Кібербезпека: приватні компанії борються з шахрайством в інтернеті

Постійно, цілодобово, в глобальному масштабі освічені, досвідчені люди крадуть гроші. Це не примітивні кишенькові злодії, вони залазять в наші такі зручні і легкі у використанні електронні гаманці з допомогою шкідливих програм, закритих мереж та соціальної інженерії. Проти кібершахраїв працюють розвідслужби – і не тільки державні.
Герцлія – фешенебельного передмістя Тель-Авіва, місто невеликої поверховості, сяючий новенькими оригінальними офіс-билдингами. Це така маленька Кремнієва долина – тут розмістилися кілька філій найбільших компаній у сфері програмного забезпечення та ІТ. ЕМС – одна з таких компаній. Маючи штаб-квартиру у США, ЕМС міцно влаштувалася в Ізраїлі і вже придбала і інтегрувала у свою структуру кілька місцевих стартапів. Одна з основних спеціалізацій фірми – системи зберігання даних, особливо з використанням флеш-пам’яті як альтернативи дискових накопичувачів. Інша – комп’ютерна безпека. За комп’ютерну безпеку відповідає RSA – в минулому самостійна фірма, а з 2006 року -підрозділ ЕМС, пише журнал ” Популярна механіка №1/2015.
Злочинний космос. Це чимось нагадує центр управління польотом або пункт спостереження за космічним простором. Ряди столів з комп’ютерами, за ними -в основному молоді хлопці, хоча є і дівчата. Багато юнаки носять стоси -релігійність в Ізраїлі не вважається ознакою «непродвинутости». А космос тут ні при чому – тут спостерігають зовсім за іншим простором. Ми знаходимося в ізраїльському Командному центрі по боротьбі з кібершахрайство (АFCC), що працює в структурі ЕМС RSA. Ось на великому екрані на стіні зведена таблиця пропонованих до продажу номерів кредитних карт. Спеціальне розшукує ці пропозиції в Мережі і збирає воєдино. Нам пояснюють: тут пропонують просто номер картки – його ціна $5, а ось номер, дані з магнітної смуги плюс рік народження і номер соціального страхування власника. Оскільки ці дані часто використовуються для верифікації особистості власника картки, ймовірність успішного шахрайства зростає. Але і ціна вище – $25. На іншому великому екрані – карта світу. На ній то тут, то там стрибають червоні кружечки. Карта показує, з яких точок світу здійснюються спроби фішингу щодо клієнтів компанії. Фішинг – це використання програмних засобів, які імітують інтерфейс сайтів банків або інших подібних організацій, для крадіжки номерів рахунків, паролів та іншої чутливої інформації. Клієнти RSA – це банки та інші організації, які зацікавлені у своєчасному припиненні спроб фінансового кібершахрайства стосовно їх самих і тих, кого вони обслуговують. Також на дисплеї виводиться різного роду аналітика. Моніторинг в Командному центрі йде цілодобово – про всі виявлені в Мережі спроби шахрайства RSA тут же сповіщає своїх клієнтів.
Але якщо в Командному центрі моніторинг йде в пасивному режимі, то співробітники киберразведки RSA ведуть активні пошуки. Вони намагаються потрапити на відкриті та закриті мережеві спільноти та виявити загрози для клієнтів компанії. «Наша робота проводиться і до, і після того, як фінансові дані вкрадені, – каже Орен Кармі, голова відділу киберразведки. – Ми відслідковуємо всі, що відбувається в мережевому підпілля – європейському, американському, латино-американському, російському. В основному ми зосереджуємося на IRC-чатах, форумах і так званих магазинах кредитних карт».
З IRC-чатом все просто. Сюди кожен може увійти в будь-який час, в будь-який час вийти і знову зайти під іншим ніком. Шахраї дуже люблять цей вид спілкування, так як там не потрібно «світити» свої персональні дані. «Нам це теж зручно, – пояснює Орен, – так як і нам легко залишатися невпізнаними. На IRC-чатах все побудовано за принципом відкритого ринку. Шахраї розміщують свої оголошення. Вони намагаються виділитися, пишуть з капслоком, різними кольорами. Тут торгують не тільки номерами карток і даними для входу в банківські акаунти, але також і всякими додатковими речами: адресами проксі-серверів, фальшивими ID для входу на ті чи інші сервіси, сканами документів».
В чатах співробітники відділу киберразведки ЕМС RSA діють наступним чином: вони вступають в контакт з шахраєм, намагаються перевести розмову в приватний режим і потім з’ясовують, що конкретно пропонує злочинець. Завдання фахівця RSA полягає в тому, щоб продемонструвати шахраєві інтерес до його пропозиції, почати обговорювати умови угоди і в кінцевому підсумку отримати максимальну кількість потрібної інформації.
Шкідлива кооперація. Для успішного комп’ютерного шахрайства, за словами Орена, треба так багато всього знати і розуміти, що, як правило, одній людині це не під силу. Як і в інших сферах організованої злочинності, фахівці в різних областях шукають один одного і поєднуються. Одні знають, як зламувати паролі, щоб отримати доступ до рахунків, інші вміють заражати комп’ютери шкідливим ПЗ, яке краде дані, треті «виймають» готівку. Таким чином, якщо шахрай має дані кредитної картки, але шукає людину, яка могла б зняти з неї гроші, співробітник RSA може запропонувати йому такий варіант. Після домовленості про угоду злочинець пересилає своєму новому «партнеру» вкрадені дані, а той, природно, відразу сповіщає банк: такий-то рахунок може стати об’єктом кібератаки.
Поцікавились у керівника киберразведки, а чи не можна схопити за руку шахрая в процесі отримання грошей за незаконні дії Мережі. «Це складно, – відповідає Орен. – Для взаємних розрахунків шахраї використовують спеціальні гаманці, активно застосовують біткойни та інші кріптовалюти. Наприклад, належні мені гроші можуть прийти на біткойн-гаманець, на якому вже є велика сума, потім звідти вони будуть відправлені дрібними порціями на кілька інших гаманців і тільки потім вже мені. Відстежити такі транзакції практично неможливо. Ця послуга теж коштує грошей, але кіберзлочини зазвичай відбуваються у кооперації, яка побудована на взаємній довірі учасників».
Ще один різновид кібершахрайства – «кардинг», тобто купівля товарів за допомогою вкрадених карток. Це альтернатива прямому зняття грошей з чужих рахунків (справа досить складна), але і в кардинг потрібна кооперація. Адже ніхто ж не стане замовляти покупку в інтернет-магазині на свій особистий адресу, якщо розплачуватися доведеться за допомогою вкрадених даних з чужої картки. Для отримання товару існують спеціальні провайдери підставних адрес поштових скриньок, відкритих на підроблені документи. Той, хто володіє адресою, пересилає потім пакет шахраєві (за певну плату) або продає вкрадене і висилає частку. Можливий і інший варіант – наприклад, в інтернет-магазині купуються два планшета. Один йде господареві поштової скриньки, другий надсилається покупцеві. В результаті таких махінацій можуть постраждати інтереси власників карток, випущених банком, безпека якого забезпечує RSA, а значить, і «кардинг сходить в сферу інтересів киберразведчиков.
Пошук в глибині. «Якщо з IRC-чатами все просто, – пояснює Орен, з форумами кібершахраїв працювати набагато складніше.
Вже за рівнем захисту форуму можна зрозуміти, що саме там можна знайти. Є форуми з вільної реєстрацією, але є й такі, куди неможливо потрапити без рекомендації учасників або навіть без вступного внеску, який може становити кілька сотень доларів. Зате, на відміну від чату, там легше стежити за певними учасниками. Там навіть існує система “репутацій” – перш ніж мати справу з конкретним продавцем крадених даних, можна подивитися, наскільки він надійний партнер”.
Перед кібершахраями завжди стоїть дилема: станеш працювати у відкритій мережі – вирахують, зануришся вглиб – буде мало клієнтів. Як розповіли нам в RSA, російські кібершахраї, що відрізняються високою організованістю і технологічною компетентністю, люблять працювати на відкритих ресурсах – очевидно, намагаючись максимізувати кількість клієнтів. Їх колеги з інших частин світу найчастіше воліють мешкати в «темному інтернеті», так званої мережі TOR. В TOR, де потік даних між клієнтом і сервером проходить в зашифрованому вигляді через каскад проксі-серверів та гарантує анонімність, досить складно знайти потрібну інформацію. І хоча там теж є щось подібне пошукових систем, вони працюють не так, як Google або Yahoo. Іншими словами, люди, що заходять у ТОR, зазвичай знають, куди вони йдуть.
Мережа TOR [The Onion Router, «Цибулевий маршрутизатор»] являє собою систему проксі-серверів, що маскують адресу користувача і забезпечують його анонімність. Коли власник комп’ютера з встановленим TOR-клієнт посилає запит на віддалений сервер, дані проходять в зашифрованому вигляді через каскад проксі, причому віддалений сервер бачить адресу тільки останнього з них, так званого exit node. Мережа TOR використовується як криміналом, так і різноманітними групами киберактивистов [хактивістів] типу «Анонимуса».
«В мережі ТОR можна зустріти багато різноманітних кримінальних проявів: там торгують наркотиками, зброєю, дитячою порнографією, – каже Орен. – І хоча у нас є зв’язки з поліцейськими відомствами і спецслужбами різних країн, треба розуміти, що самі ми не є правоохоронною структурою. Наш інтерес – виявити випадки фінансового шахрайства у відношенні клієнтів нашої компанії і зробити все можливе для того, щоб вони уникнули втрат від рук кіберзлочинців».
Робота співробітників киберразведки -це не тільки і не стільки проникнення на всілякі кримінальні ресурси, скільки робота з людьми. Дії кібершахраїв, такі як, наприклад, фішинг або фальшиві дзвінки з банків, називають соціальною інженерією. Злочинці не тільки застосовують технічні прийоми, але і користуються різного роду психологічними прийомами, що змушують жертву розлучитися з важливою інформацією. Робота киберразведки – це соціальна інженерія навпаки. Співробітники відділу англійською, російською, іспанською, португальською мовами вступають у спілкування з кібершахраями, і їх завдання не тільки не видати себе, але і перехитрити того, хто вже сам встиг перехитрити багатьох.