Cyber-crime znaczy biznes

Jak wyobrażamy sobie cyberprzestępcę? To ktoś, kto tworzy trojana albo fałszywą stronę bankową, za ich pomocą kradnie nasze dane, wreszcie używa ich do wyprowadzenia pieniędzy z naszego konta. W rzeczywistości taki ktoś w zasadzie już nie istnieje...

Cyberprzestępczość przybrała formę dobrze zorganizowanego biznesu z grupami wyspecjalizowanymi w jednej, konkretnej czynności. Twórcy trojanów, ludzie zastawiający pułapki phishingu i pharmingu, osoby gromadzące skradzione dane, pośrednicy w finansowych przelewach, wreszcie ci, którzy ostatecznie inkasują zdefraudowane pieniądze - chociaż uczestniczą w jednym przestępczym łańcuchu, często nawet się nie znają osobiście, często też pochodzą z innych krajów. Jeszcze nie tak dawno, przestępcy parający się phishingiem zajmowali się pozyskiwaniem poufnych danych, a następnie za ich pomocą czyścili konta. Obecnie istnieje wyraźny podział na tych, którzy stoją po stronie zdobywania informacji, i na tych, którzy zamieniają je w okrągłe sumy.

Komu trojana, komu?

Cyber-crime znaczy biznes

Dwie strony cyberprzestępstwa

Jednym z działań Anti-Fraud Command Centre (AFCC) firmy RSA jest monitorowanie forów i chatów, z których korzystają cyberprzęstępcy. Takich forów na świecie działa podobno dzisiaj ok. pięćdziesięciu. Obserwacje AFCC doprowadziły do wniosku, że ich bywalców nie interesują aktywa zgromadzone w instytucjach finansowych. Ich rolą w przestępczym łańcuchu jest wyłącznie zgromadzenie poufnych danych - przez phishing, pharming, użycie trojanów - a następnie ich odsprzedanie. Nierzadko bywa, że wcześniej pojawia się zlecenie z grup przestępczych na dane związane z takim czy innym lokalnym bankiem. Cyberprzestępcy stali się grupą do wynajęcia, a ich produkty są na sprzedaż.

Doszło do tego, że już od kilku lat można kupić trojana lub skorzystać z botnetu w trybie usługi - "fraud as a service". Jak twierdzi Uri Rivner, szef działu New Technologies & Consumer Identity Protection w RSA, bestsellerem jest dzisiaj Zeus - cena od 1000 USD. Droższe są wersje o większej funkcjonalności i z obszernymi bibliotekami gotowych szablonów celów ataku. Jakiś czas temu za 350 USD można było kupić trojana Limbo, zanim nie został on udostępniony za darmo na zasadach open source. Wbrew nadziejom twórców tej inicjatywy, uwolnienie kodu nie wpłynęło na rozwój tego trojana.

"Fraud as a service" - jak odkrył zespół z AFCC - mieli w swej ofercie zarządzający botnetem Zeus. Chętnym wystarczało zapłacić, by infrastruktura stojąca za Zeusem i związane z nim formy ataku były do dyspozycji. Wybierało się tylko cele i zaczynało gromadzić dane. Tym, którzy mieli zainstalowany panel administracyjny Zeusa na swoich serwerach, oferowano "pakiety exploitów", które ułatwiały infekcje i powodowały szybszy wzrost botnetu zarażonych komputerów.

Najgorsze przed nami?

Cyber-crime znaczy biznes

W Anti-Fraud Command Centre (AFCC) firmy RSA w Herzelii (Izrael) ponad 100 pracowników przez 24 godziny na dobę wykrywa i blokuje ataki na klientów banków poprzez phishing i trojany. Jak podaje RSA, już ponad 180 tys. ataków w ponad 140 krajach udało się zlikwidować dzięki działaniom AFCC.

Bywa, że cyberprzestępcy nie znają wartości tego, co sprzedają. Skradzione przez botnety dane sprzedawane są "na wagę" - w gigabajtach. Problemem jest bowiem efektywna selekcja wartościowej i nieprzydatnej do niczego informacji. Oczywistym celem są teraz dane związane z kontami bankowymi, kartami kredytowymi, a te stanowią ułamek skradzionej przez Zeusa czy inny trojan informacji. Uri Rivner uważa, że wyposażeni w skuteczny data mining cyberprzestępcy potrafiliby dogrzebać się do informacji o znaczeniu militarnym, gospodarczym czy patentowym, których wartość przerosłaby dane bankowe. Rivner widzi też realne zagrożenie w potencjalnym skorzystaniu z botnetów organizacji wywiadowczych.


TOP 200