Lord777
Professional
- Messages
- 2,579
- Reaction score
- 1,471
- Points
- 113
Киберпреступники используют целый ряд методов для кражи денег жертв — от разработки вредоносного программного обеспечения для перекачки финансовых данных до старомодных "взломов" - но это не значит, что они сами застрахованы от того, чтобы попасться на удочку этих мошенников.
По словам Мэтта Викси, старшего исследователя угроз в Sophos, мошенничество с мошенниками, включая иногда мошенников, которые обманули их, - это “целая подэкономика” на рынках даркнета.
На презентации в Black Hat Europe в среду, за которой в ближайшие недели последует серия онлайн-сообщений из четырех частей, Wixey подробно рассказала о подробном расследовании Sophos примерно 600 случаев мошенничества на трех крупных криминальных форумах.
Уикси сказал, что исследование предлагает защитникам больше, чем просто злорадство, оно также дает “представление о культуре форума; о том, как участники угроз покупают и продают; об их тактических и стратегических приоритетах; об их конкурентах и союзах; об их восприимчивости к обману” и, что особенно важно, “конкретную, дискретную информацию” о самих участниках.
Команда сосредоточилась на “двух старейших и наиболее известных русскоязычных форумах по киберпреступности, Exploit и XSS”, а также BreachForums, преемнике англоязычного RaidForums, который был закрыт в апреле правоохранительными органами.
Мошенничество не является чем-то неслыханным среди преступников, и все три этих сайта имеют арбитражные механизмы для борьбы с ними. Exploit, который описывается как “относительно эксклюзивный” и популярная торговая площадка для брокеров начального доступа, насчитывает “около 2500 сообщений о мошенничестве” в своей арбитражной комнате — специально отведенных местах на форуме, где пользователи могут сообщать о мошенничестве и предупреждать других, одновременно пытаясь получить возмещение, — в то время как у XSS их около 760.
“Это практически единственный вариант, который у них есть, такая форма правосудия, потому что нет регулирующего органа, в который они могли бы обратиться, нет омбудсмена или чего-то подобного… потенциально они могли бы попытаться сделать что-то более демократичное, возможно, но это открывает им доступ ко всем видам влияния ”, - сказал он.
Результаты мошенничества могут быть значительными. В одном случае Sophos обнаружила, что пользователь XSS отправил сообщение мошеннику, раскрыв не только свое имя, адрес, номер мобильного телефона и профили в социальных сетях, но и те же данные о матери предполагаемого мошенника.
Sophos удалось выявить убытки в размере более 2,5 миллионов долларов от мошенничества на трех форумах за последние 12 месяцев.. Доходность некоторых мошенничеств исчисляется шестизначными числами, но средняя сумма, на которую были поданы претензии, обычно довольно низкая: 600-500 долларов за эксплойт; 500 долларов за XSS; и 200 долларов за BreachForums.
“Жертвы подали заявления о мошенничестве всего за 2 доллара”, - обнаружил Викси. “Злоумышленники, похоже, так же возмущены тем, что у них украли деньги, как и все остальные, независимо от суммы”.
Результатом таких жалоб обычно является бан. BreachForums в качестве очевидного сдерживающего фактора также публикует адреса электронной почты нарушителей для регистрации, а также их регистрационные и последние просмотренные IP-адреса. Редко выплачивается какая-либо компенсация. В одном случае администратор BreachForums даже, казалось, лично выплатил компенсацию жертве из своего кармана из-за спора.
Sophos обнаружила нескольких известных участников угроз, вовлеченных в арбитражные процессы. Один пользователь, которого обвинили в том, что он является лидером групп вымогателей Conti и BlackBasta, подал на них жалобу на том основании, что они не выплатили кому-то зарплату. Группа All Word Cards, известная мошенническая компания, занимающаяся кардингом, также заявила на XSS, что была обманута кем-то, кто продал поддельную уязвимость за 2000 долларов.
Низкие суммы исков в арбитражном зале BreachForums. Изображение: Sophos
Виды мошенничества
Согласно Sophos, наиболее распространенный тип мошенничества - это “списать и сбежать”, когда либо покупатель исчезает после получения товара, либо продавец убегает после получения платежа. Для решения этой проблемы форумы используют пару механизмов — аккаунты зарабатывают очки репутации на основе истории доставки, а обмены часто могут включать ту или иную форму доверенного депонирования.
Отказ использовать такого гаранта, посредника, который доверяет средства и затем передает их только после того, как покупатель подтвердит получение товара, является запрещенным нарушением на некоторых форумах, но были случаи, когда мошенники выдавали себя за самих гарантов. Администраторы Exploit marketplace внедрили сервис "проверки подделок Jabber" для пользователей, чтобы убедиться, что адреса, по которым они общаются, являются подлинными.
Sophos также обнаружила плакат на XSS, в котором жаловалось, что они приобрели троянца удаленного доступа, который сам по себе был трояном, предназначенным для кражи данных из системы покупателя. “Как и практически во всех сообщениях о мошенничестве, которые мы читаем, жертва, по-видимому, не поняла иронии этой ситуации”, - написал Викси.
Забаненный пользователь с опубликованным адресом электронной почты для регистрации, регистрацией и последними известными IP-адресами. Изображение: Sophos
Одно из самых любопытных и успешных мошенничеств, выявленных в ходе исследования, касалось 20 поддельных сайтов, выдававших себя за законные торговые площадки, которые взимали регистрационный взнос либо в биткоинах, либо в Монеро, по-видимому, “чтобы воспользоваться неопытными исследователями, потенциальными участниками угрозы и по-настоящему любопытными”.
После сопоставления информации со всех биткойн-адресов, связанных с этими сайтами, команда Sophos обнаружила, что сеть была прибыльной, получив более 130 000 долларов. Исследователи также смогли связать мошенничество с отдельным субъектом угрозы, который, как они сами себя назвали, торговал метамфетамином из даркнета, базирующийся в Соединенных Штатах. Эти результаты были переданы в правоохранительные органы, сказал Уикси.
Сообщения о мошенничестве “являются богатым и недостаточно изученным источником разведданных”, - утверждает Уикси.
Хотя, как правило, киберпреступники знают, что форумы контролируются правоохранительными органами “и поэтому часто используют надежную систему оперативной безопасности”, когда они “сами становятся жертвами преступлений”, эти меры безопасности регулярно отменяются.
“Поскольку правила форума требуют доказательств в поддержку обвинений в мошенничестве, пострадавшие от угроз субъекты часто с радостью публикуют скриншоты личных разговоров и исходного кода, идентификаторы, транзакции, журналы чатов и подробные отчеты о переговорах, продажах и устранении неполадок”, - обнаружил Sophos.
Исследование показало, что из самых последних 250 сообщений о мошенничестве на всех трех форумах 39% содержали скриншоты, в то время как 53% содержали значительные текстовые подробности мошенничества. Отчеты, включающие скриншоты, часто случайно раскрывали детали криптовалютных адресов и ссылки на транзакции.
Они слили адреса электронной почты, которые иногда видны на вкладке браузера на скриншоте, опубликованном преступниками, вместе с информацией о других людях, с которыми они общались в Telegram, и подробностями о других приложениях, установленных в их системе. Компания Sophos даже наблюдала один случай, когда заявитель на мошенничество делился исходным кодом вредоносного ПО.
Уикси сказал The Record, что ему особенно понравилось заниматься сбором информации о киберугрозах в более узких областях: “Действительно важно выходить за рамки типичных идентификаторов, которые вы получаете от участников угрозы. Не то чтобы они не представляли ценности, но я думаю, что там определенно есть вещи, о которых мы менее осведомлены и которые могут быть действительно ценными. Эти арбитражные разбирательства - ключевой пример этого ”.
По словам Мэтта Викси, старшего исследователя угроз в Sophos, мошенничество с мошенниками, включая иногда мошенников, которые обманули их, - это “целая подэкономика” на рынках даркнета.
На презентации в Black Hat Europe в среду, за которой в ближайшие недели последует серия онлайн-сообщений из четырех частей, Wixey подробно рассказала о подробном расследовании Sophos примерно 600 случаев мошенничества на трех крупных криминальных форумах.
Уикси сказал, что исследование предлагает защитникам больше, чем просто злорадство, оно также дает “представление о культуре форума; о том, как участники угроз покупают и продают; об их тактических и стратегических приоритетах; об их конкурентах и союзах; об их восприимчивости к обману” и, что особенно важно, “конкретную, дискретную информацию” о самих участниках.
Команда сосредоточилась на “двух старейших и наиболее известных русскоязычных форумах по киберпреступности, Exploit и XSS”, а также BreachForums, преемнике англоязычного RaidForums, который был закрыт в апреле правоохранительными органами.
Мошенничество не является чем-то неслыханным среди преступников, и все три этих сайта имеют арбитражные механизмы для борьбы с ними. Exploit, который описывается как “относительно эксклюзивный” и популярная торговая площадка для брокеров начального доступа, насчитывает “около 2500 сообщений о мошенничестве” в своей арбитражной комнате — специально отведенных местах на форуме, где пользователи могут сообщать о мошенничестве и предупреждать других, одновременно пытаясь получить возмещение, — в то время как у XSS их около 760.
Претензии по поводу этих мошенничеств решаются модераторами форума. “В значительной степени принцип работы всех этих форумов заключается в том, что слово модератора является окончательным”, - объяснил Викси The Record.
“Это практически единственный вариант, который у них есть, такая форма правосудия, потому что нет регулирующего органа, в который они могли бы обратиться, нет омбудсмена или чего-то подобного… потенциально они могли бы попытаться сделать что-то более демократичное, возможно, но это открывает им доступ ко всем видам влияния ”, - сказал он.
Результаты мошенничества могут быть значительными. В одном случае Sophos обнаружила, что пользователь XSS отправил сообщение мошеннику, раскрыв не только свое имя, адрес, номер мобильного телефона и профили в социальных сетях, но и те же данные о матери предполагаемого мошенника.
Sophos удалось выявить убытки в размере более 2,5 миллионов долларов от мошенничества на трех форумах за последние 12 месяцев.. Доходность некоторых мошенничеств исчисляется шестизначными числами, но средняя сумма, на которую были поданы претензии, обычно довольно низкая: 600-500 долларов за эксплойт; 500 долларов за XSS; и 200 долларов за BreachForums.
“Жертвы подали заявления о мошенничестве всего за 2 доллара”, - обнаружил Викси. “Злоумышленники, похоже, так же возмущены тем, что у них украли деньги, как и все остальные, независимо от суммы”.
Результатом таких жалоб обычно является бан. BreachForums в качестве очевидного сдерживающего фактора также публикует адреса электронной почты нарушителей для регистрации, а также их регистрационные и последние просмотренные IP-адреса. Редко выплачивается какая-либо компенсация. В одном случае администратор BreachForums даже, казалось, лично выплатил компенсацию жертве из своего кармана из-за спора.
Sophos обнаружила нескольких известных участников угроз, вовлеченных в арбитражные процессы. Один пользователь, которого обвинили в том, что он является лидером групп вымогателей Conti и BlackBasta, подал на них жалобу на том основании, что они не выплатили кому-то зарплату. Группа All Word Cards, известная мошенническая компания, занимающаяся кардингом, также заявила на XSS, что была обманута кем-то, кто продал поддельную уязвимость за 2000 долларов.
Низкие суммы исков в арбитражном зале BreachForums. Изображение: Sophos
Виды мошенничества
Согласно Sophos, наиболее распространенный тип мошенничества - это “списать и сбежать”, когда либо покупатель исчезает после получения товара, либо продавец убегает после получения платежа. Для решения этой проблемы форумы используют пару механизмов — аккаунты зарабатывают очки репутации на основе истории доставки, а обмены часто могут включать ту или иную форму доверенного депонирования.
Отказ использовать такого гаранта, посредника, который доверяет средства и затем передает их только после того, как покупатель подтвердит получение товара, является запрещенным нарушением на некоторых форумах, но были случаи, когда мошенники выдавали себя за самих гарантов. Администраторы Exploit marketplace внедрили сервис "проверки подделок Jabber" для пользователей, чтобы убедиться, что адреса, по которым они общаются, являются подлинными.
Sophos также обнаружила плакат на XSS, в котором жаловалось, что они приобрели троянца удаленного доступа, который сам по себе был трояном, предназначенным для кражи данных из системы покупателя. “Как и практически во всех сообщениях о мошенничестве, которые мы читаем, жертва, по-видимому, не поняла иронии этой ситуации”, - написал Викси.
Забаненный пользователь с опубликованным адресом электронной почты для регистрации, регистрацией и последними известными IP-адресами. Изображение: Sophos
Одно из самых любопытных и успешных мошенничеств, выявленных в ходе исследования, касалось 20 поддельных сайтов, выдававших себя за законные торговые площадки, которые взимали регистрационный взнос либо в биткоинах, либо в Монеро, по-видимому, “чтобы воспользоваться неопытными исследователями, потенциальными участниками угрозы и по-настоящему любопытными”.
После сопоставления информации со всех биткойн-адресов, связанных с этими сайтами, команда Sophos обнаружила, что сеть была прибыльной, получив более 130 000 долларов. Исследователи также смогли связать мошенничество с отдельным субъектом угрозы, который, как они сами себя назвали, торговал метамфетамином из даркнета, базирующийся в Соединенных Штатах. Эти результаты были переданы в правоохранительные органы, сказал Уикси.
Сообщения о мошенничестве “являются богатым и недостаточно изученным источником разведданных”, - утверждает Уикси.
Хотя, как правило, киберпреступники знают, что форумы контролируются правоохранительными органами “и поэтому часто используют надежную систему оперативной безопасности”, когда они “сами становятся жертвами преступлений”, эти меры безопасности регулярно отменяются.
“Поскольку правила форума требуют доказательств в поддержку обвинений в мошенничестве, пострадавшие от угроз субъекты часто с радостью публикуют скриншоты личных разговоров и исходного кода, идентификаторы, транзакции, журналы чатов и подробные отчеты о переговорах, продажах и устранении неполадок”, - обнаружил Sophos.
Исследование показало, что из самых последних 250 сообщений о мошенничестве на всех трех форумах 39% содержали скриншоты, в то время как 53% содержали значительные текстовые подробности мошенничества. Отчеты, включающие скриншоты, часто случайно раскрывали детали криптовалютных адресов и ссылки на транзакции.
Они слили адреса электронной почты, которые иногда видны на вкладке браузера на скриншоте, опубликованном преступниками, вместе с информацией о других людях, с которыми они общались в Telegram, и подробностями о других приложениях, установленных в их системе. Компания Sophos даже наблюдала один случай, когда заявитель на мошенничество делился исходным кодом вредоносного ПО.
Уикси сказал The Record, что ему особенно понравилось заниматься сбором информации о киберугрозах в более узких областях: “Действительно важно выходить за рамки типичных идентификаторов, которые вы получаете от участников угрозы. Не то чтобы они не представляли ценности, но я думаю, что там определенно есть вещи, о которых мы менее осведомлены и которые могут быть действительно ценными. Эти арбитражные разбирательства - ключевой пример этого ”.
