Raport z cyberprzestępczego podziemia

Cyberprzestępcy radzą sobie coraz lepiej z kradzieżą pieniędzy i informacji o transakcjach elektronicznych oraz z organizowaniem nielegalnego przepływu gotówki. Tworzą niewidoczne, bardzo dobrze zorganizowane podziemne struktury. Jak one działają?

Dla tych żniwiarzy, którzy nie są zainteresowani własnoręcznym zdobywaniem rynku, dostępne są usługi, polegające na dostarczaniu sieci już przejętych komputerów. Ceny masowych usług są dość atrakcyjne, za 1000 zainfekowanych komputerów płaci się około 23 USD, ale dane z nich są współdzielone z różnymi innymi odbiorcami. Gdy żniwiarz chce posiadać dane na wyłączność, musi zapłacić więcej - 130 USD za komputer w USA, 170 USD za maszynę niemiecką, najdroższe jest przejęcie systemu w Wielkiej Brytanii - aż 270 USD. Hasło do przejętego serwera FTP, gdzie można składować dane, jest bardzo tanie - kosztuje zaledwie 2 USD. Niektórych pakietów nie da się jednak kupić, gdyż są wykorzystywane jedynie wewnątrz organizacji przestępczej. Takim tajnym trojanem jest Sinowal.

Przestępcy mają swoją giełdę

Ponieważ obie grupy nie mogłyby sprawnie istnieć bez współpracy, zestawiane są między nimi kanały komunikacyjne. Jest to swoista giełda, na której odbywają się licytacje ofert, składane są propozycje współpracy i ocenia się przy tym reputację obu stron. Jednym z takich miejsc są prywatne kanały IRC, zamknięte fora internetowe oraz inne podobne miejsca. Fora te, budowane często za pomocą standardowych narzędzi, takich jak PhBB, są miejscem, gdzie obie strony zawiązują porozumienia i sprawdzana jest reputacja. Na giełdzie ustalana jest jakość dostarczanego towaru, cena i sposób jego przekazania oraz zapłaty.

Gdy ktoś zamierza spieniężyć konkretne środki, składane są mu oferty dropów (realizowanych, przypomnijmy, przez armię mułów) z prowizją 25%, 20%, czasem tylko 15%. Reputacja danej strony jest sprawdzana dość dokładnie, by uniknąć niespodziewanej kradzieży. Jako przykład negatywny służy przypadek pasera o pseudonimie HabaHaba (jego nick nawiązuje do dziecięcej kreskówki The Hoobs) albo wpadki właściciela dużej sieci mułów. Do niektórych z tych miejsc udaje się dotrzeć z zewnątrz po opracowaniu właściwej legendy, popartej kilkoma fałszywymi znajomymi, do innych nie da się wejść bez osoby wprowadzającej.

Przeważającym językiem używanym na tej giełdzie jest angielski, ale wiele forów jest rosyjskojęzycznych.

Karciani gracze

Zupełnie inaczej wygląda forum związane z nadużyciami za pomocą kart płatniczych. W tej strefie obowiązują dość ścisłe reguły sprawdzania reputacji, gdzie materiał próbny podlega kontroli przez co najmniej dwóch zaufanych członków forum. Dopiero potem aplikująca osoba uzyskuje status trusted vendor of logins, który umożliwia prowadzenie podziemnego biznesu.
Oferty składane na takim forum są bardzo różne - od całej masy danych, pobranych za pomocą botnetów (na przykład 40 tys. numerów kart wraz z kodami CVV, setek gigabajtów logów z dostępu do bankowości online) po bardzo precyzyjne namiary (jak informacje o dostępie do konta, na którym jest 1 mln USD i na stacji roboczej jest zainstalowany trojan, który dostarcza informacji o loginach do wszystkich kont e-mail ofiary oraz profilu w serwisie Myspace).

Oni też muszą zadbać o reklamę

Ponieważ podziemna działalność cyberprzestępców rządzi się podobnymi prawami co normalny biznes, nie może zabraknąć reklamy. Niektórzy przestępcy przygotowują banery reklamowe, w których oferują duże ilości skradzionych danych (dumps), pośrednictwo przy sprzedaży albo rekrutację mułów. W ten sposób budowana jest marka przestępcy, czasami wykorzystuje się przy tym informacje o osiągniętych przychodach i podarunkach w rodzaju samochodu dla kobiety danego pasera. Banery takie rzadko są emitowane w najważniejszych sieciach reklamowych, ale czasami umieszcza się je na przejętych serwerach.

W następnym artykule z tego cyklu przedstawimy niektóre metody nadużyć, z których korzystają cyberprzestępcy.