Блошиный рынок украденных данных

За каждым спамерским письмом стоит длинная вереница мошенников.

«Американские кредитные карты теперь дешевле. Учетные записи пользователей блоками по 100 штук. Совсем свежие счета для отмывания денег!» — на форумах профессиональных спамеров и фишеров речь, как и на eBay, идет о скидках, хорошей репутации и доверительных сделках. Заглянем в параллельный мир.

Секретные рынки фишеров и спамеров нельзя отыскать с помощью поисковой системы Google, и все же эксперты командного центра противодействия мошенникам (Anti-Fraud Command Center, AFCC) компании RSA Security знают о них. «Это тяжелое занятие, но, если нашел страницу, на ней обнаруживаешь ссылку на другую, затем на третью и вдруг оказываешься в нужной сети», — рассказывает Йохай Эйнав, аналитик по вопросам безопасности компании RSA Security, прежде сотрудничавший с израильской службой безопасности. Его работу можно назвать сизифовым трудом: «Страницы редко остаются под одним URL более шести месяцев», — сожалеет он.

Рисунок 1. В поисках форумов фишеров: Йохай Эйнав из RSA Security.

По поручению свыше 60 финансовых институтов Эйнав и его команда осуществ-ляют поиск криминальных рынков, куда он проникает под фальшивым именем и где наблюдает за происходящим на форумах (см. Рисунок 1). При этом выясняется, что за каждым с виду дилетантским фишинговым или спамерским письмом стоит длинная вереница мошенников, каждый из которых специализируется в определенной сфере деятельности, чтобы зарабатывать деньги на недостатках систем обеспечения безопасности или прос-тодушии пользователей.

ХИТРОУМНЫЙ ДЕЛОВОЙ ПРОЦЕСС

Деловые процессы четко определены. В каждой части «предприятия» есть эксперты, хорошо ориентирующиеся в той области, которой они занимаются. Сначала нужно добыть данные. Видимый обычным пользователям фишер рассылает соответствующие электронные письма или спам. Те, кому нравится работать тайно, взламывают сервер базы данных и крадут информацию о кредитных картах или другие сведения о пользователях. Иногда кража происходит непосредственно через банкомат, т. е. информация считывается с магнитной полосы карты посредством почти неразличимого устройства, размещаемого на щели для приема карт. Затем данные продают. Однако хакеры поставляют лишь своего рода сырье, сами они редко пользуются похищенными данными в корыстных целях. Причину угадать несложно: за реальную кражу денег полагается более суровое наказание.

Всю опасную работу делают другие, они снимают деньги со счета и «отмывают» их, переводя похищенные суммы на другие счета, которые открывают, предъявляя фальшивые водительские удостоверения. А как подделать последние, объясняется на тех же форумах. Затем через системы перевода наличных денег, е-gold или Western Union, деньги отправляют заказчику, но сначала тот, кто их обналичивает, удерживает из суммы причитающиеся ему комиссионные. Высокий риск означает и высокую прибыль. Один из мошенников предлагает на форуме свои услуги по обналичиванию и хочет получить за это 40% от выручки.

ИНТЕРАКТИВНЫЕ РЫНКИ

Форумы рекламируют себя как «места бесплатного предоставления услуг» людям, «интересующимся безопасностью Internet», и советуют держаться в стороне тем, кто собрался понаблюдать за противозаконной деятельностью. Как и во всяком тайном обществе, участники таких форумов пользуются собственным языком со своими сокращениями, специальными выражениями и сленгом. В оставляемых сообщениях речь идет о «cvv2», «дропах», «дамбах», «рутах» и т. д. Эйнав, как специалист в области антифишинга, научился понимать эти сокращения: «дропы» — банковские счета; «cvv2» — выбитый на обратной стороне кредитной карты код безопасности. Остальные понятия обозначают настоящие или фальшивые кредитные карты с PIN-кодом или без него, а также сети с захваченными (взятыми под контроль) компьютерами.

Цены варьируются в зависимости от потенциала неправомочного использования: полная информация о счете, включая адрес и пароль, стоит 50 долларов за одну запись данных. 100 «дамбов» Visa Gold Check, т. е. фальшивых золотых карт Visa с гарантией функционирования, стоят 1700 евро. А за 600 евро можно приобрести троянское программное обеспечение с функцией перехвата номера транзакции (TAN Grabber) — программист даже предлагает бесплатную полугодовую оперативную поддержку.

Эйнав обнаружил около 20 таких интерактивных рынков, каждый из которых постоянно посещают от 1000 до 2000 зарегистрированных участников. Чтобы читать или оставлять сообщения на форумах, необходимо создать учетную запись. Иногда достаточно простой регистрации, но в некоторых случаях новичок обязан назвать участника данного форума, готового за него поручиться.

СТРУКТУРЫ ПО АНАЛОГИИ С eBay

Фишеры и их коллеги структурируют свой рынок в соответствии с правилами организации интерактивной платформы eBay. К примеру, имеются форум для обсуждений, торговая площадка, четкий свод правил, страницы регистрации и ответов на часто задаваемые вопросы. Обучение новичков происходит в разделе для начинающих. В других дискуссионных группах речь идет, скорее, о необычных технических проблемах, скажем о правильных цветовых кодах RGB для подделки калифорнийских водительских прав. В бонусном разделе хакеры выкладывают записи данных о кредитных картах, чтобы подтвердить качество своих товаров и тем самым привлечь внимание клиентов.

На некоторых форумах продавцы даже проходят «сертификационные» тесты. Сделки заключаются на большие суммы, при этом договариваться приходится анонимным пользователям, чью «надежность» редко можно подтвердить каким-либо определенным образом. Поэтому, как и в случае с eBay, продавцы получают оценки от своих клиентов. «Чтобы подняться до уровня надежного поставщика (Trusted Vendor), в большинстве случаев им приходится пройти процедуру тестирования, предложенную администраторами сайта, и, кроме того, доказать, что они действительно могут предоставить определенный товар», — описывает весь процесс Эйнав.

На «открытых рынках» могут действовать и несертифицированные продавцы — это место для быстрой, но рискованной торговли. Администраторы недвусмысленно предупреждают людей о дельцах, которых называют «потрошителями». Для обманутых обманщиков есть отдельный форум: тому, о ком нелестно отзываются коллеги, придется старательно восстанавливать свою репутацию.

Страницы с предложениями о работе или сотрудничестве содержат массу объявлений о вакансиях для профессионалов. У людей есть богатый опыт и четкое представление, с кем им хотелось бы вместе работать. На форумах важна анонимность, поскольку каждый предлагает нелегальные услуги и товары, но она усложняет торговлю, ведь никто не знает, действительно ли он получит нужный ему продукт и стоит ли этот товар требуемых за него денег.

ИГРА В КОШКИ-МЫШКИ

Следственные органы, конечно, постоянно преследуют интерактивных мошенников. Компании, работающие в области обеспечения безопасности, например RSA, также внимательно наблюдают за происходящим. Предложения и цены подсказывают им, где возникают новые «бреши» в системах безопасности или какая сделка мошенников считается сегодня наиболее выгодной. Иногда названия некоторых банков появляются на форумах чересчур часто, и следователи пытаются выяснить, почему именно это финансовое учреждение так популярно в данный момент и нет ли в его системе безопасности особенно «привлекательной» бреши, которую необходимо закрыть.

В статье нет никаких секретов — пользователи форумов знают, что за ними ведется наблюдение. Они подвергаются небольшому риску, поскольку установить их личности вряд ли возможно. Так или иначе следователи получают пользу от чтения: «Здесь обсуждаются новые технологии, и нам удается быстрее реагировать, когда они начинают применяться в сети в широких масштабах». Нередко о происходящем информируют провайдеров услуг Internet, и в идеальном случае они закрывают какой-либо форум, что, впрочем, не всегда хорошо для Эйнава: форум появляется через несколько дней в другом месте, и приходится заново искать иголку в стогу сена — в необъятных просторах Internet.

Никола Д. Шмидт — независимый эксперт.

? AWi Verlag