пометка в верхней левой части сообщения под «ником». Это подсказало Секретной Службе, что это не просто какой-то новый хакер, доставший немного украденных карт из своей «заначки», он обладает весом и известностью среди пользователей данного ресурса. Администрация сайта даже предоставила ему монополию в этом деле, выбросив более мелких конкурентов Селезнёва, предлагавших аналогичный товар.

https://habr.com/company/ua-hosting/blog/354560

Лень

Она приводит к тому, что злоумышленники ведут все свои дела с одних и тех же адресов, не меняя их, а также используют слабые пароли.

Что касается адресов электронной почты, то они позволили нам идентифицировать Селезнёва. Он использовал один из адресов почтового сервиса Yahoo, на которые приходили различные уведомления. В ящике rubensamvelich@yahoo.com мы обнаружили письмо об успешной регистрации Романа Селезнёва в платежной системе PayPal 19 сентября 2009 года.

#drweb

Он не подумал, что основой американских платёжных систем является сохранение копий подобных сообщений о регистрации пользователя, где имеются все его идентификационные данные. Здесь указан адрес его регистрации во Владивостоке, который послужил идентификацией особы во время проверки паспорта при аресте.

Ящик boookscafe не помог в расследовании современной инфраструктуры хакерской сети Селезнёва, однако помог установить его связь с пользователем, известным под «ником» nCux. Мы отследили множество связанных с этим вещей, включая заказ букета цветов для его жены. К нему прилагалась почтовая открытка со словами, что «ты самая красивая, но Ева всё-таки красивее тебя»! Ева – это имя его дочери, которое тоже было внесено в его паспорт, и послужило ещё одним доказательством идентификации при аресте. Мы также нашли его заказ для российского интернет-магазина, с домашним адресом во Владивостоке, размещенный с помощью этого ящика.

https://habr.com/company/ua-hosting/blog/354560

Джереми Хаммонд − настоящий профессионал, и он, безусловно, шифровал свой диск. Вот только пароль к диску был "Chewy 123”. Chewy − кличка его кошки. А поскольку агенты ФБР следили за ним, они, естественно, данную информацию знали и без особого труда подобрали пароль.

Как обычно происходит подбор пароля. Первым делом специалисты проверят, не использовали ли вы один из нескольких десятков миллионов распространенных паролей (например, QwErTy1234567890), затем сформируют список, куда в том числе войдут и ваш адрес, номера телефонов, фамилии, имена родственников, клички домашних животных, любимая команда, любимый певец, спортсмен, номер школы; после начнут проверять их, при помощи программы подставляя к ним различные данные. Вы сильно ошибаетесь, если думаете, что девичья фамилия вашей матери и 123456 на конце − это надежный пароль. Кстати, кроме этого специалисты постараются выяснить ваши пароли к другим ресурсам и если увидят, что к одному из ресурсов в качестве пароля использовалась цитата Овидия, они проверят все его цитаты с различными дополнениями.

https://book.cyberyozh.com/ru/kak-lovyat-hakerov

Пренебрежение защитой

Нам повезло не только с арестом, но и с тем, что удалось получить множество доказательств, которые были при нём – ноутбук, iPhone, паспорт, путевые документы. Мы смогли связать имеющиеся в них данные с собранными на протяжении многих лет уликами, найти его письма на серверах, установить неопровержимую связь с «никами» nCux, Smaus, Ochko123. Существовал одинаковый шаблон, который он использовал в электронных письмах – одинаковые имена пользователя и пароли smaus, shmac, ochko. Угадайте, каким был пароль от его ноутбука. Ochko123!

https://habr.com/company/ua-hosting/blog/354560

Очевидно, что стойким такой пароль назвать нельзя.

Мало того – злоумышленники держат при себе и нужные для суда доказательства.

В его компьютере нашли около 1,7 миллиона номеров кредитных карт, и можно уже больше ничего не говорить, когда в вашем ноутбуке во время отдыха находится свыше 1,7 млн. краденых карт.

Еще один способ выйти на преступников – использование для этого ранее пойманных злоумышленников. Все мы знаем, что многие из них идут на сделку со следствием.

Этот чат 2007 года из расследования, проведенного департаментом Восточного района Нью-Йорк. Если вы помните, расследование началось ещё в 2002-2003 годах. Оно касалось хакерского сообщества Carder Planet и было очень успешным для Нью-Йоркского управления. Мистер Карранза был одним из задержанных по этому делу, и в его компьютере был обнаружен чат между ним и неким nCux 111, который сообщил ему свои настоящие данные – имя, фамилию, домашний адрес во Владивостоке, два почтовых ящика, в числе которых был указан и boookscafe@yahoo.com.

https://habr.com/company/ua-hosting/blog/354560

«Вот как все происходит: они ловят одного хакера, а затем заставляют его расставлять ловушки для его друзей», — рассказал один российский хакер, согласившийся дать интервью BuzzFeed News на условиях анонимности. Этот хакер, который недавно вышел из тюрьмы и сразу же после освобождения уехал из России, сказал, что, чтобы заставить хакеров работать на российскую разведку, на них оказывается мощное давление. «Они давят на вас. Это вовсе не вежливое предложение. Они могут постучать к вам в дверь или настучать по голове. И, если они не могут угрожать вам, они начинают угрожать вашей семье».

https://inosmi.ru/social/20170422/239198618.html

В ходе операции Trident Breach ФБР внедрило одного из своих агентов в мошенническую сеть именно в качестве дропа. Через российскую социальную сеть (все общение происходило на русском) агент нашел "работодателя", скрывавшегося под ником Jack Daniels. Jack Daniels, который впоследствии оказался 26-летним гражданином РФ Антоном Юферицыным, предложил следующую "работу": требовалось открыть в США несколько банковских счетов, получать на них переводы и обналичивать деньги. Под пристальным наблюдением ФБР все было выполнено, да так хорошо, что замаскированный агент даже сумел лично встретиться с Юферицыным. "Работодатель" вдруг решил воочию обсудить со "студентом" перспективу открытия бизнес-счета, на которой можно было бы переводить больше денег. Очевидно, в ходе этой первой встречи Jack Daniels ничего не заподозрил, так как вскоре на счет подставного "мула" поступил первый перевод в размере $9983. Через несколько дней Jack Daniels назначил агенту повторную встречу, на этот раз уже непосредственно для передачи денег. В ходе этого действа Юферицын и был благополучно арестован.

Ему предъявили обвинение в сговоре с целью мошенничества, свою вину Jack Daniels признал и даже дал показания против других участников группировки.

https://xakep.ru/2011/01/17/54548/

Использование «надежных» сервисов тоже может привести к фиаско:

Для расчетов с исполнителями использовалась платежная система "WebMoney", популярная в русскоязычном сегменте интернета. Данная система требует от пользователя идентификации и собирает о нем максимум информации, включая IP-адрес. Эта информация, которая хранится длительное время, и была выдана правоохранительным органам. Все вышесказанное − не повод отказываться от использования платежных систем, просто не питайте иллюзий, что это анонимно. Они хранят о вас даже больше, чем вы способны вообразить.

В апреле 2013 года Коди Кретсингер, член хакерской группировки LulzSec, известный под псевдонимом «Recursion», получил год тюрьмы с последующим домашним арестом и выполнением общественных работ сроком в 1000 часов. Человек, участвовавший в хищении конфиденциальной информации с серверов Sony Pictures, безусловно, думал о своей анонимности и использовал VPN. Но... Единственное, он не смог предусмотреть, что VPN-сервис собирал и хранил информацию о нем, и по запросу передал ее спецслужбам.

https://book.cyberyozh.com/ru/kak-lovyat-hakerov

#хакер #киберпреступление #анонимность #кардинг

Dr.Web рекомендует

Каким бы параноиком ни был человек, рано или поздно он совершит ошибку – ведь их совершают все, даже те, кто учит других людей информационной безопасности. И этому есть много причин. Во-первых, постоянная забота о заметании следов держит человека в непрерывном стрессе, во-вторых, особые меры, направленные на обеспечение собственной безопасности и анонимности, крайне негативно сказываются на удобстве пользования компьютерными сервисами.

Можно использовать виртуальные машины, криптоконтейнеры, не оставляющие следов дистрибутивы операционных систем, динамические цепочки прокси-серверов со сквозным шифрованием, но однажды внимание притупится и злоумышленник закажет пиццу, используя для этого «засвеченный» в темных делах адрес электронной почты, или позвонит своей маме, а может быть, его подведет техника, и неправильно настроенный VPN-сервер на минуту выдаст его реальный IP-адрес.

Подпольные миллионеры

Однажды на конференции Интерпола голландский полицейский, расследующий хакерские атаки на банки, сказал: «В любой непонятной ситуации следуйте за деньгами». И это совершенно верное утверждение.

Чем бы сегодня ни занимались киберпреступники, конечной их целью практически всегда будут именно деньги. И зачастую они являются ниточкой, позволяющей в итоге распутать весь клубок.

Казалось бы, банк ограблен, похищенные миллионы осели на банковских счетах, можно успокоиться и радоваться жизни. Как бы не так! Кража денег – лишь самое начало пути, который должен привести злоумышленников к настоящему обогащению.

Для начала, нельзя так просто взять и перевести все средства на какой-то один счет. Банки быстро отреагируют на подобную подозрительную операцию и прекратят транзакции. Необходимо заранее подготовить цепочки счетов и электронных кошельков, зарегистрированных на подставных лиц. Причем желательно, чтобы часть из них находилась на территории других государств. Также нужно разбить похищенные средства на небольшие суммы и выводить на заранее подготовленные счета.

Однако деньги на банковских счетах все равно остаются в опасности, поэтому их нужно как можно быстрее обналичить, не попав при этом в поле зрения камер, установленных в банковских отделениях. Существует много способов обналичивания и отмывания незаконно полученных доходов, но большинство из них так или иначе связано с необходимостью найма большого количества людей, т. н. дропов, которые будут за определенный процент от суммы получать наличность в банкоматах.

Не будем излишне вдаваться в подробности работы этой «темной кухни» – скажем лишь, что реализовать такую схему в одиночку практически невозможно, а чем больше людей задействовано в каком-то предприятии, тем выше шанс, что кто-то из них ошибется и подставит всех остальных.

Даже выполнив все необходимые условия и получив заветные наличные (которых к этому моменту осталось не более двух третей от похищенной суммы), нельзя сразу же бросаться жить на широкую ногу, ведь это немедленно вызовет подозрения. Как видите, если разобраться, все выглядит уже не так привлекательно, как кажется на первый взгляд.

Иными словами, сколько веревочке ни виться...

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: