Prowizja za sprzedaż własnego pracodawcy

Jednym z przykładów, jak czerpać zyski z cyberprzestępczości, nie mając przy tym dużej wiedzy technicznej, jest przedsięwzięcie polegające na płaceniu ludziom za nielegalne udzielanie dostępu do zasobów własnych pracodawców. Przykładowo, możesz zostać poproszony, żeby dodać mały fragment kodu HTML do witryny firmowej, a prowizję uzyskasz za każdą osobę, która zostanie namierzona przez odwiedzenie tej strony. I nie jest tu ważna twoja wiedza ekspercka, lecz hasło do serwera webowego.

Polecamy: Spear phishing

Zobacz również:

• WordPress 6.5 trafia na rynek. Oto 5 najważniejszych zmian
• Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google

Savage przybliżył kilka projektów własnego zespołu, wymagających pewnego osobistego zaangażowania się w podziemie cyberprzestępcze. Zespół CCIED na przykład przeniknął botnet Storm, który szalał w 2007 r., za pomocą tzw. honey pots, które "zatruły" 1% adresów URL rozprowadzanych wewnątrz botnetu. "To potencjalnie pozwala zaobserwować, co się dzieje i wpływać na jego działanie" - powiedział Savage. "Byliśmy w stanie zmierzyć prawdopodobieństwo dostawy, współczynnik klikalności oraz konwersji."

Dzięki tego typu pracy, dowiedzieli się, że oszustwa pharma wymagają wysłania 12 mln e-maili, aby dokonano jednego zakupu, a pomimo tego nadal rocznie można zarabić miliony dolarów.

Zamiast oprogramowania - tania siła robocza

Pozostaje pytanie: jak zatrzymać to wszystko? Jeden z przykładów związanych z technologią CAPTCHA - pokazuje, jak badania ekonomiczne mogą pomóc zwiększyć bezpieczeństwo w sieci.

Okazuje się, że używanie programów do rozpoznawania znaków jest mniej opłacalne niż płacenie ludziom za wpisywanie ciągu liter i cyfr, bo firmy, które hostują witryny internetowe co jakiś czas zmieniają swoje systemy CAPTCHA, by oszukiwać oprogramowanie. A ludzie nie muszą nawet znać angielskiego czy innego języka, żeby ominąć CAPTCHA. Wystarczy, że potrafią rozpoznać znaki.

Za wpisywanie treści z obrazków CAPTCHA można płacić podobnie jak za zdobywanie danych dot. karty kredytowej czy adresu e-mail. Na drugim końcu tego procederu jest pracownik - zarabiający zaledwie 1 dolara lub nawet mniej za 8-godzinną zmianę, podczas której wprowadza ok. 1 tys. wpisów CAPTCHA.

Zespół Savage’a wykupił wiele usług rozpoznawania CAPTCHA, by zobaczyć, jak duża jest dostępna wydajność. Jeden dostawca miał 400-500 ludzi gotowych do pracy o dowolnej porze.

Dodawanie kolejnych CAPTCHA do stron internetowych to daremne działania, przynoszące skutek wręcz odwrotny. Z kolei zmuszanie kryminalnych przedsiębiorców do płacenia więcej za tę usługę doprowadza większość z nich do punktu, w którym całe przedsięwzięcie przestaje się im opłacać. Poprzez ograniczenie puli przestępców, komputerowy przemysł obronny może przeznaczyć więcej środków na zatrzymanie mniejszej liczby ataków.

Łatwo szkodzić spamem i phishingem, dzięki funkcjonowaniu dużych botnetów z zainfekowanymi komputerami. "To skutecznie stworzyło ekonomicznie uzasadniony mechanizm, gdzie botnety stanowią platformy" - podsumowuje Savage.

Polecamy: Obrazkowy atlas złych hakerów

Na nieszczęście dla przestępców, nie ufają oni sami sobie nawzajem. Hakerzy, którzy sprzedają oprogramowanie infekujące komputery, działają jak zwykłe przedsiębiorstwa w tym sensie, że "nie chcą, żeby ich oprogramowanie stało się obiektem piractwa" - powiedział Savage. Problem polega na tym, że oni sprzedają je również przestępcom.