Статьи и мануалы / подкасты от BlackMast

BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Эпизод 18: 100 тысяч банковских карт в руках у хакеров


Мэтт: Последняя проверка показала ужасное. Хакеры не просто украли миллионы данных кредитных карт. Около семи-восьми месяцев хакеры были в системе магазина...

513edd3b77786cc4bf88949300053431.png



КОРТНИ: Они провели в сети, по крайней мере, целый месяц разведки, прежде чем создали свое идеальное вредоносное ПО. Затем даже на протяжении всего времени мы видели, как они вносили в него небольшие изменения, продолжая двигаться вперед. Они точно знали, где взять кредитные карты в каждой системе.

Мэтт: К сожалению, система, которую они впервые скомпрометировали, в которую они впервые вошли, больше недоступна. Здесь мне хочется думать, что это, вероятно, был целенаправленный подход, даже фишинг, но кто знает. Никогда не узнаешь, пока не найдешь.

ДЖЕК: Фишинг — это когда хакер нацеливается на сотрудника, чтобы попытаться заставить его щелкнуть что-то, на что он не должен нажимать. Это может быть электронное письмо с вредоносной ссылкой, это может быть документ Word с включенными макросами. Как только человек нажимает на вредоносную ссылку, этот компьютер может быть заражен и затем находиться под контролем хакера. Когда хакер находится в сети, он может перейти на другую машину, чтобы начать установку своего вредоносного ПО.

Мэтт: С помощью простой математики вы обчищаете шестьсот магазинов за восемь месяцев. Этот период времени включает в себя лето, несколько выходных с распродажами, подготовку к Рождеству и тому подобное. Включая все эти различные периоды времени.

КОРТНИ: Да, я хочу сказать, что нам потребовалось по крайней мере две недели, чтобы просмотреть все кредитные карты и по-настоящему их расшифровать и убедиться, что все, что у нас было, было настоящими номерами карт. Что-то особенное в этом случае, с которым мы столкнулись, это кредитные карты, которые выглядят как номера кредитных карт, но на самом деле не являются действительными номерами карт. Это было то, что нам пришлось сделать много дедупликации и проверки, как с нашей стороны, так и с небольшой помощью брендов карт, чтобы определить, действительно ли то, что мы видели, было номерами карт.

Мэтт: Мы начали обнаруживать просроченные данные карт. Как мы находим так много данных кредитных карт, срок действия которых истек? Одно дело, если вы обнаружите, скажем, у вас есть двадцать номеров за день, и вы обнаружите, что срок действия одного истек. Ты такой: «О, ладно, кто-то случайно стащил старую карту или что-то в этом роде, верно?» Но потом вы начинаете задаваться вопросом, почему я вижу этот значительный процент карт, срок действия которых уже истек? В данном случае, если вы помните, я упомянул, что вредоносное ПО было на задней панели домашних систем.
В задней части работали SQL-серверы. На SQL-серверах хранились исторические незашифрованные отслеживаемые данные, которые загружались в память, и вредоносное ПО собирало их. Они собирали транзакции четырехлетней давности. Злоумышленники фактически заглянули в прошлое. Они просматривали транзакции трех-четырехлетней давности, о которых у них не было информации.

Ведущий: Теперь команда готова приступить к удалению вредоносного ПО из сети. Им нужно было понять каждую дыру в сети и залатать каждую, чтобы хакеры не могли вернуться.

КОРТНИ: На самом деле нам не нужно было отключать какие-либо серверы. Как только мы смогли действительно найти эти опорные точки, отключив их или, по крайней мере, убедившись, что у нас есть блокировка процессов, мы смогли остановить их по большей части в сети.

МЭТТ: Да, в итоге мы закрыли расчетные палаты, центральные точки, которые они использовали. В первый раз, когда мы выгнали их, мы действительно увидели, как они снова вошли через Азию, и в течение примерно трех секунд после повторного входа они повторно скомпрометировали сорок различных систем.

КОРТНИ: Я думаю, было интересно наблюдать, как они возвращаются так быстро, но также было интересно посмотреть, какие инструменты они сразу использовали. Потому что в тот момент у нас был живой отклик. По сути, мы могли сидеть там и отслеживать, что они делали, и точно видеть, как они двигались.

Ведущий: Команда обнаружила, что помимо вредоносного ПО, во многих системах также были установлены лазейки, благодаря которым хакеры продолжали проникать внутрь. Команда смогла отключить каждую опорную точку и предотвратить выход кредитных карт из сети. Было приятно наконец взять эту вредоносную программу под контроль. Пока они очищали сеть от вредоносного ПО, они также дали компании несколько предложений по улучшению своей безопасности.

КОРТНИ: Да, некоторые изменения пароля были необходимы, может быть, что-то вроде изменения их сетевой инфраструктуры, чтобы она не была такой плоской. Это определенно было одной из вещей, которые позволили этому вредоносному ПО проникнуть так далеко, потому что каждая система могла получить доступ к любой другой системе. Были одинаковые общие пароли, учетные записи администраторов, привилегированные учетные записи, которые были доступны на многих, многих машинах в сети. Я думаю, что это был большой урок того, как правильно защитить вашу сеть и убедиться, что ваше шифрование на месте, чтобы предотвратить это снова.

Ведущий: Попытаться проследить этот взлом до ответственного за это человека иногда невозможно. Вы можете искать подсказки во вредоносном ПО, такие как язык, который использовался при его написании, или часовой пояс, на который оно установлено, но это всего лишь небольшие подсказки, которые не очень сильны. Попытка выяснить, кто совершил взлом, называется атрибуцией.

МЭТТ: Я твердо верю, что атрибуция на самом деле ни к чему не приведет, если только вы не занимаете политическую или руководящую должность и не должны принимать решения о том, кто может стоять за этой клавиатурой и тому подобные вещи. Однако всегда интересно узнать. Единственное, что я могу сказать об этом, это то, что мы еще не упомянули. В Северной Америке был один сервер, который рассматривался как расчетная палата. Затем были две дополнительные системы с задним ходом. В Европе было примерно то же самое.
Большая часть самих точек входа фактически началась в Азии. На самом деле это началось в основном в Юго-Восточной Азии и тому подобное. Это не дает никакой атрибуции. Просто когда вы пытаетесь получить данные кредитной карты, это очень интересное место для начала, если вы понимаете, о чем я. Вы — компания со штаб-квартирой в США. Какой у вас есть выход? Вы должны восстановить свою сеть. Вы должны достичь точки, когда вам не нужно бороться с пожарами каждый день. У тебя действительно нет времени. Что, ты собираешься нанять команду, чтобы преследовать этих парней или что-то в этом роде? Удачи.

Ведущий: Сколько было окончательно украдено кредитных карт?

Мэтт: Это число, насколько мне известно, все еще выясняется, но я думаю, что после того, как мы наткнулись на все, что мы могли найти, мы получили не меньше 100 000. Это все. Это было очень неожиданное число.

Ведущий: Я мало что знаю о текущих условиях черного рынка карточных игр, но можно с уверенностью сказать, что этих карт, вероятно, слишком много для этих хакеров, чтобы попытаться выцарапать из себя деньги. Возможно, они где-то продают эти карты оптом. Карты стоят от десяти до ста долларов каждая, поэтому, даже если они получили по десять долларов за карту, это означает, что эти хакеры заработали на этой компании миллион долларов. Теперь компания должна сделать это снова, чтобы попытаться решить проблему.

Мэтт: В первую очередь на компанию ложится работа с банками, работа с компаниями, выпускающими кредитные карты, и выпуск новых карт.

Ведущий: Об этом взломе было объявлено публично, и он попал в новости, но реакция публики на него не имела большого значения.

Мэтт: Короче говоря, это было не так безумно, как вы могли бы подумать. Это было не так уж важно. Я говорю, что, поскольку у вас есть предшественники, такие как Home Depot и Target, и некоторые из этих огромных крупных нарушений, у вас есть такие предшественники, о которых сообщали недели, если не месяцы.

КОРТНИ: Некоторые из более крупных нарушений, которые мы недавно наблюдали, включая номера социального страхования, я думаю, что кредитные карты немного отстают. Вы всегда беспокоитесь, что его украдут, но в глубине души многие люди думают: «О, я просто заменю его, куплю новый».

Ведущий: Помимо того, что это является серьезной головной болью для этой компании и еще большей головной болью для компаний, выпускающих кредитные карты, и банков, это также может серьезно повлиять на людей, чьи карты были украдены. В начале этого эпизода вы начали получать известия от Тома. Возможно, данные карты Тома были украдены и проданы на черном рынке, как в истории, которую вы только что слышали. Кто-то использовал его карту мошенническим образом, и его банк проводил расследование, чтобы выяснить, что пошло не так. Давайте послушаем, чем закончится его история.

ТОМ: Ну, утро, когда они это сделали, было 12 или 13 декабря, так что это фактически уничтожило Рождество. Я лицензированный подрядчик, и я получаю часть своего бизнеса через компанию, и мои счета заморожены, и ничего не может войти или выйти, первое, что я обнаружил, это то, что они перестали работать на меня, и они сказали хорошо, ваш счет просрочен, и ваш счет перерасходован, и мы не можем получить деньги, поэтому вы остановлены, пока что-то не произойдет.
Но, к счастью, у меня была финансовая поддержка, поэтому я смог выжить, но не мог работать, пока об этом наконец не позаботились. Теперь я мог вести дела со счетом, но даже после этого мне понадобилось пару месяцев, чтобы все уладить. Это был большой перерыв в моей жизни.

Ведущий: Кортни и Мэтт выступили с докладом на саммите Kaspersky SAS в начале этого года. В своем выступлении они подробно рассказали об этом новом виде вредоносного ПО. Они также сообщили об этом антивирусным компаниям, чтобы его можно было обнаружить в будущем. С тех пор Мэтт ушел из Kroll и теперь работает в Cylance, а совсем недавно был принят в качестве инструктора SANS, преподающего цифровую криминалистику и реагирование на инциденты.​
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Эпизод 20: Что бывает, когда хакер встречает хакера?



Ведущий: Иногда ожидание входа в админку может занять много времени: дни, недели, месяцы. Я слышал, что хакеры иногда создают проблемы на веб-сервере, например, увеличивают нагрузку на ЦП или приводят к сбою приложения. Но зачем это делать? Что ж, если веб-сервер ведет себя проблематично, это приведет к тому, что администратор войдет в систему для устранения неполадок. Когда они это сделают, паф. Они только что попали в ловушку. Но в нашем случае ожидание было не таким долгим.

2870e50c92b8a2799eb071aa5dfe3199.png


АНБ: Один из администраторов входит в систему. Мы видим, как это происходит. Мы получаем необходимую информацию и вставляем имплант в аппарат.

Ведущий: Вы только что услышали пятую фазу цепочки киберубийств: монтаж. Мы только что установили имплантат в целевую систему. Имплантат — это ошибка, троян, инструмент удаленного доступа, который позволяет нам в значительной степени завладеть этим компьютером. Для тех из вас, кто знаком с Metasploit…

АНБ: Просто представьте что-то вроде Metasploit на большом количестве стероидов.

Ведущий: Следующим этапом цепочки киберубийств является командование и контроль. Тот факт, что имплантат находится в машине, не означает, что он что-то сделает. Кто-то должен сказать ему, что делать. В этом случае теперь у нас есть возможность удаленного доступа к компьютеру сетевого администратора. Это наша команда и контроль над целевым компьютером. Сейчас мы очень близки к завершению нашей миссии. Нам осталось только взять под контроль компьютер администратора, а затем получить доступ к базе данных и взять нужные нам данные. Поэтому мы немного подождем, прежде чем залезть в компьютер администратора, чтобы не выглядеть подозрительно.

АНБ: Мы ждали около дня, полтора дня, чтобы перейти к интерактивной работе с коробкой, фактически использовать ее в интерактивном режиме. Как только мы использовали его в интерактивном режиме, в то время как другой человек использовал его, мы вошли в систему, когда они были, что обычно так и работает. Мы начали смотреть на скриншоты рабочего стола и увидели открытый браузер и десятки открытых вкладок в браузере. Мы начали просматривать множество скриншотов и просматривать содержимое вкладок. Это был человек, который гуглил это странное поведение Windows.

Ведущий: Компьютер администратора, в который мы проникли, вел себя странно. Он отображал много ошибок, и некоторые программы аварийно завершали работу. Было определенно похоже, что у этого администратора был какой-то вирус.

АНБ: Сначала мы это увидели, подумали, что это странно. Интересно, эти проблемы с его компьютером появились раньше, чем мы там были. На самом деле мы не знали, но у нас было подозрение, что это как-то связано с нами. Без нашего ведома и с того времени, когда мы впервые собрали нашу информацию через открытый источник и когда мы установили имплантат, он обновил свою операционную систему. По сути, он обновил Windows до следующей версии. Обычно в худшем случае ваш имплантат не работает, потому что он несовместим, верно, по какой-то причине. Это несовместимо и не работает, и это отстой, и вы действительно расстроены этим. Я бы предпочел, чтобы это было результатом здесь.
Вместо этого имплантат заработал, поскольку он установился там, где должен был, и начал работать, как и ожидалось. Проблема заключалась в том, что он плохо работал с более новой версией Windows, которая была на этом компьютере, и, к сожалению, начал вызывать очень странное поведение Windows. Это очень странное поведение приняло наихудшую из возможных версий, то есть то, что было хорошо видно пользователю. Теперь, когда мы на коробке и точно знаем, какая это была версия Windows, мы воссоздали ее в нашей собственной лабораторной среде. Я знаю, какая у него версия Windows, и я знаю аппаратное обеспечение. По сути, я перестроил ту же самую машину в нашей среде, бросил на нее наш имплантат и увидел, что наш имплантат вызывает это странное поведение. Это были очень, очень плохие новости для нас, потому что так тебя поймают. Это было ужасно.
С точки зрения политической реакции, такие вещи получаются — уведомления о подобных вещах доходят до самых высоких уровней правительства, потому что, когда вы попадаете в сеть, подобную этой, премьер-министры звонят друг другу. Если бы дела пошли достаточно плохо, нам пришлось бы информировать все руководство агентств и высшее руководство правительства. В этот момент все были очень обеспокоены, потому что мы уже были на веб-сервере. Мы уже проделали большую работу. Мы чувствовали себя довольно комфортно, поэтому мы уже развертывали довольно сложные большие имплантаты в сети. Этот, который вызывал эти проблемы, не был загрузчиком Stage 1.
Это был относительно сложный — на самом деле довольно сложный полнофункциональный имплантат, который мы не могли позволить себе потерять и не могли позволить себе попасть в сеть. Как только мы поняли, что происходит, это снова правительство, так что все тревоги начинают срабатывать. Вы должны начать рассказывать многим людям. Вы должны начать писать много служебных записок и посещать много совещаний, чтобы постараться, чтобы все были в курсе того, что происходит, каковы риски и что мы собираемся делать. Конечно, теперь первый порыв — удалить его или удалить имплант. К сожалению, поскольку он уже вызывал так много проблем со стабильностью, проблема заключалась в том, что если мы попытаемся добраться до него, чтобы удалить его, это может сделать его еще хуже. Мы не знали, так что риск был в том, чтобы ничего не делать, и прямо сейчас он просто думал, что у него технические проблемы, а не проблема с безопасностью, поэтому мы подумали, что все в порядке.
Риск заключается в том, чтобы либо остаться с тем, что у нас есть, и переждать техническую ерунду, надеясь, что он не догадается, что на самом деле это не техническая проблема, а проблема с безопасностью, или мы попытаемся удалить ее и вызвать какие-то другие странные вещи. случиться, что делает это еще хуже. Тогда мы совсем облажались. Решили оставить и не удалять, а принять ту ставку. Ситуация ухудшилась примерно на неделю, потому что мы не только смотрим их в Google в поисках решения проблемы, например, в поисках симптомов, которые он видит в Windows, мы читаем его электронные письма и видим его чаты с ИТ-специалистами, рассказывая им что происходило и вставлять билеты на неприятности. Мы видели беседу с этим ИТ-специалистом, которая была типа: «Привет, не мог бы ты подойти ко мне в 2:00, чтобы взглянуть?» В этот момент все начали очень беспокоиться, больше, чем мы уже были.

Ведущий: В данный момент дела идут не очень хорошо. В офисе очень напряженно и волнительно. Используемый имплантат был дорогим и секретным. Если бы он был обнаружен, это могло бы привести к тому, что его отследили до злоумышленников и потеряли этот дорогой и секретный имплантат. Но на данный момент мы успешно завершили шесть из семи этапов цепочки киберубийств. Остался только один этап, и это выполнение действия над целью. В нашем случае наша цель — использовать компьютер администратора для получения данных из базы данных Oracle, но команда не решается закончить работу.

АНБ: Проблема была в том, что это была большая сеть, и мы знали, какая база данных нам нужна. Мы знали, что существует база данных определенного типа, к которой мы хотели получить доступ, но мы не знали точно, где она находится в сети. В этот момент у нас есть высокий риск быть пойманным. Проблема в том, что мы наблюдаем, как они устраняют неполадки, и если они устраняют неполадки, устраняют неполадки и устраняют неполадки, а затем в какой-то момент выясняют, что здесь что-то действительно не так, и нам нужно позвать людей из службы безопасности и начать присматриваться поближе. Последнее, чего мы хотели бы, — это иметь более широкое присутствие в сети. Даже если это происходит на других машинах в других местах в сети, которые не могут, в тот момент, когда ваше реагирование на инциденты вмешивается и начинает блокировать вещи, мы облажались.
В этот момент мы хотим свести наше присутствие к минимуму, насколько это возможно, без потери доступа. На данный момент этой минимизацией был этот компьютер, на котором у нас возникла проблема, и веб-сервер. Вот оно. Само, очень ясное без даже каких-либо дебатов решение было сидеть, лежать тихо. Ничего не делай. Пусть это происходит, потому что никто не хотел увеличивать профиль риска, пока мы не узнали, чем это обернется.

Ведущий: Команда ждет и наблюдает. Дни проходят. Администраторы пытаются устранить ошибки, которые они видят. Проходит неделя. Он продолжает устранять неполадки, и на второй неделе администратор обращается за помощью к ИТ.

АНБ: Да, на второй неделе приходят ИТ-специалисты и смотрят на компьютер, и мы знаем, что они подходят к рабочему столу человека, потому что мы видим, как они назначают встречи. Мы подошли к этому моменту, когда по характеру заявки на устранение неполадок мы можем сказать, что они зашли в тупик. Они не могут понять, почему. Они не могут понять, что происходит. Они не могут понять причину происходящего. Они не могут определить причину, и она кажется им недетерминированной. Мы знаем, почему это происходит. Я знаю, что делает имплант и почему Windows ведет себя таким образом, но, поскольку они не знают, что там имплант, для них поведение совершенно недетерминировано. Поскольку это недетерминировано, они не могут разработать для него техническое решение.
Окончательное решение, к которому они пришли, заключалось в том, чтобы просто стереть его и начать сначала. Это был причудливый имплантат, но он был просто на уровне пользователя и находился на жестком диске, так что в тот момент, когда они стерли диск и пересняли его, все было в порядке. Они удалили наш имплантат, и мы были в порядке. Это было значительным облегчением. Слава Богу, все кончено, но, черт возьми, нас всех уволят? Это чья-то разумная реакция на подобные события на рабочем месте, когда все пошло не так. По сути, вы отвечаете за ту группу, где что-то пошло не так. Это все было на мне. Знаете, это был момент, когда я, наверное, возьму коробку и соберу свой стол. Но а) это правительство, поэтому никого не увольняют и б) на самом деле это не было результатом. После этого мы провели целую вскрытие, чтобы посмотреть, что произошло, как это произошло, почему это произошло и как это предотвратить.
Постфактум было установлено, что никакой халатности в игре не было. Никто не сделал ничего плохого. Именно это и произошло. Шанс, что мы проведем два месяца исследований, потратим тридцать дней на принятие решений и проведение совещаний, а затем за эти тридцать дней выполним операцию, один из администраторов обновит Windows. Это не супер высокая вероятность того, что это произойдет, и нам просто не повезло. К сожалению, эти две звезды пересеклись на небе, и это произошло. Если бы прошло полгода, и мы не попытались бы повторно обновить нашу информацию и сделать ее более свежей, результат, скорее всего, был бы хорошим, вы слишком долго ждали. Верно, ты должен был это знать. Слишком многое может измениться за шесть месяцев. Но тридцать дней было разумно, потому что опять же, это правительство. Тридцать дней уходит на оформление документов, организацию встреч и просто административные дела.
Тот факт, что это произошло через тридцать дней, тот парень обновил Windows: это считалось приемлемым. Единственным другим последствием было то, что когда мы подошли к этой машине сбоку, должны ли мы были сделать что-нибудь тактически, прежде чем поместить имплантат в эту коробку? Были дебаты по этому поводу. Должны ли мы были захватить учетные данные и просто интерактивно взаимодействовать с этой машиной только для того, чтобы захватить такие вещи, как ее ОС, антивирус и все такое? Это было оперативное решение, которое мы приняли в то время, очень тактическое решение. Но поскольку мы сделали открытый исходный код и знали, что там есть, казалось бы, причин для этого было меньше. Вот оно.

Ведущий: Очистив машину от имплантата, команда может расслабиться, зная, что их прикрытие не будет раскрыто, а их дорогостоящая уловка не будет обнаружена. Как насчет первоначальной цели получить доступ к базе данных?

АНБ: На самом деле у нас никогда не было доступа к базе данных. Не из-за этого, на самом деле просто оказалось, что сеть была настроена таким образом, что наш путь туда был чрезвычайно сложен от того места, где мы находились в сети, до того места, куда нам нужно было добраться. Как и в любой другой бизнес-среде, у нас были конкурирующие требования. В какой-то момент, наверное, через полтора месяца после этого инцидента, после этого небольшого инцидента, мы пришли к тому, что ладно, я знаю, где находится сервер Oracle. Я знаю, кто такие админы, но наша способность добраться до него сложна. Это займет некоторое время. Мы можем это сделать, но хотим ли мы этого?
В то же время у меня было еще три требования, которые я должен был удовлетворить. Эти требования требовали некоторых из тех же людей, которых я сейчас использовал для работы над этим, так что это было похоже на то, что мы делаем? Можем ли мы просто поддаться наживке и уйти или просто пойти ва-банк и пойти на это? Решили отказаться от наживки и уйти. Это происходило все время. Потому что я думаю, что любой хакер, независимо от того, являетесь ли вы представителем ABT национального государства или ребенком в подвале своей мамы, все знают, что это большая удача, что все работает. Только так много мысли и разума входит в это.
В конце концов, это большая удача, и я бы сказал, что по статистике за те годы, что я занимаюсь этим, удачи нет или она заканчивается более чем в половине случаев, потому что это сложно и становится все труднее, потому что люди просто в целом больше осведомлены о кибербезопасности и информационной безопасности. Они немного умнее, этого достаточно, чтобы знать, может быть, не нажимать на ссылку или, может быть, не посещать этот веб-сайт с работы или с вашего рабочего компьютера, и, возможно, не нажимать «ОК», когда появляется сообщение «Flash Needs to Update».​
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0


Эпизод 21: Для чего хакеры крадут записи о пациентах?



Ведущий: 2015 год был полон утечек данных. В начале года было два крупных нарушения со стороны поставщиков медицинских услуг. В феврале Anthem объявил, что было украдено восемьдесят миллионов записей о пациентах. Примерно в то же время был обнаружен Premera Blue Cross, и они обнаружили, что, возможно, одни и те же актеры были в их сети и признали взлом одиннадцати миллионов записей пациентов. Таким образом, только в первом квартале 2015 года хакеры украли почти сто миллионов записей о пациентах. На самом деле они не воровали медицинские записи; вместо этого они захватили такие вещи, как имена, дни рождения, медицинские удостоверения, номера социального страхования, уличные адреса, адреса электронной почты, информацию о сотрудниках и данные о доходах. Люди не были уверены, для чего это может быть использовано, кто это делает и зачем.
Его просто продали на темном рынке за быстрый биткойн? Была ли эта информация собрана в рамках многоэтапной атаки? Каким образом эта информация может быть ценной для хакеров? Как вы можете зарабатывать деньги, если знаете чье-то имя, адрес, номер социального страхования и тому подобное? Я позволю вам подумать об этом на минуту. Давайте поговорим о налоговой. Для моих неамериканских слушателей Служба внутренних доходов — это правительственное агентство США, которое собирает налоги. Большинство граждан и предприятий США должны каждый год отчитываться о своих доходах в IRS и платить налоги в зависимости от того, сколько денег они заработали. IRS приходится обрабатывать сотни миллионов налоговых форм в год. Это архаичная и слишком сложная система. По сути, мы, американцы, платим процент от денег, которые мы зарабатываем, правительству, чтобы они могли погасить государственный долг за армию, социальное обеспечение, медицинское обслуживание пожилых людей и тому подобное.

ecd9e974566415127f831dea67908360.png


Правительству США нужно много наших денег. В среднем они забирают около 14% нашей зарплаты. Если вы зарабатываете 67 000 долларов в год, они хотят из них 9 000 долларов. Но вот в чем дело; Американцы не копят 9000 долларов, чтобы отдавать их им каждый год. Мы просто просим наших работодателей вычесть эти деньги из нашей зарплаты еще до того, как мы их получим. Таким образом, все оплачено и прочее. Но мы не всегда знаем, сколько платить, и иногда мы недоплачиваем, и когда приходит время уплаты налогов, нам приходится платить немного больше. Но что на самом деле делают многие люди, так это переплачивают, а затем IRS возвращает нам деньги, которые нам не нужно было платить. Иногда это может быть налоговая декларация хорошего размера, тысячи долларов. Этот процесс подачи налоговых деклараций очень сложен, и традиционно IRS обрабатывает все это с помощью бумажных форм. Если вы хотели увидеть свои старые налоговые отчеты, вам нужно было заполнить форму IRS 4506 и заплатить 50 долларов, и вы можете получить свою старую налоговую отчетность, отправленную вам по почте.
Но в последнее десятилетие они перешли к электронной подаче документов, где вы можете сделать все это через веб-сайт irs.gov. В январе 2014 года они добавили на веб-сайт irs.gov новую функцию под названием «Получить стенограмму». Это позволит вам увидеть свои налоговые отчеты за прошлый год на случай, если вы захотите использовать их при подаче документов за этот год. Это была фантастическая функция, и сразу же миллионы американцев использовали ее для поиска своих налоговых форм за прошлый год. Обычно, когда вы подписываетесь на банковский счет или у поставщика медицинских услуг, вы проходите процесс регистрации, который часто включает в себя настройку пароля, а затем некоторые вопросы по восстановлению учетной записи, например, где вы познакомились со своим супругом или в какую среднюю школу вы ходили. Сайт irs.gov отличается. Они используют то, что называется мгновенным KBA или аутентификацией на основе знаний.
Они задают ряд вопросов, на которые только вы знаете ответ, например, какой у вас платеж по ипотеке и где вы купили машину. Это называется мгновенным KBA, потому что у них уже есть ответы на их стороне. Это немного отличается от банковского счета, где, когда они задают вам вопрос, они не знают ответа, и вы ставите ответ, а затем они сохраняют его для следующего раза. Благодаря Instant KBA они уже знают, в какую среднюю школу вы ходили, из вашей кредитной истории. IRS сотрудничает с одной из крупных компаний, предоставляющих кредитные отчеты, такой как EquiFax, чтобы узнать о вас больше. Благодаря этому IRS знает, на каких улицах вы раньше жили, какие кредитные карты у вас есть в настоящее время и тому подобное. Когда вы хотите использовать функцию «Получить выписку» на веб-сайте irs.gov, вам задают ряд подобных вопросов, ответы на которые знаете только вы, и они доказывают, кто вы, а затем вам показывают ваши старые налоговые отчеты.
Но можете ли вы догадаться, какие есть проблемы с этим мгновенным KBA? Ну, во-первых, IRS говорит, что 22% людей не могут сами правильно ответить на вопросы. Вы помните свой номер телефона, который у вас был десять лет назад, или адрес, который у вас был в колледже? Может быть, но когда тебе будет семьдесят? Вот еще одна проблема с мгновенным KBA; вы не можете отказаться от этого. IRS и EquiFax собрали и сохранили эту информацию о вас, на сохранение которой вы не давали им разрешения. Это может стать проблемой конфиденциальности. На самом деле NIST, правительственный совет по стандартам, специально комментирует это, говоря: «Неуместно непреднамеренно раскрывать конфиденциальность неизвестных граждан схемы мгновенной аутентификации KBA, если риск не близок к нулю». Еще одна большая проблема с этой аутентификацией, основанной на знаниях, связана с знанием секретной информации о вас.
По мере того, как наши данные становятся все более открытыми для всего мира из-за утечек, эта секретная информация больше не является секретной. Давайте вернемся в 2014 год, когда эта услуга «Получить стенограмму» впервые была представлена на веб-сайте irs.gov. Допустим, мы хотели получить наши старые стенограммы. Прежде всего, сайт запрашивает следующее: имя, номер социального страхования, адрес. Исторически сложилось так, что ваш номер социального страхования является приватным, и лишь немногие люди могут его знать, но по мере того, как происходят утечки данных, он становится не таким уж приватным. Имя и адрес не так уж сложно выяснить, поэтому эти первые вопросы можно легко победить, если кто-то знает это о вас. На этом этапе они заставляют вас зарегистрироваться с адресом электронной почты и отправляют вам электронное письмо для дальнейших шагов. Затем вам будут представлены четыре мгновенных вопроса KBA с несколькими вариантами ответов. Вот несколько образцов.
"Пожалуйста, выберите округ указанного вами адреса". Ну, очевидно, вы можете посмотреть это на любой карте, так что это легко. Следующий вопрос. "Согласно нашим записям, вы раньше жили в… вставьте город. Выберите улицу, на которой вы проживали в этом городе". Что ж, это вопрос с несколькими вариантами ответов, поэтому вы можете просмотреть ответы и исключить любые улицы, которых нет в этом городе, и тогда у вас будет довольно высокий шанс получить правильный ответ. "Пожалуйста, выберите город, в котором вы ранее проживали". Что ж, если у хакера были какие-либо данные о вас из предыдущих взломов, они, вероятно, включены. Или, черт возьми, ответ может быть даже в предыдущем вопросе. "Согласно нашим записям, какую из следующих средних школ вы окончили?" Ну, ты был на Facebook в последнее время? Почти все там есть, и все они любят писать, в какую среднюю школу они ходили, поэтому обычно это довольно легко найти. Вот и все.
Если вы правильно ответите на эти вопросы, вы получите абсолютно всю историю налоговых записей для этого человека. Если вы действительно посмотрите на это, потому что это вопросы с несколькими вариантами ответов, у нас есть шанс ответить на все вопросы правильно, даже не взломав данные, просто погуглив человека, где он жил и все такое. Эта опция «Получить расшифровку» на веб-сайте irs.gov использовалась миллионами людей в 2014 году, а затем снова в 2015 году. Это была отличная функция, но вы, возможно, уже заметили, что метод аутентификации, возможно, не был таким уж безопасным. Давайте перенесемся в февраль 2015 года, в тот же месяц, когда была обнаружена брешь в Anthem. Парень по имени Майкл Каспер идет заполнять налоговую декларацию. Он заполняет все формы в электронном виде и нажимает «Отправить», но что-то не так. Веб-сайт IRS сообщает ему, что он уже представил свои налоги, но это невозможно. Он еще не представил его. Он звонит в службу поддержки, и знаете что? Я позволю ему рассказать историю.
МАЙКЛ: В понедельник утром я позвонил в IRS, и они подтвердили мою личность, задав вопросы, связанные с налоговой историей, и показали мне, что депозит был внесен в тот же день, когда я звонил на чей-то счет, но было слишком поздно, чтобы остановить это. в таком случае.

Ведущий: Налоговое управление только что сообщило ему, что кто-то подал налоговую декларацию от его имени, и этому человеку был отправлен чек. Он уже был депонирован. Налоговое управление не смогло сообщить ему ничего другого, например, сколько стоил чек, в каком банке он был депонирован или что-то в этом роде. IRS не может раскрыть это из соображений конфиденциальности.

МАЙКЛ: Меня это расстроило. Именно тогда я попробовал функцию «Получить стенограмму» на веб-сайте IRS, чтобы узнать, могу ли я получить стенограмму, и обнаружил, что кто-то еще уже зарегистрировал свой адрес электронной почты с моим номером социального страхования.

Ведущий: Похоже, кто-то уже прошел этапы получения выписки из налоговой документации Майкла и зарегистрировался от его имени. В этот момент Майкл не знал, что и думать. Он задавался вопросом, взломали ли его, или кто-то украл его бумажник или личность, или что случилось. Это его вина, что это происходит? Снова и снова Майкл запрашивал дополнительную информацию о том, кто заполнил его налоги, но IRS отказывалась предоставить какую-либо информацию. В законе четко указано, что IRS не может никому передавать налоговую информацию, и он не смог войти на веб-сайт IRS и воспользоваться функцией «Получить выписку», потому что кто-то другой уже зарегистрировался под его именем. Он чувствовал себя застрявшим, но придумал новый план. Он выяснил, что если вы заполните форму IRS 4506 и включите 50 долларов, они отправят вам бумажную копию вашей налоговой декларации.

МАЙКЛ: Я узнал, что могу получить ксерокопию за 50 долларов. Они говорили мне, что я не могу получить информацию, но если я заплачу 50 долларов, я смогу ее получить. Итак, 17 марта я получил ксерокопию декларации, и именно тогда я узнал, что тот, кто подавал, видел мою декларацию за 2013 год, потому что информация была почти идентичной.
Какие данные заполучили злоумышленники и чем это обернулось для Майкла читай в следующем выпуске ровно через неделю.​
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Эпизод 22: Как нажиться на чужой страховке

Ведущий: Это было странно. Теперь он начал собирать кусочки воедино. Кто-то определенно прошел процедуру получения выписки на веб-сайте irs.gov, получил копию своей старой налоговой декларации и подал новую за этот год. Он просмотрел налоговую декларацию, которую подал кто-то другой, и они получили возмещение в размере 8 936 долларов. Это были деньги, которые налоговая служба должна была Майклу, но они отправили их другому человеку. Майкл внимательно посмотрел на свою налоговую декларацию…
МАЙКЛ: И видел номер банковского счета.

Ведущий: Майкл — умный парень, даже инженер, и он не получал никакой помощи от IRS, и он злился, злился из-за того, что кто-то украл у него его деньги. Он решил попробовать разобраться в этом самостоятельно.

МАЙКЛ: Но я связался с банком в Пенсильвании. Подтвердили, что залог внесен. Я предполагаю, что метаданные в депозите на самом деле показали, что мое имя и мое социальное обеспечение переходят на чей-то текущий счет. Они сказали мне место, Уильямспорт, Пенсильвания, где были сняты все деньги. Там я связался с местной полицией.

Ведущий: Полиция сразу же перезвонила ему и хотела узнать больше. Они открыли дело и начали расследование. В тот же день Майкл получил письмо.

МАЙКЛ: Я получил по почте письмо от IRS, что шесть недель спустя они получили мои документы и что они вернутся ко мне через шесть месяцев.
Ведущий: Это немного разозлило Майкла. Почти сразу после получения своих налоговых отчетов он смог добиться большого прогресса, начав полицейское расследование, и здесь IRS говорит, что им потребуется шесть месяцев, чтобы расследовать это?

МАЙКЛ: На той неделе я также получил письмо от Anthem Healthcare с предложением бесплатного кредитного мониторинга. Я действительно не знаю, связано ли это с тем, как была получена моя информация.

Ведущий: Личная информация Майкла была украдена при взломе Anthem, и он помнил, что данные, украденные при взломе Anthem, включали его имя, номер социального страхования и прошлые адреса. Этого, вероятно, будет достаточно, чтобы получить стенограмму. Полиция отправилась в дом этого человека в Пенсильвании и обнаружила, что этот человек, который внес чек, был молодой студенткой колледжа.

МАЙКЛ: Она откликнулась на объявление Craigslist, предлагающее работу.

Ведущий: Ах да, старая афера с дропами. Хорошо, вот как это работает. Преступники, которым нужно перевести деньги, будут предлагать работу на Craigslist, говоря что-то вроде того, что международной финансовой компании нужна помощь в написании писем. Затем они проходят собеседование и принимаются на работу. Сначала им дается несколько основных задач, например, поправить английский в некоторых электронных письмах. Эти базовые задачи только для того, чтобы заслужить доверие, потом преступники расскажут какую-нибудь грустную историю о том, что им нужно сразу заплатить клиенту, а средства привязаны. Они спрашивают жертву: "Эй, если мы отправим вам деньги, вы не могли бы отправить чек клиенту?" Если они соглашаются, рождается дроп. Быть дропом незаконно, и эта молодая женщина понятия не имела, что это незаконно. Ей просто нужны были дополнительные деньги, чтобы поступить в колледж.

МАЙКЛ: Деньги поступали на ее счет, а затем она переводила большие суммы в Нигерию через Вестерн Юнион.

Ведущий: Она отправила 7000 долларов в Нигерию, а в качестве вознаграждения смогла оставить остальные 1900 долларов, которые она потратила в основном на аренду жилья, оставив на счету всего 5 долларов, когда ее поймала полиция. Она была арестована за то, что была дропом, а позже вышла под залог, заплатив 8500 долларов. Майкл был разочарован всем этим испытанием, поэтому в конце марта он связался с журналистом Брайаном Кребсом, чтобы поделиться своей историей. Его история сразу же появилась в Krebs on Security, блоге о взломах и безопасности. IRS заметила это сообщение в блоге и в конце концов вернула ему деньги, но это заняло несколько месяцев. Майкл был не первым, кто сообщил об этом виде мошенничества в 2015 году. У многих других людей была такая же проблема, у тысяч других. IRS начала расследование.

8145bf3bad00b4d088eb98a33674a0c4.png


Эта функция веб-сайта «Получить выписку» была настолько популярна, что только в этом году было получено более двадцати миллионов запросов, поэтому во время налогового периода это более 100 000 запросов на получение выписки в день. Но этот всплеск был намного больше. Это было похоже на сотни тысяч других за один день. На самом деле было так много запросов, что системы начали создавать резервные копии, и IRS подумала, что они подверглись атаке типа «отказ в обслуживании». Они смогли поддерживать сайт в рабочем состоянии и поддерживать поток пользователей, и все прекратилось. Через неделю, 21 мая, центр безопасности IRS обнаружил нечто ужасное. Это были не законные пользователи, пытавшиеся получить передачу налоговых записей. Это были хакеры, мошенники, воры. Было предпринято более 200 000 подозрительных попыток получить выписки налогоплательщиков, и половина из них оказалась успешной.
Воры успешно использовали функцию «Получить выписку» на веб-сайте irs.gov, чтобы получить налоговые отчеты 100 000 человек. Имейте в виду, это не взлом. Никаких уловок, эксплойтов или уязвимостей злоумышленники не использовали. Они просто нашли способ пройти через систему аутентификации, вероятно, используя некоторую личную информацию, которую они получили в результате других взломов. Но даже если это не взлом, это, безусловно, утечка данных, очень личных данных, и очень страшно подумать о том, что такие преступники сделают с вашими прошлыми налоговыми записями. У этих людей есть много ресурсов и времени, чтобы двигаться быстро и украсть много денег, так что это может создать проблемы для этих людей на годы или даже на всю жизнь. Как только IRS обнаружила, что 100 000 налоговых записей были украдены с их веб-сайта, они немедленно отключили функцию «Получить выписку». Пять дней спустя они объявили общественности, что произошло нарушение и было украдено 100 000 налоговых документов. IRS предпринял ряд корректирующих действий после этого нарушения. Вот комиссар IRS.

Комиссар: Письма уже разосланы примерно 100 000 налогоплательщикам, чья налоговая информация была успешно получена неуполномоченными третьими лицами. Мы предлагаем кредитный мониторинг за наш счет для этой группы налогоплательщиков, мы также даем им возможность получить личный идентификационный номер защиты личности, или IP PIN, как известно. Это дополнительно защитит их счета IRS. Приложение Get Transcript также было закрыто, пока мы рассматриваем варианты, чтобы сделать его более безопасным, не делая его недоступным для законных налогоплательщиков.

Ведущий: IRS создала эту опцию, чтобы получить PIN-код IP или номер личной информации для защиты личности. Это шестизначный код, который IRS может выдать вам, который затем потребуется для заполнения вашей налоговой декларации. Это усложняет для преступников подачу налогов, если они не знают этот PIN-код. Новость о взломе IRS была главной темой почти во всех новостных агентствах США. Граждане были возмущены, у конгресса и сенаторов возникли вопросы. Полное слушание комитета сената было проведено, чтобы получить показания IRS. Это вступительное заявление комиссара IRS Джона Коскинена.

Комиссар: Несанкционированные попытки доступа к информации с помощью приложения «Получить выписку» были предприняты в отношении примерно 200 000 учетных записей налогоплательщиков с сомнительных доменов электронной почты, и эти попытки были сложными и изощренными по своему характеру. Эти попытки были предприняты с использованием личной информации налогоплательщика, уже полученной из источников за пределами IRS. В середине мая наша команда по кибербезопасности заметила необычную активность в приложении Get Transcript. В конечном итоге они обнаружили сомнительные попытки доступа к приложению Get Transcript. Из примерно 100 000 успешных попыток доступа к приложению только 13 000 возможно мошеннических деклараций были поданы за 2014 налоговый год, по которым IRS выплатила возмещение на общую сумму около 39 000 000 долларов.

Ведущий: На этом слушании мы также услышим от Майкла Каспера, того парня, который сам выследил того, кто украл его налоговую декларацию. На самом деле клипы, которые вы слышали от него ранее, взяты с этого слушания в Сенате. На самом деле было несколько слушаний, которые продолжались часами. Во время слушания мы узнаем немного о типах компьютерных проблем, с которыми сталкивается IRS.

Комиссар: Мы используем устаревшую систему с некоторыми приложениями, которым пятьдесят лет, как отмечалось в некоторых случаях. Отмечено, что мы даже не смогли предоставить исправления для всех обновлений. Для некоторых наших систем нет исправлений, потому что они больше не поддерживаются провайдером.
Похоже, что преступники лучше знают вашу личную информацию, чем вы. Это просто увлекательно. Если вы помните, IRS начала использовать этот IP-пин, чтобы добавить дополнительный уровень безопасности вашим налогам, но у этого было несколько собственных проблем. Прежде всего, ваш PIN-код выдается через веб-сайт. Сравните это с тем, когда ваш банк отправляет вам ваш PIN-код по почте. Если вы потеряли свой PIN-код IRS и хотели его восстановить, вам нужно было пройти через тот же веб-сайт irs.gov, чтобы ответить на те же слабые вопросы KBA, которые злоумышленники победили, чтобы получить ваши стенограммы. Угадай, что? Преступники это поняли и начали красть PIN-коды. В феврале 2016 года IRS опубликовала заявление, в котором говорилось, что было совершено более 464 000 несанкционированных попыток получить PIN-код. Хакеры успешно получили от налогоплательщиков 101 000 PIN-кодов.
Затем налоговая обнаружила кое-что еще. Они провели еще одну проверку людей, которые сделали Get Transcript на веб-сайте. Они обнаружили, что число было выше, чем они первоначально думали. Сначала в IRS сказали, что это 101 000 человек, а потом выяснилось, что их было 334 000. Теперь IRS говорит, что это вдвое больше; У 724 000 человек налоговые декларации были украдены преступниками с помощью этой функции веб-сайта Get Transcript. Было отправлено больше писем и выпущено больше бесплатного кредитного мониторинга. В IRS есть целый отдел под названием Отдел уголовных расследований IRS, а в самой IRS работает более 2000 специальных агентов, которые специально расследуют налоговые махинации. Эти специальные агенты будут работать с ФБР, секретной службой, национальной безопасностью и местной полицией, чтобы выследить и поймать этих преступников.
Но поскольку сокращение бюджета ударяет по IRS, это означает, что около 4% специальных агентов теряют работу каждый год. Чем меньше расследований, тем меньше арестов. Отдел уголовных расследований IRS открывает около 35000 дел в год и фактически ловит и осуждает около 3000 человек в год. Узнали ли они, кто это сделал, и привлекли ли они их к ответственности? Я не уверен. Однако вот что я нашел. Министерство юстиции выпускает пресс-релиз каждый раз, когда кто-то выносится приговор за мошенничество с возмещением украденной личности. В нем перечислены сотни и сотни дел, начиная с 2010 года. Я начал просматривать его, просматривая записи дел, даты и преступления, чтобы найти что-нибудь, совпадающее с этим. Вещи начали появляться. Вероятно, самым крупным из них, которого я видел, был нигериец, которого поймали и приговорили к пятнадцати годам тюрьмы за осуществление одной из самых крупных схем налогового мошенничества.
Вот что произошло: группа людей в штате Орегон сообщила, что кто-то подал за них возврат налога. Группа уголовного расследования IRS изучила это и обнаружила, что кто-то мошенническим образом подавал налоговые декларации для людей в Орегоне и забирал все их возмещения. Они проследили эту деятельность до нигерийца по имени Казим, который жил в Мэриленде. Они арестовали его и нашли в его доме 150 предоплаченных кредитных карт, 40 000 долларов денежными переводами и 14 000 долларов наличными. В ходе суда они узнали, что произошло. Казим приобрел личную идентификационную информацию у вьетнамского хакера, в частности, 259 000 записей у компании в Орегоне. Возможно, вьетнамский хакер украл базу данных кредитного агентства или медицинского учреждения в Орегоне.
Затем Казим использовал эту информацию, чтобы выполнить Get Transcript на веб-сайте irs.gov, а также получить PIN-коды с веб-сайта для подачи налоговых деклараций для этих людей. Он подал 10 000 налоговых деклараций, что привело бы к получению 91 000 000 долларов, если бы он получил все декларации, но многие из них не были приняты. Ему удалось вернуть только 11 000 000 долларов за счет мошеннических возвратов. Чтобы сбить полицию с толку, он переправил большую часть денег через Нигерию, а затем обратно к себе. На него работали еще пять человек, все они были арестованы и посажены в тюрьму. Возможно, этот парень, Казим, был одним из самых крупных игроков в этой бреши, но я не думаю, что он был единственным. Просматривая другие аресты на веб-сайте Министерства юстиции, я вижу еще несколько, на этот раз даже ближе к дому.
Есть парень из Техаса, которого поймали и арестовали за то, что он мошеннически использовал функцию «Получить выписку», собирал информацию о людях и подавал для них налоговые декларации. Он был приговорен к двум годам лишения свободы. Затем была пара из Джорджии, которая была арестована за использование функции «Получить выписку» и получила возврат налогов на сумму более 1 000 000 долларов. Их обоих тоже посадили в тюрьму на несколько лет. Затем был еще один парень в Техасе, который также был пойман на использовании функции «Получить выписку» и тоже подавал ложные налоговые декларации. На самом деле, когда я начал выяснять, кто подает подобные мошеннические налоговые декларации, основание этой истории начало выпадать. Возьмем, к примеру, случай Даниэлы. Она 27-летняя экзотическая танцовщица из Тампы, штат Флорида, но ее арестовали за налоговое мошенничество. Она украла более 1 000 000 долларов в качестве возмещения налогов у людей, которых она не знала.
Она продолжала избегать наказания в течение четырех лет. На самом деле, в некоторых кругах она известна как пионер в этом деле. Она устраивала что-то под названием дроп-вечеринки. Здесь вы собираетесь и обмениваетесь тактиками, украденными личными данными и обучаете других, как это делать. В конце концов ее поймали и посадили в тюрьму.
Вы можете думать, что это не ваша проблема, это проблема IRS, но если вы рассчитываете или ожидаете большую налоговую декларацию, а кто-то другой получает ее вместо вас, теперь это ваша проблема. Конечно, IRS может потратить шесть месяцев на расследование и вернуть вам деньги, но эта задержка может стать кошмаром. Мы должны защитить себя. IRS вернула функцию «Получить выписку» на веб-сайте, и теперь для ее получения требуется дополнительная информация, например, вам нужно знать номер своего ипотечного счета и номер телефона, чтобы получить выписку. Но вы можете видеть, что этот метод аутентификации начинает показывать свой возраст и может больше не быть безопасным, потому что информация, которую знаете только вы, теперь известна хакерам по всему миру. Кто знает, что было украдено при взломе EquiFax? Может быть, вся база данных. Это могло раскрыть всю нашу секретную информацию, что полностью аннулировало бы KBA. Система KBA используется не только в IRS.
Они разрабатывают чрезвычайно продвинутые фильтры и алгоритмы для обнаружения мошенничества и проделали потрясающую работу по его устранению. Но это одна из тех вещей, которые никогда не снизятся до нуля, потому что мошенники будут постоянно искать лазейки или слабые меры безопасности и использовать их при любой возможности. Я не могу представить себе кошмар попыток обезопасить IRS. Поскольку он собирает более трех триллионов долларов налоговых поступлений в год, это горячая цель. IRS видит бесконечное количество нападений, мошенничества, мошенничества и воров, особенно во время налогового сезона, когда преступники могут попытаться спрятаться за массой отправляемых налоговых деклараций. Одна из самых больших проблем с веб-сайтом IRS заключается в том, что он должен быть достаточно простым для использования пожилыми людьми, но в то же время действительно безопасным. Я не уверен, что вообще выполнимо заставить всех регистрироваться с помощью электронной почты или двухфакторной аутентификации.
Это настолько сложная проблема, что у меня на самом деле голова болит, пытаясь найти решение этой проблемы. Это новый ландшафт угроз, с которыми приходится сталкиваться правительствам, и эти атаки становятся все более масштабными и изощренными. В 2016 году мы увидели целый ряд взломов компаний, и украдены были просто их налоговые отчеты W-2. У бывших и нынешних сотрудников CGATE и Snapchat были украдены их W-2, что было достаточной информацией для этих уличных банд, чтобы подавать декларации и открывать кредитные карты на ваше имя.​
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Эпизод 23: Чем опасны арабские хакеры


Ведущий
: Для этой истории мы направляемся на Ближний Восток.

МОХАММЕД: Итак, меня зовут Мохаммед Альдуб. По-арабски это пишется م.محمد الدوب.
Ведущий: Да, так где ты сейчас?

МОХАММЕД: В Кувейте, как всегда. Это то место, откуда я родом.

Ведущий: Сейчас Мохаммеду за тридцать, но с подросткового возраста он увлекался компьютерами.

МОХАММЕД: Ну, Кувейт, как правило, представляет собой очень связанное общество, поэтому очень легко попасться на крючок с самого начала. С моей, скажем, возрастной группой, с интернетом, который вошел в наши дома в конце девяностых, рано подсел на технологии, это было – я думаю, это было очень просто. Но потом я действительно поступил в Кувейтский университет, в инженерный колледж и на факультет компьютерной и программной инженерии, так что я получил диплом инженера в этом направлении. Но затем, после выпуска, я действительно занялся кибербезопасностью. Итак, я пришел в кибербезопасность примерно в 2010 году.

bcaf899af23450ea4fd0886769091753.png


Ведущий: Он получил работу в правительстве Кувейта, занимаясь обеспечением безопасности систем, и довольно рано осознал важность Интернета и защиты всего, что в нем есть.

МОХАММЕД: В мои ранние годы, где-то в 2010 и 2011 годах, я на самом деле познакомился с покойным Дэном Камински, и его руководство было действительно удивительным в отношении того, как новый и подающий надежды человек, такой как я, мог бы сделать, чтобы должным образом заняться кибербезопасностью. Я думаю, что с появлением социальных сетей, которые штурмом захватили политическую и общественную сцену Кувейта, для меня было совершенно естественным использовать эту платформу для обсуждения кибербезопасности и повышения осведомленности.
Ведущий: У Мохаммеда много поклонников в Твиттере. Там его зовут Вулнет, и он не говорит мне, что это значит. Сегодня у него 73 000 подписчиков, но чтобы добиться этого, он поделился в Твиттере большим количеством знаний о безопасности.

МОХАММЕД: Я сделал много — я бы сказал, что твит-шторм — это когда я беру определенный образец вредоносного ПО, который только что был свежим, в настоящее время используется для атаки на какую-то организацию в регионе Персидского залива, затем я выходил в эфир в Твиттере, пытаясь проанализировать вредоносное ПО, как это работает, что делает с системами. Так что это было чем-то вроде того, что мы делаем для сообщества, для толпы. Людям это понравится. Люди будут заниматься этим.

Ведущий: После колледжа он смог устроиться на работу в правительство Кувейта. Ему было поручено делать такие вещи, как обеспечение безопасности систем, анализ вредоносных программ и другие работы по кибербезопасности. Он хорошо разбирался в безопасности, масштабировался, и его популярность в Твиттере росла. С этим перед ним начали открываться новые двери.

МОХАММЕД: Затем, в 2018 году, я фактически оставил эту государственную работу, а затем прошел свой первый официальный тренинг по кибербезопасности, который проходил за границей. Это было в Нидерландах, поэтому я провел курс по анализу вредоносного ПО для Android для голландской полиции. Так что это было довольно интересно, потому что это был официальный первый официальный тренинг, который я провел за пределами Кувейта перед аудиторией в Европе.

Ведущий: Ему очень понравилось. Обучать людей новым вещам весело, поэтому он огляделся в поисках дополнительных возможностей для обучения.

МОХАММЕД: На самом деле меня приняли в Black Hat в качестве препода, и для меня это было сбывшейся мечтой. Я никогда не думал — обычно, когда я работал в правительстве, я мечтал посетить Black Hat, понимаете?

Ведущий: Black Hat — это ежегодная конференция по безопасности в Лас-Вегасе, которая проходит за неделю до Defcon, и Black Hat больше ориентирована на профессионалов в области безопасности и людей, которые хотят научиться лучше защищать свои системы. Обучение там, как я слышал, довольно хорошее, поэтому Мохаммед гордился тем, что его выбрали в качестве тренера. В частности, он планировал провести курс по защите конечных точек API. Но был 2019 год, и он получил известие, что станет тренером в начале этого года, например, в феврале или марте. Но Black Hat появится только в августе, так что у него было пять месяцев на подготовку. Именно в эти пять месяцев происходит эта история, история, изменившая его жизнь. Что Мохаммед любит делать, так это изучать новейшие вредоносные программы, и особенно его интересовало вредоносное ПО, которое каким-то образом использовалось в Кувейте, где он жил.

МОХАММЕД: Итак, конечно, находясь в регионе Персидского залива, было много интересных участников угроз, особенно, например, из Ирана, из других стран, из Израиля, других организаций и стран мира. Таким образом, очевидно, что регион Персидского залива был сильно атакован, и обычно это было что-то регулярное, когда мы пытались охотиться за угрозами, пытались искать государственных субъектов, атакующих определенные объекты.

Ведущий: Как государственному служащему, ему иногда присылали вредоносное ПО для анализа, и это было круто. Но поскольку он уволился с работы, ему нужно было найти новое место, чтобы следить за последними вредоносными программами, распространяющимися в Кувейте.

МОХАММЕД: Один из лучших способов поиска таких вещей — использование VirusTotal.

Ведущий: VirusTotal; это увлекательный веб-сайт. Итак, бесплатная услуга, которую они предлагают, заключается в том, что если вы обнаружите какое-либо вредоносное ПО, вы можете загрузить его на их сайт, и он сообщит вам, что это за вредоносное ПО. Это очень полезно для групп безопасности, чтобы получить информацию о любом вредоносном ПО, которое они нашли в своей сети. Я имею в виду, подумай об этом; предположим, что ваш компьютер работает плохо. Вы открываете Диспетчер задач и видите там запущенную службу. Что ж, вы можете взять его, загрузить на VirusTotal, и он сообщит вам, считают ли какие-либо антивирусы это вредоносным, и любую дополнительную информацию об этом вредоносном ПО. Так что да, службы безопасности постоянно загружают вредоносное ПО на этот сайт. Но если у вас премиум-членство, вы получаете бонусную функцию; если кто-то загружает какое-то вредоносное ПО в VirusTotal, и это файл, который он никогда раньше не видел, вы можете получить предупреждение. Таким образом, исследователям безопасности может быть интересно узнать, что может содержать этот новый файл, и они могут загрузить его и проанализировать. Мохаммед любил эту функцию.

МОХАММЕД: Я бы использовал его для фактического поиска атак, нацеленных на Кувейт, образцов вредоносных программ, загружаемых из Кувейта, из других стран региона, потому что они, очевидно, представляют интерес для моей работы.

Ведущий: Как он уже говорил, иногда он брал вредоносное ПО с этого сайта, VirusTotal, и начинал прямую трансляцию, когда изучал его, чтобы посмотреть, что в нем. Поскольку он говорил по-арабски, это также помогло ему лучше понимать угрозы, нацеленные на регион Персидского залива. Таким образом он находил довольно интересные вещи и писал об этом в Твиттере, а вскоре после этого видел, как некоторые крупные компании, занимающиеся безопасностью, публикуют предупреждения об этом. Это то, что я бы назвал исследованием безопасности.
На этом история Мохаммеда только начинается. Продолжение выйдет уже через неделю, не пропусти!​
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Эпизод 24: Как Северная Корея ограбила банк Кувейта

МОХАММЕД: Да, в марте, в конце марта 2019 года, я выполняю обычную работу по поиску угроз. Я нашел образец, напоминающий банковское вредоносное ПО, который был загружен из Кувейта.

Ведущий: Хорошо, это уже интересно. Мохаммед увидел, что на VirusTotal было загружено какое-то невиданное ранее вредоносное ПО, скачал его, изучил и обнаружил, что оно нацелено на банк. Не было сказано, какой банк, но у Мохаммеда было довольно хорошее предчувствие, что это какое-то банковское вредоносное ПО. Итак, он смотрит на это совершенно неизвестное вредоносное ПО, нацеленное на банк, которое было загружено откуда-то из Кувейта. Увлекательно, правда? Что ж, если вы думаете, что это увлекательно, возможно, вы гик. Немногие люди на планете просматривают совершенно новые вредоносные программы, загруженные на VirusTotal, пытаясь понять, что там происходит, но Мохаммед делает именно это, потому что ему нравится открывать для себя эти новые вещи, потому что они задают самые разные вопросы. Для какого банка это было? Загрузил ли его жертва или человек, который создал это вредоносное ПО? Действительно ли он заразил что-то и украл деньги? Что оно делает? Вот почему людям нравится следить за ним в Твиттере, потому что иногда он находит довольно интересные вещи.

МОХАММЕД: Итак, я зашел — скачал и проанализировал его, и фактически обсудил в Твиттере, отправил хэши для этого вредоносного ПО, чтобы любой в регионе мог найти эти хэши в своей среде и посмотреть, есть ли у них та или иная атака. вредоносное ПО.

Ведущий: Итак, он создал тред в Твиттере, и в то время у него было около 40 000 подписчиков в Твиттере. Он написал, цитирую: «Для тех, кто интересуется банковской безопасностью, вот некоторые весьма вероятные индикаторы компрометации в результате локальной банковской SWIFT-атаки, о которой вы, возможно, слышали». В то время в новостях ходили другие истории о взломе банков и краже денег с помощью системы денежных переводов SWIFT. Мохаммед увидел это вредоносное ПО и догадался, что оно может быть каким-то образом связано с этими атаками, и решил, что важно твитнуть о том, что он обнаружил. Он продолжил и разместил имена файлов и хэши файлов в Твиттере, и вы можете думать о хэше файла как о отпечатке пальца файла. Вместо того, чтобы публиковать сами файлы в Твиттере, он выложил хэш. Это делается для того, чтобы другие люди могли просматривать хэши своих файлов, чтобы проверить, есть ли это вредоносное ПО в их системах. Публикация таких хэшей файлов предпочтительнее, потому что при этом не публикуются какие-либо конфиденциальные данные, содержащиеся в вредоносном ПО, на тот случай, если он содержит пароль, IP-адрес или что-то, связанное с жертвой.

МОХАММЕД: Итак, что интересно, я нашел некоторые строки в этих вредоносных программах, которые, я думаю, будут полезны людям для поиска в их среде, чем я и поделился.

e7f8b844ad7a5cc1623a69df039e4367.png


Ведущий: Итак, один из методов анализа вредоносного ПО — запуск над ним команды «strings». Это будет искать вредоносное ПО для любых удобочитаемых слов, и он просто выдает список слов для вас. Это может дать вам некоторые подсказки относительно того, что происходит, например, любые внутренние заметки, оставленные в коде, или другую информацию, удобочитаемую человеком. Мохаммед просмотрел код в поисках удобочитаемых слов, и одно слово выделилось для него: GBKADMIN. Почему в этой вредоносной программе есть слово GBKADMIN? Это имя пользователя? Это название вредоносной программы? Является ли GBKADMIN чем-то важным? Он понятия не имел и просто решил написать об этом в Твиттере, сказав своим подписчикам, что вредоносная программа содержит GBKADMIN, и это может что-то значить.

МОХАММЕД: Итак, сам образец вредоносного ПО на самом деле не указывает на определенный банк с уверенностью.

Ведущий: Что дало ему уверенность в том, что его посты в Твиттере в порядке. Он не называет банк, он старается не публиковать какую-либо конфиденциальную информацию, поэтому он разместил кучу материалов, которые он нашел, поговорил об этом с людьми, а затем как бы закрыл свое исследование этого и покончил с этим, перемещая на другие вещи. В конце концов, он не работал в банковском секторе, поэтому все, что он мог сделать, это просто предупредить других людей о том, что в Кувейте есть какое-то банковское вредоносное ПО, и, поскольку он это сделал, теперь он может сделать что-то еще. Ему больше нечего делать по этому поводу. Что ж, несколько дней спустя мы увидели твит из аккаунта Gulf Bank of Kuwait в Твиттере, в котором говорилось, что у них произошел сбой в обслуживании. В результате сбоя в обслуживании они потеряли 9 миллионов долларов.

МОХАММЕД: Да, 2,8 миллиона кувейтских динаров.

Ведущий Очень интересно, что Gulf Bank of Kuwait сообщил о проблеме.

МОХАММЕД: Да, я понял, что что-то определенно было не так, потому что это происходит не со всеми банками, понимаете, проблема в вашей транзакции с такими большими убытками, а затем банк публично говорит об этом. Так что, очевидно, что-то действительно было не так. Именно поэтому он привлек внимание страны. Мол, все в Кувейте говорили об этом. Что имел в виду Gulf Bank под этим заявлением?
Конечно, я собрал эти части воедино. Звучало так, как будто там была возможная связь.

Ведущий: Но да, он ничего публично не говорил о своих теориях, которые могли бы связать найденное им вредоносное ПО с Gulf Bank. Он просто смотрел, как об этом говорят в Твиттере, и заметил. Итак, Gulf Bank — четвертый по величине банк Кувейта. В то время они сами сообщали, что у них было 2,25 миллиарда долларов капитала, а потеря 9 миллионов долларов составила менее половины процента от их общего капитала. Но опять же, я хочу подчеркнуть здесь слово «потерять», а не «украсть» или «ограбить». Gulf Bank никогда не говорил, что деньги были украдены или что они были ограблены, только то, что произошел сбой в обслуживании, в результате которого они потеряли миллионы кувейтских динаров. Что ж, через несколько дней после этого следующая новость, которую мы получили из банка, заключалась в том, что они уволили своего генерального директора по информационным технологиям, не объяснив публично почему. Генеральный менеджер, похоже, был особенно удивлен этим и сказал, что было несправедливо, что они попросили его уйти. В банке происходило что-то важное, и они не скрывали, что именно. На следующей неделе Мохаммед отправляется на мероприятие по безопасности в Кувейте, чтобы пообщаться с другими людьми в области информационной безопасности. Но пока он общался на этом мероприятии, у него зазвонил телефон.

МОХАММЕД: Мне позвонил кто-то из отдела киберпреступности.

Ведущий: Они сказали ему, что существует вероятность того, что Gulf Bank собирается пожаловаться в полицию на его твиты, в которых говорится о вредоносном ПО, которое он нашел на VirusTotal, и они попросили его спуститься, чтобы они могли его допросить.

МОХАММЕД: Я был чрезвычайно осторожен в своих формулировках всех исследований, которые я проводил, чтобы не включать ничего, что явно связывало бы с определенной организацией или определенным банком, о котором я говорил. Без привязки их к определенному объекту по имени. Так что юридически я был чист. Итак, я пошел на допрос, и меня спросили: "Это ваши твиты?" Я говорю: "Да". "Вы имели в виду – Gulf Bank?" Я сказал: "Нет, я не упоминал их и не имел в виду их в своих твитах", и на этом допрос закончился.

Ведущий: Хорошо, может быть, это рутинная часть расследования, когда банк просто проявляет должную осмотрительность, отслеживая любые улики или версии об инциденте. Поскольку Мохаммед написал в Твиттере об обнаруженной им банковской вредоносной программе, возможно, это было нечто большее, поэтому полиция допрашивала его. Поговорив с ними, он почувствовал облегчение и подумал, ну вот, наверное, и конец.

МОХАММЕД: Именно тогда и произошли интересные вещи. Примерно в то же время мне пришлось отправиться в США в сопровождении жены, потому что она навещала свою мать, которая лечилась и была очень больна в Соединенных Штатах. Итак, я прилетел в США, и пока я был в США, мне позвонили, что мне нужно явиться на расследование прокуратуры.

Ведущий: Они хотели, чтобы он присутствовал при расследовании, потому что хотели задать ему дополнительные вопросы о том, что он знал об этом инциденте в банке «Галф». Знал ли он больше, чем то, о чем писал в Твиттере? Этот второй раунд допроса немного беспокоил его, но он знал, что невиновен, и хотел сотрудничать. Итак, он сказал им, что находится в США, помогает ухаживать за больным членом семьи, и он не может приехать в назначенную дату, но он будет рад приехать, как только вернется в Кувейт. Он даже показал им свой обратный билет на то, когда он вернется, и они сказали, что все в порядке, без проблем. Итак, он закончил свою поездку в США и вернулся в Кувейт, и отправился на переговоры со следователями. Но они сказали, что, поскольку он не явился в назначенную дату, ему теперь предъявляют обвинения.

МОХАММЕД: Поскольку государственное обвинение продолжало расследование, не дожидаясь моего приезда, я был расценен как воздерживающийся, так оно и было – меня обвинили, скажем, в обвинении кувейтского закона, что означает злоупотребление служебным положением. Дело в том, что кувейтский закон был, скажем так, сформулирован, и я разглашал коммерческую тайну истца.

Ведущий: Что? Твиты Мохаммеда привели к тому, что его обвинили в злоупотреблении мобильным телефоном и разглашении коммерческой тайны? Что-то явно пошло не так.

МОХАММЕД: Я волновался, но ничего не мог с этим поделать. Так что единственное, что я мог сделать, это подготовить надежную защиту.
Ведущий: Итак, он нанимает адвоката, чтобы убедиться, что он правильно расследует это уголовное обвинение. Когда крупный банк выдвигает против вас обвинения и сообщает, что потерял 9 миллионов долларов, вы должны относиться к этому очень серьезно, даже если вы совершенно невиновны. Итак, он был очень осторожен, и часть его задавалась вопросом, насколько это связано со взломом и насколько это связано с нарушением законов о свободе слова в Кувейте?

МОХАММЕД: Итак, я на самом деле не юрист, но в целом конституция Кувейта дает большую свободу слова, но потом говорит, что в соответствии с законами. Затем законы уточняют общие меры защиты конституции. Итак, у нас есть законы о киберпреступлениях, у нас есть законы о печати, у нас есть законы о СМИ, например: видео, телевидение, радио. У нас также есть законы о государственной безопасности. Все эти законы способствуют, скажем так, дальнейшему ограничению свободы слова. Так вот, в Кувейте есть общественные деятели, о которых нельзя, скажем, например, говорить в каком-то, скажем так, дурном тоне независимо от вашего намерения. Есть ограничения на то, что вы можете говорить.
Вы не можете, например, использовать язык ненависти против религиозных или политических меньшинств. Итак, речь идет о политических аспектах, религиозных аспектах или ограничениях свободы слова, а также о киберпреступности. Закон о киберпреступности был на самом деле интересным, потому что он вышел в 2014 году и должен был касаться киберпреступлений или преступлений, связанных с кибербезопасностью, таких как, например, взлом или мошенничество. Но потом адвокаты стали злоупотреблять этим, люди фактически обвиняли любого, кто плохо отзывался о вас. Итак, если вы были государственным чиновником, если вы были фигурой в социальных сетях, и кто-то пытался говорить о вас так, как вам не нравится, вы можете пойти и попытаться подать на них в суд в соответствии с этим законом. Много раз это приводило к приговорам, по которым люди должны были платить штрафы. Я думаю, что мой случай был примером этого, потому что я на самом деле не делал ничего плохого.

Ведущий: Интересно. Таким образом, похоже, что если кто-то говорит что-то, что наносит ущерб вашей компании или вам, вы можете подать на него в суд и, возможно, заставить его заплатить штраф за то, что он сказал. Итак, Мохаммед еще несколько раз очень внимательно перечитал свои твиты, пытаясь выяснить, сказал ли он что-нибудь негативное в адрес Gulf Bank. Но он вообще даже не упомянул в своих твитах Gulf Bank, поэтому был уверен, что не сделал ничего плохого. Однако он упомянул слово GBKADMIN. Подождите минуту: GBK. Означает ли это, что Gulf Bank of Kuwait? Ха. Даже если бы это было так, он не знал этого в то время. Дата судебного разбирательства была назначена на июль 2019 года. Теперь, через месяц после даты судебного разбирательства, в августе в США должна была состояться акция Black Hat, и Мохаммед должен был провести занятие на этой конференции. Итак, он хотел завершить это испытание, чтобы поехать в США. Он идет в суд в июле. Там был только прокурор. Юрист банка даже не появился. Мохаммед обдумывал со своим адвокатом, что сказать.

МОХАММЕД: Тогда мы обеспечили действительно надежную защиту. Мы, скажем так, обсудили этот аспект, что в первую очередь это уже защищенная речь. Во-вторых, в нем не упоминался ни один банк по имени, не упоминался конкретно какой-либо товарный знак банка, и тот факт, что это абсолютно не секрет, потому что банк уже обсуждал, что возникла проблема: в их системе есть проблема, которая привела к потере миллионов долларов. Так что не было секретом, что в банке уже происходит что-то неладное. Вдобавок ко всему, между мной и банком не было никакого договорного соглашения, которое привело бы к тому, что я делился бы какой-либо тайной между мной и ими. Так что, думаю, наткнулся бы, скажем, из открытых источников, которые, конечно, не считаются секретами.

Ведущий: Судья выглядел убежденным и, похоже, был на его стороне, поэтому он готовился к полету в Лас-Вегас, чтобы посетить Black Hat. Сначала ему пришлось лететь в Нью-Йорк, а затем в Вегас.

МОХАММЕД: В ночь перед отлетом в Нью-Йорк я получил странный зашифрованный телефонный звонок и телеграмму. Но затем, когда я ответил, это был кто-то очень подозрительный. Он пытался как бы спросить об инциденте, который произошел в банке, а затем он попытался сказать, что у меня есть некоторая информация о взломе, который произошел в этом банке, — пытался дернуть меня за ниточку. Я чувствовал, что кто-то пытается втянуть меня в обсуждение этого инцидента, пытается найти, пытается заманить в ловушку. Итак, я понял, что это либо кто-то совершенно сумасшедший, либо я действительно был бы сумасшедшим, если бы не подумал, что это была чья-то попытка заманить в ловушку. Кто? Я не знаю. Кто бы попытался это сделать? Я понятия не имею, кому это было бы выгодно. Однако я вел себя хладнокровно, сказал им, что это юридический вопрос: это должно быть доставлено в правовые органы, бла, бла, бла. Затем я повесил трубку. Что было действительно подозрительным для меня, так это то, почему кто-то пытается нацелиться на меня, пытается заманить меня в ловушку таким образом? Я действительно разозлил некоторых влиятельных людей? Был ли этот твит настолько, скажем, сильным против того, кто его скомпрометировал? Неужели на банк действительно оказали давление люди, связавшие мой твит с инцидентом в банке? Я до сих пор не знаю, кто этот человек, но, конечно, как я уже говорил, было бы безумием не думать, что это была какая-то связанная с этим попытка заманивания в ловушку.

Ведущий: Это было странно, и это снова разожгло его беспокойство по поводу этого дела, но он все же поехал в США. Находясь в Вегасе, его адвокат связался с ним и сказал, что у судьи есть вердикт по делу.

МОХАММЕД: В конце концов судьям стало ясно, что это абсолютно не нарушало никаких законов Кувейта.

Ведущий: Итак, с него сняли все обвинения, и это отличная новость, пока ты в Вегасе, верно? Мохаммед сказал мне, что он не посещал там вечеринки, потому что был так сосредоточен на обучении и просто хотел вернуться в Кувейт, как только оно закончится. Итак, когда он вернулся в Кувейт, он связался со своим адвокатом, и все, казалось, было спокойно. Все было хорошо, и он был рад, что это позади. Это был август. Затем приходит сентябрь, а затем, в октябре, он получает еще одно сообщение.

МОХАММЕД: Да, адвокат присылает мне по WhatsApp сообщение о том, что они подали апелляцию.

Ведущий: Прокуроры хотели продолжить расследование. Его адвокат объясняет, что это всего лишь вопрос формальностей. Если прокуратура подаст его в апелляционный суд, а он все равно будет признан невиновным, то они могут сказать, что исчерпали все варианты в этом деле и могут оставить его в покое. Это создает впечатление, что прокуратура действительно усердно работала над раскрытием этого дела, и, поскольку это была всего лишь формальность, на него не было ни новых улик, ни каких-либо новых обвинений. Но Мухаммед все еще беспокоился об этом. Я имею в виду, по крайней мере, ему приходится тратить все эти деньги на судебные издержки, чтобы помочь ему. Апелляционный суд занял больше года, потому что коронавирус продолжал задерживать суды. Ожидание суда всегда нервирует, независимо от того, насколько вы уверены, что ни в чем не виноваты. Но, наконец, настала дата суда, и судья рассмотрел его дело.

МОХАММЕД: Меня сразу оправдали.

Ведущий: Мохаммед вздохнул с облегчением. Это означало, что все наконец закончилось. Да, с тех пор, два года спустя, все еще позади. Звонков из полиции по этому поводу больше не поступало. Но к чему это привело, если вы нашли вредоносное ПО на VirusTotal и написали в Твиттере о том, что вы нашли. Так вот, в то время по всему миру происходила большая волна ограблений банков. Кто-то ходил вокруг, обычно рассылая фишинговые электронные письма банковским служащим, взламывая банк, а затем нацеливая сеть SWIFT, чтобы украсть миллионы долларов из банков. Многие из них работали. Организация Объединенных Наций расследовала это и опубликовала отчет, в котором говорится, что правительство Северной Кореи несет ответственность за ограбление банков в Бангладеш, Чили, Коста-Рике, Гамбии, Гватемале, Индии, Либерии, Малайзии, Мальте, Нигерии, Польше, Республика Корея, Словения, Южная Африка, Тунис, Вьетнам и Кувейт.
Прямо здесь, черным по белому, в отчете ООН о расследовании говорится, что в марте 2019 года правительство Северной Кореи ограбило банк в Кувейте. Это точно тот же месяц и год, когда Gulf Bank объявил о сбое в обслуживании и потерял 9 миллионов долларов. В этом отчете ООН не говорится, какой банк в Кувейте был ограблен, но говорится, что украденная сумма составила 49 миллионов долларов. Итак, это большое несоответствие цифр, что означает, что либо Gulf Bank не был ограблен, но действительно произошел какой-то странный сбой, из-за которого они потеряли миллионы долларов, что означает, что совершенно другой банк был ограблен в том же месяце и году в Кувейте, или Gulf Bank of Kuwait не сказал правды, заявив, что это был сбой в обслуживании, когда на самом деле это было ограбление, заявив, что это 9 миллионов долларов, когда на самом деле это было 49 миллионов долларов. Мы не знаем правды в этой истории.

МОХАММЕД: Ага. Таким образом, существует разница между твитом Gulf Bank и тем банком, на который пытался намекнуть отчет ООН. Итак, либо он нацелен на другой банк, либо, может быть, в этой истории есть нечто большее, чем то, что было опубликовано в открытых источниках.
Ведущий: Большое спасибо Мохаммеду Альдубу. Вы можете найти его в Твиттере: его зовут @Voulnet.
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0


Эпизод 25: Как работают вымогатели




Программы-вымогатели ужасны. Они заражают вашу машину и блокируют все данные, а чтобы разблокировать, вы должны заплатить. В этом эпизоде мы углубимся в эту тему.


a30c78a9407e8dc93134d5d9b7275ca8.png



Ведущий: Это история о парне по имени Зейн Кайзер. Это был 2011 год. Зейну было семнадцать лет, и он жил со своими родителями в Баркинге, что в Восточном Лондоне, Великобритания. В то время он изучал информатику в Городском университете, который находится прямо в центре Лондона. Большую часть времени он проводил за своим MacBook Pro. Городской университет был одним из первых в Великобритании, предложивших курсы компьютерных наук. Более того, у них один из самых высоких показателей трудоустройства выпускников. Те, кто заканчивает курсы, получают хорошую работу в информационной безопасности и делают успешную карьеру. Зейн не закончит свои курсы, не закончит учебу и не сделает блестящую карьеру. В темных частях Интернета существует целая секретная экономика вредоносных программ. Вы можете нанять хакера или купить эксплойты, вы можете заплатить за использование ботнета или вы можете покупать и продавать украденные у людей данные. Онлайн-преступники сегодня часто являются лишь одним звеном в цепочке поставок.
Один набор эксплойтов, найденный в даркнете, называется Angler. Некоторые очень умные хакеры сделали это. Мы думаем, что это, вероятно, было сделано в России. Вот как это работает: он начинает с того, что каким-то образом заставляет вас посетить вредоносный веб-сайт. Теперь веб-сайты, которые вы можете посетить, могут многое рассказать о вашем компьютере. Они могут проверить, какая у вас версия Flash или Java, и если вы зайдете на веб-сайт, на котором запущен Angler Exploit Kit, он сделает именно это. Он проверит, какие версии программного обеспечения вы используете. В основном он сканирует ваш компьютер на наличие устаревшего программного обеспечения. Он проверит вашу версию Adobe PDF Reader, затем версию Silverlight, затем версию Java, а затем версию Flash. Если он видит, что какой-либо из них устарел и имеет известную уязвимость, он переходит ко второму шагу. Он попытается воспользоваться этой уязвимостью и получить доступ к вашему компьютеру.
Давайте погрузимся в это на секунду. Одна из уязвимостей, которую будет использовать Angler Exploit Kit, называется уязвимостью Use After Free. Это где у программы были какие-то данные в памяти, но она покончила с ними и освободила их, но где-то в программе все еще есть ссылка на эту часть памяти. Хорошо, предположим, вы ели попкорн с другом и смотрели фильм. У вас на коленях чашка с попкорном, и вы делитесь ею с ними. Он берёт горсть, потом ты берешь горсть, потом он берёт горсть, потом ты берешь последнюю горсть. Попкорн закончился. Чашка пуста, но ваш друг не знает об этом. Он все еще думает, что в тарелке есть попкорн, поэтому вы играете с ним небольшую шутку и вместо этого кладете чашку спагетти себе на колени. Когда он идёт к чашке с попкорном, он засовывают руку в чашку со спагетти. Примерно так выглядят уязвимости Use After Free.
Ваш друг был запрограммирован лезть в чашку с попкорном, думая, что там что-то есть, но там ничего не было. В мире программного обеспечения вы можете поместить некоторые команды в эту чашу, чтобы, когда программа потянулась к ней, она выполнила те команды, которые вы ему сказали. Типа гениально, да? Ладно, хватит плохих аналогий. Angler — это набор эксплойтов, то есть он не просто содержит один эксплойт, а вместо этого ищет на вашем компьютере любой эксплойт, который он может использовать. У него могут быть десятки возможных эксплойтов, и если он их находит, то запускает на вашем компьютере команды, которые он не должен выполнять. На этом Англер как бы останавливается. Его задача на самом деле просто войти и выполнить полезную нагрузку. Однако полезной нагрузкой может быть что угодно; это может быть кража пользовательских данных или паролей, это может быть привязка вашего компьютера к ботнету, или это может быть просто удаление всего на компьютере.
Короче говоря, если на вашем компьютере установлено устаревшее программное обеспечение и вы посещаете веб-сайт с установленным набором эксплойтов Angler для уничтожения вашего компьютера, ваш компьютер будет заражен за считанные секунды и начнет удалять файлы. Страшные вещи. Однако семнадцатилетний Зейн Кайзер подумал, что это круто, и подумал, что это может принести ему немного денег. Проблема заключалась в том, что в то время программное обеспечение Angler было трудно достать. В начале 2012 года Зейн был очень активен в чатах и на форумах, используя свое имя пользователя K!NG, но с восклицательным знаком перед буквой «i». У него была идея, и он хочет воплотить свой план в жизнь. Зейн связывается с русскими создателями Angler и говорит им, что у него есть навыки и опыт, чтобы заработать им много денег. Вы предоставляете вредоносное ПО, сказал он, и я заражу им множество компьютеров.


eb6771db75330d5ee57b6bc35b413e8a.png



ейн говорит им, что у него есть опыт в социальной инженерии и что он умеет манипулировать людьми, чтобы получить то, что он хочет, и у него нет проблем с этим. Он носитель английского языка и знает, как работает индустрия онлайн-рекламы. Зейн предложил разделить прибыль. Это была партнерская подача, и один из россиян был готов выслушать эту подачу. Соглашение было заключено. Зейн приступил к реализации своего плана. У него есть набор Angler Exploit Kit, который хорош для проникновения в компьютер жертвы, но это все, для чего он годен. Вам все еще нужна полезная нагрузка или действие после того, как машина эксплуатируется. Зейн решил вооружить Англера Реветоном. Reveton — мощная программа-вымогатель, которая шифрует весь жесткий диск пользователя с помощью пароля. Затем вы должны заплатить деньги, чтобы получить этот пароль для его расшифровки. Это идеально сработало для Зейна. Теперь у него есть набор эксплойтов для использования в качестве оружия, который установлен на веб-сайте и ждет, пока кто-нибудь посетит его, чтобы заразиться.Но как заставить кого-то зайти на ваш сайт, чтобы заразиться? Его идея заключалась в том, чтобы покупать онлайн-рекламу, которая указывала бы людям на его вредоносный веб-сайт. Где бы он купил эту рекламу? На порносайтах. Русские предоставили ему поддельные удостоверения личности, документы и учетные данные, чтобы он мог убедить законные рекламные агентства в том, что он обычный рекламщик. Это типичный пример вредоносной рекламы. Как только люди нажимают на эту ссылку, они перенаправляются на вредоносный веб-сайт, и компьютер будет заражен той программой-вымогателем Reveton, которую Зейн установил в Angler. Теперь, если вы собираетесь требовать выкуп, вам нужно иметь что-то, за что ваша жертва готова заплатить. Конечно, если вы заблокируете чей-то компьютер и скажете, что заплатите мне, чтобы разблокировать его, это может сработать, но план Зейна был немного более дьявольским.
Вымогатель Reveton иногда называют полицейским вирусом, потому что, когда вы заражаетесь им, он показывает вам логотип полиции и сообщает, что жертва нарушила закон, посетив этот порносайт. Компьютер не только зависает, но на экране внезапно появляются слова «порно», «детское порно», «ФБР» и «уголовные обвинения». Ну, вы поняли. Для Zain, нацеленного на людей, посещающих порносайты, чтобы попытаться заставить их нажать на это объявление, чтобы они могли быть заражены вредоносным ПО, было идеальное совпадение с этой программой-вымогателем. Это своего рода блестящая комбинация социальной инженерии и хакерства. Жертвы этого были бы не только в бешенстве, но и в смущении, стыде и даже страхе. Если вы заразите компьютер вашей семьи или рабочий компьютер, господи, какой беспорядок будет объяснять, что вы были на порносайте, когда заразились. Зейн безжалостно преследовал этих людей, и вскоре с его платной рекламой жесткие диски начали заражаться этой вредоносной программой.
На экране Зейна с требованием выкупа даже говорилось, что IP-адрес жертвы был передан в полицию. Но чтобы все это исчезло, все, что вам нужно сделать, это заплатить 200 долларов, и все исчезнет. Люди начали расплачиваться. Летом 2012 года, заключив соглашение с российской преступной группировкой, Зейн начал свою первую стадию, которая впоследствии превратилась в колоссальную аферу с программами-вымогателями. В Интернете почти нет веб-сайта, на котором не отображается какая-либо реклама. Рекламное место на популярных сайтах с большим трафиком пользуется спросом, и рекламодатели будут платить хорошие деньги, чтобы получить это рекламное место. Проблема возникает, когда размещенное объявление находится прямо перед вредоносным ПО, тайно встроенным в его код. Некоторые известные веб-сайты, такие как New York Times и The Atlantic, пострадали от вредоносной рекламы. Эти веб-сайты имеют высокий трафик, и они ничего не знали об этих мошенничествах, которые происходили. Зейн был полностью осведомлен о вредоносной рекламе, вредоносной рекламе, и понимал, как ее реализовать.
Он действовал как законный рекламодатель, стремящийся приобрести рекламное место на некоторых из крупнейших порнографических сайтов в мире. Принимал участие в торгах премиум-площадок в режиме реального времени; постоянно меняющийся рынок, и процесс торгов является конкурентным. По сути, платя за рекламу, он покупал трафик на свой сайт, а платный трафик приносил быстрые результаты. Настройте его, и вы сразу увидите больше посетителей и кликов. Все, что требовалось Зейну, — это щелкнуть по рекламе, и дело пошло. Это знание отчасти было причиной того, что Заин заинтересовал российскую преступную группировку. С их навыками программирования и его пониманием рекламного рынка они были уверены. Рекламная компания, с которой работал Зейн, ничего не знала о его истинных намерениях. Зейн добавил в свою рекламу перенаправления на веб-сайты, зараженные вредоносным ПО, набором эксплойтов Angler. Пользователи не знали об этом, но как только их браузер заходил на этот сайт, Angler сканировал их систему в поисках способа заразить ее.
Набор Angler Exploit Kit похож на собаку-ищейку, пытающуюся найти свою цель. Вы можете спросить, почему антивирус не останавливает это? Ну, во-первых, многие люди не используют антивирус, поэтому они как сидячие утки, особенно если они не обновляют свое программное обеспечение. Вот почему я говорю вам всегда обновлять свое программное обеспечение. Но, во-вторых, создатели Angler были очень умны, чтобы избежать его обнаружения. Он будет постоянно менять домены и IP-адреса, чтобы избежать попадания в черный список, и будет шифровать весь трафик, чтобы антивирус не обнаруживал вредоносные команды. Это изменило бы его внешний вид, чтобы избежать обнаружения совпадающих строк, которые может искать антивирус. Это мошенник вредоносного ПО.
Angler даже не нуждался в собственных файлах для запуска атаки. Ему даже не потребовалось время на машине, прежде чем она могла работать. Он может обнаружить уязвимость, отправить команды для ее использования, а затем выполнить все необходимые действия. Вдобавок ко всему, у российских кодеров, которые его сделали, тоже была уязвимость нулевого дня, уязвимость в Adobe Flash, о которой Adobe даже не знала. Это было скрытно, хитро и очень эффективно. Программа-вымогатель, которую предпочитали Зейн и эта русская группа, называлась Reveton. Его называют полицейским вирусом или даже вирусом ФБР, поскольку он выдает себя за официальное уведомление полиции.
РЕПОРТЕР: Внимание всем, у кого есть компьютер. Новый вирус не только заражает ваш компьютер, но и мошенники, стоящие за ним, также вымогают деньги. Он называется вирусом ФБР, но к полиции не имеет никакого отношения.
Ведущий: Это программа-вымогатель с элементами социальной инженерии. Это психологический трюк, тактика запугивания. Компьютер завис и отображал логотип ФБР. Он показал сообщение: «Вы нарушили закон. Вам грозит тюремное заключение. Мы зафиксировали изображения на этом сайте для взрослых с помощью вашей веб-камеры. Это уведомление заблокировало и заморозило ваш компьютер, когда вы просматриваете порнографический сайт». Смущение, стыд, страх разоблачения. Все эмоции, на которые рассчитывала эта вредоносная программа, побуждали пользователей следовать ее инструкциям и платить деньги за то, чтобы все это исчезло. В программе-вымогателе даже говорилось, что интернет-провайдер жертвы был уведомлен отделом киберпреступлений. Он даже сообщает их IP-адрес, имя хоста и говорит: «На вашем компьютере был обнаружен незаконно загруженный материал, который нарушает некоторые законы об авторском праве».


1fb7f339d5c0e5f44bf99b51b13f04fc.png



Все это звучит и выглядит официально, а затем сообщает, что пользователю грозит штраф в размере 200 000 долларов США или тюремное заключение на срок до трех лет. Конечно, если вы хотите избежать этого, все, что вам нужно заплатить, это 200 долларов, и ваш компьютер будет разблокирован, а все уголовные дела против вас будут прекращены. Это не требует слишком много денег в качестве выкупа, ровно столько, чтобы его стоило делать, но не слишком много, чтобы люди не захотели или не смогли за него заплатить. В то время существовал Биткойн, криптовалюта, но это было только в 2012 году, так что прошло всего несколько лет с момента создания Биткойна. Хотя биткойн еще не был достаточно популярен, а цены сильно колебались, люди просто не были достаточно технически подкованными, чтобы понять, как купить биткойн и отправить его, поэтому решением стали предоплаченные карты GreenDot MoneyPak. Они не связаны с банковским счетом, и каждая карта имеет уникальный четырнадцатизначный номер.
Сколько же денег удалось заработать Зейну и получил ли он наказание? Узнаем в следующем выпуске.​
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Эпизод 26: Как хакеры наживаются на любителях порно



В то время это был идеальный способ для анонимных интернет-преступников получать деньги от своих жертв. Reveton давал информацию о пользователе, инструкции о том, как забрать деньги. Шаг первый, возьмите наличные в одном из этих торговых точек. Шаг второй: возьмите MoneyPak и купите его за наличные. Шаг третий, вернитесь и введите код MoneyPak в раздел кода на этом экране сообщения, а затем нажмите «Отправить». Это так просто.
Платная реклама Зейна, направлявшая трафик на его сайт, работала. Люди блокировали свои компьютеры и платили за то, чтобы их разблокировали. Деньги начали поступать для Зейна. Следующей задачей было получить наличные и убедиться, что его российские партнеры получат свою долю. Преступнику не так просто перевезти много денег и не быть пойманным полицией. Зейн собирал деньги, а затем через Liberty Reserve переводил их своим российским партнерам, но для этого ему требовалась помощь. Liberty Reserve был чем-то вроде теневого кузена ******. Это паршивая овца семейства цифровых валют, которую предпочитают многие киберпреступники. Учетная запись в Liberty Reserve не запрашивает у вас ваши настоящие учетные данные, доказательства, личность или что-либо еще для перевода денег. На самом деле, у него даже не было полной лицензии на деятельность по переводу денежных средств, что позже выдало его основателя.

8d61757871b86a7707b19dc48ee8660f.png


Кто-то, кто хотел быстро отмыть деньги, в частном порядке и в Интернете, знал, что это идеальная схема. Зейн был распространителем вредоносного ПО и этой аферы с выкупом, но для отмывания средств и получения доступа к деньгам ему нужен был посредник. Тут-то и появился Рэймонд. Он из Мэйпл-Вэлли в Вашингтоне. В 2012 году ему исполнилось тридцать пять лет. Он был студентом Международного университета Флориды, и его роль заключалась в том, чтобы обналичивать платежи программ-вымогателей с карт MoneyPak, а затем конвертировать наличные деньги в Liberty Reserve, переводить деньги Зейну и оставь немного себе. Эти двое довольно быстро наладили свой распорядок дня. Зейн открывает несколько счетов и предоплаченных карт, используя фальшивые документы, предоставленные его контактным лицом в России, и передает эти счета Рэймонду.
Рэймонд использует коды MoneyPak для каждой выплаты выкупа. Он входит в свою учетную запись MoneyPak, использует коды для перевода выкупа на мошеннические счета. Теперь существуют ограничения на количество транзакций и суммы денег, которые можно внести через MoneyPak. Депозиты до 1000 долларов в течение суток, по-видимому, были стандартной нормой. Рэймонд, скорее всего, имел несколько учетных записей MoneyPak, все на вымышленные имена, чтобы он мог избежать превышения этих лимитов. После того, как он перевел деньги на счета, которые дал ему Зейн, он мог пойти и снять деньги в нескольких банкоматах в разных местах. Затем он отправлял его Зейну через Liberty Reserve. Чтобы открыть счет в Liberty Reserve, нужно было указать имя и адрес электронной почты. Вам нужно конвертировать наличные деньги, полученные преступным путем, чтобы купить то, что они называют долларами Liberty Reserve, за наличные.
Это превращает ваш выкуп наличными в цифровую валюту за комиссию около 5%. Чтобы купить доллары Либерти, Рэймонду пришлось пройти через обменник, который находился в совершенно другой стране и мог купить доллары Либерти оптом. У самой Liberty Reserve не было идентификационных данных людей, у которых там были счета. У них было только то имя и адрес электронной почты, которые использовались для открытия счета. Все переводы из наличных в Liberty Reserve и долларов Liberty обратно в наличные осуществлялись через эти биржи посредников и технически полностью вне самой Liberty Reserve. Все это сложный и технический способ просто получить чистые деньги, не имеющие криминального следа, но он работал и на Зейна, и на Рэймонда, и на русских кодеров. Зейн, вернувшись в Лондон, получил около 70% выкупа. Это была его доля от этой операции. Вполне нормально.
В этот момент деньги текли рекой, и чем больше рекламы он покупал на этих порносайтах, тем больше трафика он получал на свои веб-сайты, что приводило к большему количеству людей, пораженных программами-вымогателями, что означало, что больше людей платили. удалить его. По сути, он обменивал никель на десять центов. План работал. Он все еще был студентом университета, жил дома с родителями. У него не было оплачиваемой работы. У него не было никакого законного дохода, но он тратил много денег, которые зарабатывал на этих аферах. Он купил часы за 5000 британских фунтов. Он останавливался в шикарных отелях и тусовался с проститутками. Он много употреблял ********* и играл в азартные игры. Сообщалось, что он потратил 70 000 фунтов стерлингов в одном лондонском казино в течение десяти месяцев. Интересно, что он говорил своим друзьям и семье, откуда у него все эти деньги.
Но вся цепочка поставок вредоносного ПО как бизнеса меня восхищает. У вас есть одна команда, работающая над созданием эксплойта Angler, и они вооружают ее программой-вымогателем Reveton, созданной совершенно другой группой людей, а затем Зейн развертывает ее по всему миру, чтобы заразить как можно больше людей. он мог бы. Затем, когда приходят деньги, Рэймонд во Флориде отмывает их и отправляет обратно Зейну. Впечатляет, как много здесь должно произойти, чтобы эта операция заработала. Примерно в это же время полиция Испании начала получать сотни жалоб на вирусы-вымогатели. Куча других людей также расследовали это. Подразделение Trend Micro eCrimes, Европейский центр киберпреступности при Европоле, испанская полиция и Интерпол координировали свои действия, чтобы помочь друг другу выяснить, кто стоит за этим.
Этот обмен информацией позволил им составить довольно четкое представление о том, как была структурирована сеть банды, в том числе о том, как они перенаправляли трафик и настраивали свои серверы управления и контроля. Под кодовым названием «Операция «Выкуп» 27-летний россиянин был арестован в декабре 2012 года во время отдыха, по всей видимости, в Дубае. Но выяснилось, что он был главой испанской банды. Несколько месяцев спустя еще десять человек были арестованы во время шести рейдов в Малаге, Испания. Но эта группа не была той, с которой был связан Зейн; это была группа, ответственная за создание программы-вымогателя Reveton. Полиция выследила их, разрушила всю их операцию. Задержаны семеро россиян, двое грузин и двое украинцев. Полиции удалось изъять много компьютеров и оборудования, а также кредитных карт, которые использовались во всех этих атаках программ-вымогателей и для отмывания денег. Полиция полагала, что эта банда собирала более 1 000 000 евро в год. Только в Испании с мая 2011 года было зарегистрировано более 1200 случаев мошенничества с программами-вымогателями.
Но в то время как группа, создавшая Reveton, была арестована, само программное обеспечение Reveton находилось в руках преступников, таких как Зейн, которые продолжали заражать им людей и использовать его. Хотя это было большим успехом для испанской полиции, которая сократила большую часть этого, Зейна это никак не затронуло. Три месяца спустя, в мае 2013 года, правительство США закрыло Liberty Reserve. Подозреваемый в отмывании более шести миллиардов долларов преступных доходов, он некоторое время находился под следствием. Его владелец, Артур Будовский, был сомнительной личностью, годами скрывавшейся от закона. В 2011 году ему сказали, что ему нужна соответствующая лицензия для ведения бизнеса по переводу денег, но когда его заявление было отклонено, он просто перенес свой бизнес в Коста-Рику. В течение двух лет его операции расследовались полицией, а его средства неоднократно конфисковывались. К концу 2013 года Артур вместе с семью своими сотрудниками находился под стражей, а Liberty Reserve была официально арестована и закрыта.
ПРИТ: Сегодня мы объявляем обвинения в возможно самом крупном международном деле об отмывании денег, которое когда-либо возбуждалось Соединенными Штатами. В частности, мы раскрываем обвинения против Liberty Reserve и семи ее руководителей и сотрудников, которые в течение многих лет управляли одной из самых широко используемых цифровых валют в мире.
Ведущий: Это Прит Бхарара, прокурор США в Нью-Йорке. Liberty Reserve был ключевым звеном в цепочке Зейна и Рэймонда, а также стоящей за ними российской преступной группировки. Без возможности конвертировать выкуп через Liberty Reserve у них возникнут проблемы.
ПРИТ: Liberty Reserve был специально создан и структурирован для облегчения преступной деятельности. По сути, это был банк черного рынка.
Ведущий: Когда Liberty Reserve закрыли, все, у кого на счету были доллары Liberty, сразу их потеряли. Те доллары "Свободы" исчезли, больше не доступны. Какую бы ценность они ни представляли в наличных деньгах, теперь они были потеряны в одночасье. Но теперь, когда сайт оказался в руках властей, следователи начали выяснять, кем были пользователи сайта. Зейн продолжал это делать, но, похоже, на этом участие Рэймонда подошло к концу. На самом деле Рэймонд устроился на работу сетевым инженером в Microsoft, а Microsoft ничего не знала о том, чем Рэймонд занимался в предыдущие годы. Чтобы продолжить, Зейн просто переключился на другую криптовалютную платформу. Падение Liberty Reserve высветило его имя для следственных органов, и большая часть прибыли от мошенничества была раскрыта в последующие годы из данных Liberty.
Власти следили за ниточками и собирали воедино именно то, что задумал Зейн. Поскольку Зейн продолжал покупать рекламные площади, некоторые рекламные компании начали относиться к нему с подозрением. Они будут бросать ему вызов и задавать вопросы, а что Зейн сделает в ответ? Он пытался манипулировать и даже угрожать рекламным агентствам. Он сказал директору одной из компаний, базирующихся в Канаде, цитата: «Правда, лучше, если мы будем работать вместе. Вместе мы сможем заработать серьезные деньги. Это мой путь или нет. K!NG вернулся». Конец цитаты. Когда он не получил желаемого ответа, он последовал еще одной угрозе. Цитата: «Я сначала убью ваш сервер, а затем отправлю вам спам с детской порнографией». Конец цитаты. Затем Зейн запустил распределенную атаку типа «отказ в обслуживании» на эти рекламные сайты, на которых размещалась его реклама. Целью DDoS-атаки было сделать недоступным веб-сайт цели, по сути, вывести его из строя.
Он перегрузил этот веб-сайт и привел к его сбою, что сделало его недоступным для пользователей веб-сайта и, следовательно, для клиентов компании. Зейн использовал свои методы нападения в качестве мести. Это была простая месть. Вы спрашиваете меня? Ты не хочешь пойти со мной на борт? Как ты смеешь. Я заставлю тебя заплатить. Зейн хочет нарушить работу этих агентств, и если он сломает веб-сайт, платящие клиенты не смогут перейти к ним и использовать их веб-сайт для покупки рекламного места. Это основа их бизнеса. Компания теряла кучу денег за каждую секунду отсутствия рекламы. Затем Зейн запустил новые атаки типа «отказ в обслуживании» против веб-сайтов, которые задавали ему вопросы. Опять же, они были против рекламных компаний, которые пытались остановить то, что он делал. DDoS-атаки обходятся этим предприятиям не менее чем в 500 000 фунтов стерлингов, а потери рекламы — в расходах на реагирование на инциденты. Одно из рекламных агентств, подвергшихся нападению, сообщило о Зейне в полицию.
Полиция была отправлена в дом Зейна и арестовала его в июле 2014 года, но через несколько дней его отпустили без предъявления обвинений из-за отсутствия улик. Зейн думал, что перехитрил полицию, но мало ли он знал, отдел киберпреступности Национального агентства по борьбе с преступностью теперь полностью расследовал его. Падение Liberty Reserve было не единственным событием в период активной работы Зейна с программами-вымогателями, которое помешало его операциям. В 2016 году в ходе 86 рейдов в России было арестовано более 50 человек, причастных к кибератаке Lurk на российские банки. Lurk — вредоносное ПО, имитирующее приложение для онлайн-банкинга крупнейшего российского банка Сбербанка. По оценкам, банда, стоящая за Lurk, украла сорок пять миллионов долларов из российских финансовых учреждений менее чем за два года. В середине 2016 года Angler был на пике использования: по оценкам, на него приходилось 40% всех заражений наборами эксплойтов. К этому времени Angler сдавала в аренду преступная группировка, которой он принадлежал.
Любой, кто готов заплатить, мог получить его версию и использовать по своему усмотрению. Было довольно много людей, использующих этот комплект Angler для проведения этих атак программ-вымогателей; Зейн был не единственным. Это распространило комплект по всему миру, и им управляли сотни разных хакеров. Деньги, которые он заработал? Исследователи Cisco Talos считают, что программа-вымогатель Angler приносила хакерам около шестидесяти миллионов долларов в год. Исследовательская группа Cisco Talos изучила это немного глубже и обнаружила связи между Angler и Lurk. Вполне возможно, что при разгоне Lurk они также поймали некоторых хакеров Angler, что могло повлиять на аферу с вымогателями, которую Зейн возглавлял из Великобритании. В начале 2017 года Национальное агентство по борьбе с преступностью Великобритании собрало достаточно улик с серверов Liberty Reserve, чтобы возбудить дело против Зейна.
Полиция снова пришла к Зейну домой и арестовала его. Полиция конфисковала MacBook Pro Зейна и обнаружила журналы, записи и данные. Это связало его с аферой и с тем, что он работал с русскими создателями Angler. Было сохранено более 3000 журналов чатов и почти миллион изображений. Компьютер был зашифрован и работал под управлением как Windows, так и Mac OS. Зейн создал разделы с зашифрованными виртуальными машинами, удаленными серверами и удаленными рабочими столами. Он довольно хорошо скрывал вещи, но это было NCA, и сейчас 2017 год. У них есть целая команда цифровой криминалистики, которая может прочесать все, чтобы собрать улики. Частично причиной падения Зейна были копии панели управления, которую он использовал. Одна из замечательных особенностей Angler и Reveton заключалась в том, что у них были действительно крутые информационные панели, которые показывали вам, сколько заражений было, и где они были, и кто платил, и все такое прочее.
Это присутствовало на его ноутбуке, и он смог войти в него. На одном снимке экрана видно, что Зейн получил доход в размере 14 000 долларов только за июль 2014 года. Было обнаружено несколько финансовых счетов, которые связывали Зейна с использованием различных криптовалют за границей. В феврале 2017 года ему было предъявлено обвинение в шантаже, мошенничестве и неправомерном использовании компьютера. Когда его допросила полиция, Зейн сказал им, что он не участвовал в мошенничестве и что его взломали, но группа цифровой криминалистики смогла опровергнуть это, собрав данные на его компьютере. NCA предоставило несколько примеров расчетов, чтобы продемонстрировать, насколько масштабной была эта операция. По их оценкам, одно рекламное объявление о заражении вредоносным ПО ежемесячно показывалось в двадцати одном миллионе веб-браузеров, при этом Angler загружался примерно на 16 000 компьютеров. Помните, это одно объявление в месяц. Исходя из этого, они подсчитали, что 5%, поэтому около 800 из этих компьютеров не имели современного антивируса, и Англер мог использовать дыры в своих системах и развернуть программу-вымогатель.
Сколько человек обманули? Это почти невозможно узнать, но несколько отчетов об исследованиях безопасности показывают, что в среднем 40% жертв программ-вымогателей платят выкуп. Давайте займемся математикой. У отдельных людей, пострадавших от программы-вымогателя, не было ИТ-отделов, к которым можно было бы обратиться. У них не было людей под рукой, чтобы сообщить им, было ли это мошенничеством или реальным. Сомневаюсь, что большинство людей кому-то рассказали, а если бы и рассказали, то им пришлось бы сказать, что они были на порносайте, когда это всплыло, что смущает, но не то, в чем многие захотят признаться. Я думаю, что процент людей, которые заплатили за эту аферу, намного выше 40%, но давайте понизимся; скажем, только 10% из 800 пользователей, которые столкнулись с экраном программы-вымогателя Reveton, действительно заплатили выкуп. Это восемьдесят жертв, заплативших по 200 долларов каждая. Это приносит Зейну 16 000 долларов в месяц. При показе нескольких рекламных объявлений в месяц вы можете значительно увеличить эти цифры.
Но были расходы, связанные с этой аферой, однако. Не все это было связано с получением прибыли. Зейну пришлось покупать интернет-трафик и делать ставки на рекламные места. Раймонду нужно было платить за отмывание денег, а также комиссию за обмен и перевод. Конечно, не вся прибыль досталась Зейну. Русские тоже получат часть доли. NCA заявило, что за пять лет этой операции Зейн перевел не менее пяти миллионов долларов, используя несколько криптовалютных платформ и онлайн-счетов. Его личная прибыль, по их словам, составляла почти 900 000 долларов на момент его ареста в 2017 году. Тем временем в Южном окружном суде Флориды в марте 2018 года Раймонду было предъявлено обвинение в заговоре с целью отмывания денег.
Рэймонд был связан с платежами и переводами выкупа MoneyPak через Liberty Reserve, и его имя пользователя в сети было Майк Роланд. Ему было предъявлено обвинение в том, что в период с октября 2012 года по март 2013 года он участвовал в отмывании денег, полученных в результате мошенничества с выкупом Реветона. На самом деле это был неудачный перевод 840 долларов между двумя счетами Liberty Reserve, который выдал его. Прокуратура подсчитала, что в течение одного года Рэймонд перевел около 93 000 долларов, полученных от этих платежей с помощью программ-вымогателей. Раймонд обратился в суд и был признан виновным. Судья приговорил его к восемнадцати месяцам тюремного заключения с тремя годами условного освобождения. Он согласился на сделку о признании вины, чтобы снять одно из этих обвинений. Microsoft как-то невольно оказалась втянутой в это дело после того, как наняла Рэймонда, но неудивительно, что они не дали никаких официальных комментариев по этому поводу.


48ac3990750ef0ec508cf652e9a8cf88.png




Суд над Зейном в Великобритании был назначен на февраль 2018 года, но был отменен, когда Зейн был разделен в соответствии с Законом о психическом здоровье. Подробности здесь неясны; что-то вроде Зейна положили в больницу в Лондоне на лечение. Но пока там, в больнице, цифровая криминалистика показала, что он все еще занимался мошенничеством с программами-вымогателями и отмыванием денег с использованием больничного Wi-Fi. Его снова арестовали и снова посадили в тюрьму. Эти дополнительные обвинения вызвали изменение заявления Зейна. Теперь он признал себя виновным в общей сложности по одиннадцати пунктам обвинения. Приобретение, владение пользователем преступным имуществом, три пункта обвинения в шантаже, три пункта обвинения в мошенничестве с использованием ложных сведений и четыре пункта обвинения в несанкционированных действиях с намерением нарушить работу компьютера или создать риск серьезного ущерба.
9 апреля 2019 года Зейн Кайзер был приговорен к шести годам и пяти месяцам заключения окружным судом Кингстона. Судья сказал ему, что его дело и его кибератаки были настолько обширными, что не было найдено ни одного сопоставимого дела. То, что сделал Зейн, можно было бы классифицировать как распространенную аферу, которая сейчас называется сексторцией. Они набирают популярность. Они настолько успешны, что преступникам даже не нужно устанавливать программы-вымогатели на ваш компьютер. Иногда достаточно электронной почты. Я имею в виду, представьте, если бы вы получили электронное письмо, в котором говорилось: "Привет, я знаю, что вы ходили на порносайты, а я хакер. Я тайно записал, как ты мастурбируешь на веб-камеру. Пришлите мне биткойны, или я расскажу вашей семье и боссу". Подобные электронные письма становятся обычным явлением. Я получил один на днях, и я проследил его до записи в гостевом блоге, которую я написал на веб-сайте некоторое время назад. Там был мой адрес электронной почты. Эти мошенники удалили мою электронную почту с этого веб-сайта и отправили мне это электронное письмо, ожидая, что я заплачу деньги.
Эти электронные письма пугают, и трудно просить о помощи или знать, что делать. Я почти уверен, что большинство из них — мошенничество, и некоторые попытаются предоставить вам доказательства, показывая вам ваш пароль, но мои слушатели «Дневников Даркнета» достаточно сообразительны, чтобы знать, что существует множество взломов по всему миру, и ваш пароль, вероятно, находится в даркнете вместе с вашей электронной почтой. Просто наличие этого на самом деле не является доказательством чего-либо. Без доказательств чего-либо, что действительно смущает, или каких-либо доказательств, какой у них на самом деле выкуп? Зейн мог бы использовать свои навыки во благо. Он мог быть хакером в белой шляпе. Очевидно, он был очень технически подкован и хорош в рекламе.
Он мог бы защитить компании от подобных угроз и взломов. У него могла бы быть респектабельная карьера, но вместо этого он выбрал этот путь. Он позволил своей жадности и эго расти вместе с ним, что привело его прямо в объятия NCA и ФБР. Хотя он, скорее всего, выйдет из тюрьмы через три года, после этого ему, вероятно, будет трудно найти хорошую работу. Если Зейна выпустят из тюрьмы через три года, ему тогда будет двадцать семь лет. У него будут шантаж, мошенничество, отмывание денег, распространение программ-вымогателей и хакерство в качестве ярлыков, которые будут следовать за ним отныне, и все это ради нескольких лет бесплатных денег. Стоило ли? На это может ответить только Зейн.
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
Эпизод 28: Чем опасна установка читов


АКТЕР
: У нас также есть хейтеры, которые активно нападают на нас, пытаясь обрушить наши читы.


31a833c31c5b713177113baef7749611.jpg



Ведущий: Что ты имеешь в виду?
АКТЕР: Например, наши конкуренты, другие мошенники. Итак, мы получаем DDoSsed, и наш сайт падает, а затем нам приходится тратить больше денег на предотвращение DDoS и платить за дополнительную пропускную способность, когда это происходит.
Ведущий: Хорошо, теперь понятно, почему вы просите три формы удостоверения личности, прежде чем давать кому-то свои читы: вы не хотите, чтобы ваши читы попали в чужие руки, потому что, если это произойдет, это может очень быстро сделать их непригодными для использования.
АКТЕР: Точно.
Ведущий: Итак, ты когда-нибудь пробовал сам покупать читы?
ЕВГЕНИЙ: Конечно.
Ведущий: Насколько успешно?
ЕВГЕНИЙ: Довольно успешно. Итак, с публичными все довольно просто. Первое, что нам нужно реализовать, — это своего рода программа вознаграждения за обнаружение ошибок и возможность покупать читы. Итак, мы создали полностью физически отдельную сеть внутри компании, у которой есть отдельное сетевое подключение к интернету, и мы использовали ее, по сути, как отдельную лабораторию, где мы покупали читы и разбирали их. Итак, в основном в этом пространстве у нас была пара человек, работавших над этим, например, реверс-инженер и менеджер сообщества, которые пытались купить читы, быть или выдавать себя за людей, которые ищут чит как публично, так и в частном порядке. Много раз это было похоже на перевод ******, я думаю, что что-то было даже с криптовалютой и так далее. Так что вообще, в основном, альтернативные способы оплаты. Мы хотели бы, чтобы этот человек искал эти публичные и частные читы, пытался получить их как можно больше, и оба предоставляли их анти-читерской программе, которую мы использовали, и, если возможно, также использовали наш собственный обратный инжиниринг, чтобы вычислить как они ломают игру.
Этот процесс покупки чита был простым для общественности, если вы не давали понять, что вы из компании, например, используя имя разработчика и так далее, потому что они заблокируют эти учетные записи. Но когда дело доходит до приватных банов, иногда это означает, что вам нужно будет вести мгновенный разговор в Skype, ICQ, IRC, VK, Facebook, где угодно, или на форумах, через их специальные каналы или специальный веб-сайт, и я — у нас даже есть случаи, когда люди просили удостоверения личности, чтобы подтвердить личность покупателя, особенно если некоторые из этих супер-частных, где они продают, например, до десяти, двадцати, тридцати человек, и просили очень значительную подписку, например, 200, 500 долларов. , потому что мы видели даже такие, где люди готовы платить 500 долларов, чтобы иметь приватный чит, который только для них. Это то, что они хотят делать, и есть разработчик, к которому они обращаются, если что-то пойдет не так, и они исправят это за них. Итак, выдавая себя за разных пользователей, несколько учетных записей, несколько отдельных сетей, которые мы использовали, и просто присутствуя на всех этих каналах, где происходили бартеры и сделки.
Ведущий: Но это не так просто, как просто притвориться кем-то другим, чтобы купить эти читы. Загрузка и запуск чита в игре также является очень деликатным процессом, с которым разработчики игры должны быть осторожны, потому что создатели читов наблюдают за этой частью. Итак, как работает ваш чит? Если я купил его, какие шаги мне нужно сделать, чтобы заставить его работать?
АКТЕР: У нас есть погрузчик. Сначала вы запускаете загрузчик, а затем он запускает настоящую игру. Это своего рода оболочка для игры, поэтому все входящие и исходящие пакеты проходят через этот загрузчик. Вся память также доступна на загрузчике. Загрузчик манипулирует данными, чтобы заставить чит работать.
Ведущий: Хорошо, я понял, но есть ли функция входа в загрузчик? Как узнать, что моя подписка закончилась?
АКТЕР: Мы используем лицензионные ключи. Когда вы запускаете загрузчик, вы вводите лицензионный ключ, и это делает чит действительным в течение этого количества дней.
Ведущий: Пообщавшись с продавцом читов, они сказали мне, что есть также способы идентифицировать машину, на которой работает загрузчик, и ключ привязывается к идентификатору этой машины, так что это может быть комбинация имени хоста, Mac адрес, IP-адрес или другие идентификаторы. Это также означает, что вы не можете поделиться читом с другими; он будет работать только на первой машине, на которой вы его установите. Теперь давайте остановимся здесь на секунду и поймем, насколько отчаянно некоторые люди хотят получить эти читы. Платить 30 долларов за использование чита в течение семи дней достаточно дорого, если вы спросите меня. Но вдобавок ко всему, вы должны предоставить веб-сайту три формы идентификатора, а затем вы загружаете, устанавливаете и запускаете программу с теневого, подпольного хакерского веб-сайта. Тот, кто покупает этот материал, действительно должен игнорировать несколько красных флажков, чтобы заставить его работать, и некоторые мошенники видят это и пользуются этим.
ЕВГЕНИЙ: Тебе стоит заглянуть в AimKit.
Ведущий: Хорошо, AimKit. Это был чит для игры Rust, за использование которого нужно было платить 40 долларов в месяц, и игроки сообщали, что этот чит никогда нельзя было обнаружить, то есть BattlEye мог легко обнаружить его, если вы использовали этот чит, и забанить вас. Итак, начнем с того, что AimKit не был качественным читом. Вы покупаете его, вы используете его, вас банят, и это не то, как вы хотите, чтобы ваш читерский опыт прошел. Хорошие читы остаются незамеченными. В любом случае, когда пользователи начали жаловаться на этот чит, другие пользователи тоже начали звонить, говоря, что после его установки их учетные записи Discord были заблокированы. Предположительно, загрузчик не только предоставлял чит, но и брал кое-что с того компьютера, на котором он был установлен, и отправлял его обратно разработчикам в AimKit, например, логины Discord и кто знает что еще. Предположительно, разработчики AimKit использовали эти логины Discord для каких-то действий. Я предполагаю спам-каналы или людей, и это привело к тому, что человек был забанен в Discord. Но это всего лишь один пример игрового чита, который на самом деле представлял собой вредоносное ПО, крадущее информацию о пользователе и причиняющее ему вред. Но есть гораздо хуже, чем это. Юджин говорит, что когда он покупает эти читы, он всегда ожидает, что это вредоносное или какое-то шпионское ПО, поэтому ему приходится принимать дополнительные меры предосторожности при их установке.
ЕВГЕНИЙ: Ну, приложение, которое он нам прислал, — оно было, конечно, в отдельной сети физически и столько защиты, сколько мы могли применить внутри компании, но то, что приложение, которое мы прислали, загрузило все файлы базы данных Skype и отправь парню. Когда он просматривал эти файлы данных Skype, он мог сказать, что это были, например, мы, разработчики, да? Поэтому, как только он присылал нам что-то, что не работало, и мы начинали жаловаться, что это не работает, он сразу же закрывал сообщение, потому что выяснял, что мы разработчики. Таким образом, они идут к действительно чрезвычайной осторожности.
Ведущий: Подождите, вы хотите сказать, что, когда вам присылают загрузчик или чит, чит на самом деле просматривает другие данные на вашем компьютере, чтобы подтвердить, кто вы?
ЕВГЕНИЙ: Да, да. Он заражает как вредоносное ПО ваш компьютер.
Ведущий: Знаете что? Я должен был ожидать этого, на самом деле. Я помню, как скачивал игры, когда был подростком, с сомнительных сайтов, и половина из них содержала вредоносное ПО. Почему я должен ожидать, что сегодня все будет по-другому, даже если я плачу за это? Загрузка любого исполняемого файла с сомнительного веб-сайта никогда не будет хорошей идеей. Вот почему, когда разработчики видеоигр получают чит, они помещают его на новый компьютер, на котором нет никаких конфиденциальных файлов, в отдельной сети, потому что разработчики читов следят за тем, кто использует их чит. Но это также мешает разработчикам игр делиться читом с командой разработчиков или BattlEye, поскольку они не могут отправить этот чит кому-то еще. На другом компе работать не будет.
Таким образом, разработчики игр должны настроить удаленный рабочий стол, чтобы другие люди могли заходить на эту машину и анализировать ее или устанавливать ее на виртуальную машину. Юджин также говорит мне, что иногда люди из чит-сообщества выходят вперед и просто дают им чит, часто через свою программу вознаграждения за ошибки, но иногда нет. Иногда им просто присылают рабочий исполняемый файл, в котором есть чит, явно что-то, что этот человек купил, но не разрабатывал, и они готовы поделиться этим с разработчиком игры. Я думаю, что здесь происходит то, что это может быть борьба между другими разработчиками читов, когда, если один поставщик читов хочет разрушить бизнес для другого поставщика читов, они могут просто купить чит, а затем передать его разработчику игры, который затем исправит это сделать, чтобы этот чит не работал, а это значит, что больше людей покупают работающий.
ЕВГЕНИЙ: Так что да, можно сказать, что у нас были оба вида подходов, чтобы иметь двойного агента на другой стороне и людей из сообщества, мошеннического сообщества, которые действовали бы для нас как двойные агенты, фактически предоставляя нам дополнительную информацию или непосредственно исполняемые файлы определенного чита, который был приватным, и так далее.
Ведущий: Боже, это безумие, да? Быть разработчиком игр сегодня означает, что вам, возможно, придется изображать из себя двойного агента, действующего как мошенник, чтобы получить некоторые читы, или вам, возможно, придется работать с двойными агентами, которые находятся в сообществе читов, но хотят разоблачить кого-то. Происходит сумасшедшая битва, и иногда все это становится личным. Во всем этом много эмоций, верно? Я имею в виду, что для того, чтобы чит-разработчик сделал чит, он, вероятно, уже любит игру и знает ее очень хорошо, и они хотели бы разработать дополнительную функцию в игре. Итак, они садятся и пытаются манипулировать внутриигровыми данными, пытаясь найти что-то, что дает им преимущество, и на это могут уйти недели. Но когда они это сделают, должно быть здорово, что вы перехитрили создателей игр. Они должны чувствовать, что знают об игре то, чего не знают даже разработчики. Так что, держу пари, после того, как они находят новый чит, начинается небольшой праздник. Конечно, получать за это деньги тоже приносит массу новых эмоций, верно? Дофамин точно бьет. Но затем все это рушится, когда игровая студия обнаруживает это и исправляет. Теперь тот кайф, который был у разработчиков читов, уходит, и они могут разозлиться. Они могут захотеть узнать, кто именно был разработчиком игры, который испортил вечеринку, найти его имя и начать оскорблять его в Твиттере. Теперь здесь все становится некрасиво.
ЕВГЕНИЙ: Мы очень сблизились с этими людьми, и под близкими я подразумеваю их – постепенно они как бы доксировали нас и получили наши номера телефонов и личные аккаунты. Я думаю, что они так и не проникли ни в один из моих аккаунтов, потому что большинство из них были под двухфакторной аутентификацией, но я думаю, что они, по крайней мере, пытались. Благодаря этим связям с этими людьми я встретил много разных странных персонажей.
Ведущий: Евгений говорит, что собирался выступить с докладом о читерах на GDC, конференции разработчиков игр, и, очевидно, читеры начали кампанию GoFundMe по сбору денег — на что они собирались собирать деньги?
ЕВГЕНИЙ: Чтобы можно было оплатить билеты на GDC, прийти на презентацию и потроллить меня там, в общем.
Ведущий: Ну, он выступал на конференции, и троллей в зале не было. Но он был доксирован, и у него было много неверных попыток входа в систему, а также всевозможные странные сообщения и угрозы.
ЕВГЕНИЙ: Больше всего я ненавидел жуткие звонки. Я брал трубку, и поскольку это мой рабочий телефон, и звонит неизвестный номер, я обычно беру трубку, потому что это может быть любой из наших партнеров, и мне говорят эти странные вещи или люди, связывающиеся с членами моей семьи. , посылая им странные, кровавые фотографии. Это просто раздражало; например, почему вы делаете — например, почему вы нацелились на члена моей семьи? Я, черт возьми, не понимаю. Мол, ладно, беспокой меня в Instagram, беспокой меня в Твиттере, беспокой меня в чертовом мессенджере и присылай мне странную чушь. Только не звони мне, не мешай окружающим; это было бы чудесно. Таким образом, это как бы побудило меня быть более осторожным в отношении многих моих социальных сетей. Я не использую их так часто, как раньше. Просто все закрыто.
Ведущий: Это просто дико, что и разработчики игр, и разработчики читов подвергаются нападкам в этом пространстве. Странная параллель с самой игрой. В игре происходят сражения, симулированные бои, но вне игры тоже происходит совершенно другая битва, и ставки здесь намного выше.​
 
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0

f12b01186706ac4d3ca802919cc7c4e4.jpg





Евгений Богачев — человек, названный самой большой угрозой для банковской системы Америки. Под кодовым именем «Lucky 12345» он осуществлял свои операции, сидя в кресле в своём собственном доме на черноморском побережье России. Он руководил тем, что считается самой изощренной сетью киберпреступности, которую когда-либо видел мир.


02fd2ad62d43839ac77761527586fbbd.png



Используя «вредоносное ПО» 30-летний мужчина и его банда взломали сотни тысяч банковских счетов, опустошая до 7 миллионов долларов за раз.

Большинство жертв даже не подозревали о том, что их компьютеры ежедневно подвергались атакам со стороны программы под названием GameOver Zeus.

«Программа-вымогатель» замораживала компьютерные файлы жертв и угрожала уничтожить их, если не будет выплачен выкуп. Они были нацелены не только на крупные предприятия, но и на домашние компьютеры, замораживая семейные фотографии и школьные проекты детей. Одной из жертв стал полицейский участок в Массачусетсе, которому пришлось заплатить, чтобы получить свою базу данных фотографий.

За информацию о Богачеве FBI предлагает рекордную награду в $3 млн. По некоторым данным хакер все еще находится на свободе в России, где официальные лица не проявляют особого интереса к помощи ФБР после санкций, введенных против Москвы из-за Крыма.


4574d67ecec586f5457f66e922c3ffc0.png



Богачева прославляют как героя в его родном городе Анапе, морском курорте в 70 милях от Крыма. Используя детали обвинительного акта США, раскрытого против него, британская газета посетила его адрес на Лермонтова 120, в небоскребе с квартирами стоимостью 250 000 долларов за штуку, где его видели в последний раз.

Там соседи помнят тихого человека, который плавал на катере и чье единственное участие в киберактивности было наклейкой на бампере его стареющей машины, которая рекламировала его услуги по «ремонту компьютеров». Однако, когда соседям рассказали, что теперь Евгений стал врагом общества номер один в США, многие пришли в восторг. «Какой талантливый парень», — сказал 23-летний Михаил, который узнал на фотографии Богачева, сделанной ФБР, человека, которого он видел в подъезде с женой и девятилетней дочерью.

ФБР, описав GOZ как «самую изощренную» кибераферу и назвало сумму дохода с программы как минимум в 15 миллионов долларов в месяц. До сих пор официальные лица США считают, что Кремль вступил в сговор с ведущими российскими хакерами в обмен на помощь в разработке кибервойны.

«Маловероятно, что между государственными и негосударственными кибератаками не было сотрудничества», — сказал Кеннет Джирс, военный компьютерный эксперт США, который сейчас работает в фирме FireEye, занимающейся интернет-безопасностью.


5953b0a8efc7c0e294b58bfe12215975.png



Газета New York Times «Золотому» хакеру также приписывает сотрудничество с разведкой. Источники газеты полагают, что российская разведка использовала хакера, чтобы проникать в системы чиновников и военных ведомств. NYT утверждает, что больше всего разведку интересовали документы под грифом «совершенно секретно», а также информация о военных конфликтах на Украине и в Сирии.


Богачеву предъявлено множество обвинений, но шансов на его поимку нет. Находясь в международном розыске уже более 7 лет, талантливый хакер не оставил и следа.
 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0

9e89c6e06bbeaf14d19f12be2397f59d.jpg





Сегодня вспомним историю об одних из самых популярных и успешных, но не самых аккуратных и очень доверчивых русских хакеров, ограбивших РауРаl.

В конце 2000 года ФБР обманом заманило в США двух хакеров из Челябинска, после того, как мошенники появились в стране их очень быстро арестовали. Речь пойдет в двух русских хакеров, которых США объявило в розыск и обвинило во многих кибератаках, — 20-летний Алексей Иванов и 25-летний Василий Горшков.


b19bbf6ef01178f07e758fb613004dde.png



При задержании у мошенников обнаружили файл с номерами 38 тысяч кредитных карт пользователей РауРаl.

Ребята работали в огромных масштабах, используя простой фишинг. Однако важно помнить, о каком времени мы говорим — в нулевых стационарные компьютеры только начали появляться и осведомленность граждан была очень слабой.

Чтобы завладеть личной информацией пользователей, хакеры создавали страницы, точную копию официального сайта популярной платежной системы РауРаl. Представитель РауРаl признался, что на протяжении нескольких лет в сети существовали такие «зеркала», но не стал сообщать точную информацию о похищении денежных средств. В то время у руля РауРаl ещё был Илон Маск.


b4ac3d0723ca46dab719938909036c68.png



Интересна была и операция по поимке челябинских хакеров. Во-первых, ФБР создали фиктивную компанию Invita. Отдельно стоит отметить, что уже на этом этапе операция могла провалиться, ведь по-английски «invite» означает «приглашать».

Далее ФБР под видом частной компании связалось с подозреваемыми и попросило их продемонстрировать фирме свои навыки. Талантливые хакеры успешно взломали Invita, а затем компания предложила работать на них.

Когда Иванов и Горшков в ноябре 2000 года приехали в США и пришли в офис компании, в качестве тестового задания им было необходимо выполнить взлом. Однако сделать это нужно было на компьютере ФБР, где уже стояли всевозможные трекеры, которые, в том числе считывали логины и пароли. После того, как ничего не подозревающие хакеры взломали что-то на глазах у ФБР, их арестовали.


6d2099266a5fc5836c95b43868bb3f16.png



Многие уверены, что Иванов и Горшков — лишь часть большой преступной группировки, и их арест послужит предостережением для российских хакеров.

Горшков получил срок в 4 года американской тюрьмы. А его товарищ Иванов сам признал себя виновным и провел в заключении три года и восемь месяцев.

После отбывания срока хакеры не давали комментариев и предпочли быть более аккуратными в интернете. Однако Горшков решил пойти путем праведным и стать слугой народа — в 2016 году появилась информация о неожиданном включении хакера с американской судимостью в челябинский облизбирком.


64dc7797579cd855c8d73b0a9a3b48ed.png



01391f0cdcf72b74b557c9b06f26cb96.png

 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0

7c17220aeab09443508308479ce0972f.jpg





Владимир Дринкман – уроженец Сыктывкара, окончил в столице Коми школу № 1, учился в Сыктывкарском госуниверситете. 14 февраля 2018 года американский судья приговорил россиянина к 12 годам тюремного заключения за его участие в хакерской схеме, которая, по словам ФБР, нанесла ущерб в сотни миллионов долларов за счет продажи 160 миллионов украденных номеров кредитных карт.

Владимира Дринкмана арестовали в Амстердаме в июне 2012 года и экстрадировали в США в феврале 2015 года.


ff2da689bd615ffea4b3405d83655bcb.png



Дринкман был обвинен и признал себя виновным по нескольким статьям: сговор с целью незаконного доступа к компьютерам и сговор с целью мошенничества с использованием электронных средств связи.

Впервые на радарах ФБР Владимир появился еще в 2003 году, когда участвовал в мошеннических схемах. Тогда он устанавливал на устройства «снифферы», предназначенные для кражи данных из компьютерных сетей финансовых компаний, платежных систем и розничных продавцов.

Далее Дринкман сохранял украденные данные и продавал заинтересованным. За каждую кредитную карту он получал от 10 до 50$, а таких данных у него было очень много.


e87a3f9661fdac0d7d35897c8e7fa51c.png



Хакерская схема обошлась банкам и компаниям очень дорого. Банки, выпускающие кредитные карты, обеднели на сотни миллионов долларов. Одна компания заявила о убытке в более чем 300 миллионов долларов. Всего о кражах сообщили только три компании, но число пострадавших составляет несколько десятков.

По официальным данным ФБР, Дринкман смог проникнуть в сети шестнадцати компаний, в том числе Nasdaq OMX Group Inc, 7-Eleven, французской Carrefour SA, JC Penney Co, JetBlue Airways Corp и Heartland Payment Systems Inc.


56574e8529574aaf1e3085f0ab9f026d.png



Отдельно стоит рассказать о том, как попался Владимир. Его поездка в Амстердам оказалась слишком дорогой. В следующем выпуске расскажем о легендарной схеме Дринкмана и его подельниках, а также подробнее о его поимке.


3c9c6320d2f3fa88dd217424e435884f.png



Дринкман сейчас​
 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0

16c675c43f671f8905b189e64128624a.jpg





12 утра 28 июня 2012 года. Самый известный русский кардер Владимир Дринкман и его жена спешат сесть в такси. Они пару минут назад получили информацию о том, что за ними следит ФБР. Однако сбежать пара не успела. На россиянина надели наручники и арестовали по обвинению в содействии организации того, что было названо крупнейшей преступной хакерской схемой, когда-либо расследовавшейся в Соединенных Штатах.


dcf03adffcb4f9460bc4640308e107fe.png



Дринкмана обвинили в огромном количестве кибер-атак. Он грабил биржу Nasdaq, кредитные карты из Heartland Payment Systems, 7-Eleven, сеть супермаркетов Hannaford Brothers, Visa, Dow Jones и Jet Blue и другие.

Разумеется, он работал не один. По данным ФСБ группировка нанесла ущерб в размере более 300 миллионов долларов.

Это дело стало одним из самых обсуждаемых в сфере киберпреступности. Поймать русских хакеров не так просто не только из-за высокой степени защиты, но и из-за того факта, что многие из них также находятся в странах бывшего Советского Союза, где экстрадиция практически невозможна.
Тропу к амстердамскому отелю ФСБ строили годами

Изначально ФСБ даже не предполагали найти Дринкмана в Нидерландах. Разведка следила за Дмитрием Смилянец, 31-летним предполагаемым кибер-торговцом украденными данными.


6aedca38de21986369accbaa38ffe143.png


Смилянец и Дринкман


В 2004 году был закрыт преступный форум, известный как DumpsMarket, онлайн-маркет по торговле украденными данными кредитных карт. Там и было обнаружено множество улик.

На форуме агенты заметили хакера по прозвищу Скорпо, которого вскоре связали с Дринкманом. Далее были замечены двое россиян под псевдонимами Anexx и Grigg. В ходе дальнейших исследований следователи обнаружили сообщника по прозвищу Сми. Большая часть группы держалась в тени.

Смилянец, он же Сми или Смелый, живший в Москве, оказался любителем вести публичную жизнь. Он руководил успешной командой онлайн-игр под названием «Москва 5», которая ездила на международные соревнования. У его аккаунта в Твиттере ddd1ms более 14 000 подписчиков. У него также есть аккаунт в ВК, группа и аккаунт в Facebook.


61e64a6a42c5c20bfcd38d3bd6842ea3.png


Хакер Дмитрий Смилянец («Смелый»), 12 июля 2011 года
Moscow Five / YouTube


Следователи надеялись разоблачить всех фигурантов дела через Смилянец. «Мы знали, что если поймаем его, если он будет сотрудничать, он предоставит много информации о людях», — сказал чиновник.

Поэтому они наблюдали и ждали.
Каникулы в Амстердаме

Летом 2012 года Смилянец опубликовал в Facebook фото, где даже отметил геолокацию, которая указывала на Амстердам.

ФБР принялись за дело. За пару они сделали обзвон всех гостинец в округе и нашли ту самую, где проживал хакер.

Американцы договорились с голландской службой безопасности о поимке Смилянец. Голландская полиция сразу отправилась в отель Manor. Сотрудники подтвердили, что Смилянец был там с женой.

Но вот чудо — на хакера было снято два номера. Кто же во втором? Мистер Владимир Дринкман.


0db16d54913892a1334ac7f08a0d2e58.png



ФБР точно знали, что Дринкман — это Скорпо, хотя это имя не появлялось на форуме уже много лет. Подняв все архивы американцы нашли интересный скрин с форума DumpsMarket. Там было следующее: сообщение от Scorpo администратору форума с просьбой сменить ник — на Anexxian. Тот самый ник, чьего владельца ФБР искали годами.

28 июня в 8:30 утра по Амстердаму в отель прибыли голландские полицейские в сопровождении агентов Секретной службы. Смилянца арестовали сразу. Его жена принялась тайно звонить жене Дринкмана и сообщать новости об аресте.

По словам официальных лиц, Дринкман позвонил на стойку регистрации и вызвал такси, но дальше заднего сиденья он не продвинулся. «Он не сопротивлялся», — сказал представитель голландской полиции Вим де Брюин. «Было спокойно и гладко».


b720e63c741ed4fb66de7dd7f21a94c9.png



Именно так произошла поимка самого известного русского кардера. На протяжении нескольких лет он успешно сковывался, но был пойман из-за подельника, любившего выкладывать фото своих приключений в сеть.​
 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
9f811c3dbcec2c77a16a1a09698484f6.jpg





Ещё одна легендарная история о русском хакере, который украл более 169 миллионов долларов.

32-летний мужчина из Владивостока был приговорен к 27 годам лишения свободы за преступления, связанные с компьютерным взломом.

Роман Валерьевич Селезнев, он же Track2, был осужден в августе 2016 года по 38 пунктам обвинения, связанным с его схемой взлома компьютеров торговых точек с целью кражи номеров кредитных карт и продажи их на веб-сайта даркнета.


7b2a7328fcc7c771700e80b6d58c4532.png



Роман сын Валерия Селезнёва, действующего депутата Госдумы РФ от партии ЛДПР. Отец не раз пытался спасти сына от уголовного преследования: заявлял, что Романа на самом деле похитило правительство США. А когда доказательства мошеннических действий Track2 были неоспоримыми отец подавал множество апелляций в суд, но все тщетно.


64218c89451b25adb4ca774598d3d50f.png



Хакер известен на подпольных форумах под никами Bulba, Track2, 2pac, nCuX и др. Он сам торговал дампами через сайты POS Dumps, track2.tv, bulba.cc, 2рас.сс — на последнем продавались миллионы дампов, снятых из терминалов магазинов Target, Neiman Marcus, Michaels, Staples и Home Depot, в 2013-2014 годы это был крупнейший магазин дампов в интернете.

Согласно доказательствам, представленным в суде, в период с октября 2009 г. по октябрь 2013 г. Селезнев взламывал системы розничных точек продаж и устанавливал вредоносное программное обеспечение, которое позволило ему украсть миллионы номеров кредитных карт более чем 500 американских компаний и отправить данные на серверы, которые он контролировал в России, Украине и Маклине, Вирджиния. Затем Селезнев объединил информацию о кредитных картах в группы, называемые «базами», и продал информацию о различных криминальных кардинговых сайтах покупателям, которые использовали их для мошеннических покупок, согласно доказательствам, представленным в ходе судебного разбирательства по этому делу.

Многие из предприятий, на которые нацелился Селезнев, были малыми предприятиями и включали рестораны и пиццерии в Западном Вашингтоне, в том числе Broadway Grill в Сиэтле, который был обанкротился после кибератаки. Схема Селезнева нанесла примерно 3700 финансовым учреждениям убытки на сумму более 169 миллионов долларов.


a0d7fdf62c857f52f57f4149268a52ff.png



Селезнева взяли под стражу в июле 2014 года на Мальдивах, а находящийся у него на тот момент ноутбук содержал более 1,7 миллиона украденных номеров кредитных карт, в том числе некоторых из предприятий в Западном Вашингтоне. Ноутбук также содержал дополнительные доказательства, связывающие Селезнева с серверами, учетными записями электронной почты и финансовыми транзакциями, задействованными в схеме. Представленные в суде доказательства показали, что Селезнев заработал на своей преступной деятельности десятки миллионов долларов.

Селезнев был осужден 25 августа 2016 г. по 10 пунктам обвинения в мошенничестве с использованием электронных средств связи, восьми пунктам обвинения в умышленном повреждении защищенного компьютера, девяти пунктам обвинения в получении информации с защищенного компьютера, девяти пунктам обвинения в хранении 15 и более устройств несанкционированного доступа и двум пунктам обвинения. количество случаев кражи личных данных при отягчающих обстоятельствах.

"Преступное предприятие Селезнева было одновременно изощренным и обширным, с транснациональными последствиями», — сказал ответственный специальный агент Роберт Л. Кирстед из Секретной службы США.

Селезнев также обвиняется в отдельном обвинительном акте округа Невада в участии в коррупционной организации, находящейся под влиянием рэкета (RICO), и сговоре с целью участия в коррупционной организации, находящейся под влиянием рэкета, а также в двух пунктах обвинения в хранении 15 или более контрафактных и несанкционированных устройств. Кроме того, в Северном округе Грузии Селезневу предъявлено обвинение в заговоре с целью совершения банковского мошенничества, одном эпизоде банковского мошенничества и четырех пунктах обвинения в мошенничестве с использованием электронных средств.

На свободе у Романа осталась гражданская жена и маленькая дочка. По словам жены, Роман был "обычным пользователем компьютера" и точно не виноват во всех присвоенных ему злодействах. А его отец не забыл подчеркнуть тот факт, что Роман в университете учился на гуманитарной специальности и с компьютерами встречался редко.


becc50f2ac8e8bd21e46faf5dcf3fa0e.png

 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
f5504924188da3aed233ea714ca6abfa.jpg





Group-IB разоблачил атаки группы хакеров, работающих с 2016 года. Хотя банда ранее нападала на российские банки, эксперты Group-IB также обнаружили доказательства деятельности группы более чем в 25 странах мира. Group-IB опубликовала свой первый подробный отчет о тактике и инструментах, используемых Silence. Гипотеза аналитиков безопасности Group-IB заключается в том, что по крайней мере один из членов банды является бывшим или нынешним сотрудником компании, занимающейся кибербезопасностью. Подтвержденный ущерб от деятельности Silence оценивается в 800 000 долларов США.


334f785fa5b72fcf5cdf6cbd597352b4.png



Silence — это группа русскоязычных хакеров, судя по их языку команд, расположению используемой ими инфраструктуры и географии их целей (Россия, Украина, Беларусь, Азербайджан, Польша и Казахстан). Хотя фишинговые письма рассылались также банковским служащим в Центральной и Западной Европе, Африке и Азии). Кроме того, Silence использовала русские слова, набранные на английской раскладке клавиатуры, для команд используемого бэкдора. Хакеры также использовали услуги русскоязычного веб-хостинга.

По данным Group-IB, в течение последних трех лет группа проводила тайные кибератаки на финансовые учреждения в России и Восточной Европе.

Группа оставалась незамеченной в течение многих лет, в основном из-за ее предрасположенности к использованию законных приложений и инструментов, уже найденных на компьютерах жертв.


8659228e5e84881fed4bc18d854babdf.png



Но Silence также создали свои собственные инструменты, такие как:

Silence — основа для атак на инфраструктуру;
Атмосфера — набор программных средств для атак на банкоматы;
Farse — инструмент для получения паролей со взломанного компьютера;
Cleaner — инструмент для удаления логов.

Эти инструменты в сочетании с тактикой скрытности помогли группе оставаться незамеченной гораздо дольше, чем многим ее коллегам.

Как ФБР удалось раскрыть самых аккуратных хакеров? Расскажем в следующей части.


fe343ee55bc0a3fdbd26cf634a7bfea3.png
 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
0f96d3420159998d6688b2add140c113.jpg





Давайте разберемся, кто стоит за группировкой хакеров, прозванными самыми аккуратными мошенниками в мире.
Кто такие Silence Group

У команды Silence есть две четкие роли: оператор и разработчик. Предположительно, Оператор является лидером группы. Он действует как тестировщик, который обладает глубокими знаниями инструментов для проведения тестирования на проникновение в банковские системы. Эти знания позволяют группе легко ориентироваться внутри банка. Именно оператор получает доступ к защищенным системам внутри банка, а затем осуществляет кражу.

Разработчик является квалифицированным реверс-инженером. Он отвечает за разработку инструментов для проведения атак, а также способен модифицировать сложные эксплойты и стороннее программное обеспечение. Кроме того, разработчик обладает достаточными знаниями о процессах, системах ATM и имеет доступ к непубличным образцам вредоносных программ, которые обычно доступны только охранным компаниям.

Отличительной особенностью Silence является их нетипичная ролевая структура и небольшой размер. Оказывается, в эту русскоязычную группу входят всего два человека.


a433306156cf93ad6b817bc1540a22dc.png



Как и в большинстве финансово мотивированных APT-групп, члены Silence являются русскоговорящими, о чем свидетельствует язык команд, приоритеты в размещении арендуемой инфраструктуры, выбор русскоязычных хостинг-провайдеров и местоположение целей.

Команды троянца Silence - это русские слова, набранные с использованием английской раскладки:

htrjyytrn > реконнект (повторное подключение) htcnfhn > рестарт (перезапуск) ytnpflfybq > нетзадач (нет задач)

Основные цели находятся в России, хотя фишинговые электронные письма были отправлены сотрудникам банков более чем в 25 странах Центральной и Западной Европы, Африки и Азии.

Для аренды серверов Silence использует русскоязычных хостинг-провайдеров.
Преступления самых аккуратных хакеров

Успешные атаки Silence в настоящее время были ограничены странами СНГ и Восточной Европы. Их основные цели расположены в России, Украине, Беларуси, Азербайджане, Польше и Казахстане.

Однако некоторые фишинговые электронные письма были отправлены сотрудникам банка более чем в 25 странах Центральной и Западной Европы, Африки и Азии.


8378e444225221913344184f820701a7.png



Хронология атак

Июль 2016 — хакерам не удалось вывести деньги через российскую AWS CBR. Сотрудники банка быстро заметили подмену документов и залатали дыру в системе.
Август 2016 — всего за месяц хакеры снова получили доступ к системам AWS CBR. На этот раз банк попросил Group-IB отреагировать на инцидент. Атака была остановлена. Однако полный журнал инцидента восстановить было невозможно, поскольку в попытке очистить сеть ИТ-команда банка удалила большинство следов злоумышленника.
Октябрь 2017 года — наконец удачная кибератака. На этот раз Сайленс атаковал банкоматы и украл более 100 000 долларов всего за одну ночь. В том же году они провели DDoS-атаки с использованием IRC-бота Perl и общедоступных IRC-чатов для контроля троянов. После неудачной попытки с системой межбанковских транзакций в 2016 году преступники не пытались вывести деньги с помощью системы, даже получив доступ к серверам AWS CBR.
Февраль 2018 — успешная атака с использованием обработки карт. Они сняли более 550 000 долларов через банкоматы банка-партнера.
Апрель 2018 — через два месяца группа вернулась к своему проверенному методу и снова сняла средства через банкоматы. За одну ночь они выкачали около 150 000 долларов. На этот раз инструменты Silence были значительно изменены: они не были обременены избыточными функциями и стабильно работали без ошибок.

Что с Silence сейчас

На момент 2023 года хакеры так и не были пойманы, что говорит об их исключительной системе безопасности. На сегодняшний день расследование продолжается, но с 2018 года нет официальных заявлений или отчетов об активности Silence. Команда полностью оправдывает своё название — "Тишина".


52d80e826772f7f39565daa1b2f63172.png
 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
d0a1463d2a6bc41f70ccf0fdf54e9f88.jpg





Международные эксперты по кибербезопасности подсчитали, что в 2019 году кибератаки происходили во всем мире каждые 14 секунд. Сегодня вспомним о том, как хакеры украли данные на 2,5 трлн. долларов.


f3e5931abdde56cc696a5b3bf751b5f1.png



Что произошло

Данные миллионов клиентов обнаружены на черном рынке в результате крупнейшей в истории утечки информации о кибербезопасности в российском банковском секторе.

Аналитики компании DeviceLock, занимающейся кибербезопасностью, обнаружили личную информацию, относящуюся к 60 миллионам держателей кредитных карт Сбербанка, для продажи на черном рынке. Им удалось проанализировать данные около 200 предполагаемых клиентов, предоставленные им продавцом, и проверить их подлинность.

Российская газета «Коммерсант» дополнительно проверила некоторые данные, успешно найдя в базе данных данные кредитных карт своих журналистов, включая личные данные, такие как их место работы за последние три года.

«Это самая большая и подробная банковская база данных, которая когда-либо появлялась на черном рынке», — сказал основатель DeviceLock Ашот Оганесян.

«В мировом рейтинге банковских утечек это можно считать крупным инцидентом. Для российского рынка это абсолютный рекорд, по крайней мере, за последние десять лет», — сказал он The Moscow Times.

Данные появились для продажи на сайте, который заблокирован российским регулятором связи Роскомнадзором. Предполагается, что утечка данных могла произойти в конце августа 2019.


ad201225d59c02e67dde80103c05ef56.png



Что ответил банк

Сбербанк подтвердил утечку данных «не менее 200 клиентов», заявив, что утечка могла произойти от сотрудника банка.

В официальном заявлении на своем сайте банк сказал:

«На данный момент проводится служебное расследование, о его результатах будет сообщено в будущем. Наиболее вероятным объяснением произошедшего являются умышленные преступные действия сотрудника, так как внешнее проникновение в базу данных невозможно из-за ее изолированности от внешней сети. Украденная информация ни в коем случае не угрожает сохранности средств клиентов», — говорится в сообщении.

В частности, в Сбербанке заявили, что, поскольку просочившаяся информация не содержит трехзначных CVV-кодов кредитных карт, а клиенты также требуют код подтверждения в текстовом сообщении для совершения онлайн-платежей, клиенты не подвергаются риску мошенничества.
Какой масштаб трагедии на самом деле

Однако Оганесян сообщил The Moscow Times, что в результате утечки клиенты Сбербанка стали жертвами «различных видов мошенничества». В частности, он выделил телефонное мошенничество, сославшись на инцидент, произошедший ранее в этом году, когда клиентам Сбербанка звонили мошенники, выдававшие себя за представителей банка.

Сообщается, что в сеть утекли данные о 60 миллионов карт пользователей Сбербанка. Эта утечка стала самой масштабной за всё время работы банка.


8ad7858777b021943e70070724169929.png



Кто взломал

За всё время расследования Сбербанк так и не вышел на преступников. Во всяком случае, не делал официальных заявлений о том, что хакеры найдены и наказаны.

Служба безопасности Сбера сообщила о своей версии произошедшего: к взлому причастны работники банка, розыск которых всё ещё ведётся.


a3ad993b5bd5779425a3ddf2516a0f85.png


 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
03271f308ce0557dcc3408363e6b0bfe.jpg





Эта история началась еще летом. Эстония попала под волну кибератак из-за того, что снесла несколько советских памятников.

«В августе 2022 Эстония подверглась самым масштабным кибератакам, с которыми она сталкивалась с 2007 года», — написал в Twitter заместитель министра экономики и коммуникаций Эстонии Луукас Ильвес.

Ильвес также сказал, что ддосу подверглись не только правительственные сайты, но и частные учреждения.

Ответственность за атаки взяла на себя российская хакерская группа Killnet, заявившая в своей учетной записи Telegram, что она заблокировала доступ к более чем 200 государственным и частным эстонским учреждениям, таким как онлайн-система идентификации граждан.


d3c66c97e6bc92187cb81a9348a53fcb.png



Killnet, заявившая об аналогичной атаке на Литву в июне, заявила, что действовала после того, как во вторник в городе Нарва, недалеко от границы Эстонии с Россией, была изъята из публичного обозрения копия советского танка Ту-34 времен Второй мировой войны и доставлена в Эстонию.

Ранее эстонское правительство распорядилось о скорейшем сносе всех общественных мемориалов советской эпохи в преимущественно русскоязычном городе, сославшись на растущую там напряженность и обвинив Москву в попытке использовать прошлое для разделения эстонского общества.
Напряженность вокруг советских памятников

При DDoS-атаке хакеры пытаются завалить сеть необычно большими объемами трафика данных, чтобы парализовать ее, когда она больше не может справляться с объемом запрошенных данных.

Эстония, член Европейского союза и НАТО, приняла меры по усилению кибербезопасности в 2007 году после масштабных DDoS-атак на публичные и частные веб-сайты, ответственность за которые она возложила на российских субъектов, разгневанных его удалением во время еще одного памятника советской эпохи.


12019c31be6552de9d3678229afe65b5.png



Как и ее балтийские соседи, Эстония снесла множество памятников, прославляющих Советский Союз или коммунистических лидеров, с тех пор, как страна восстановила независимость в 1991 году.

Правительство и многие эстонцы рассматривали памятник в Таллинне как болезненное напоминание о 50-летней советской оккупации, в то время как некоторые этнические русские рассматривали его снос как попытку стереть свою историю.

Эти события напомнили о том, как в 2007 году группа русских хакеров уже совершала кибератаку на Эстонию. В следующем выпуске расскажем о том, какой ущерб понесло правительство Эстонии, а также удалось ли им раскрыть и наказать нарушителей.


4d32fbbc438602a36fb31f231c1f5a97.png

 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
112375db00f03d67324f2410d393a084.jpg





Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах, согласно интернет-записям, просмотренным Reuters и пятью экспертами по кибербезопасности.

В период с августа по сентябрь, когда Владимир Путин указал, что Россия будет готова использовать ядерное оружие для защиты своей территории, Cold River нацелился на национальные лаборатории в Брукхейвене (BNL), Аргонне (ANL) и Ливерморе Лоуренса (LLNL). {акеры создают поддельные страницы входа для каждого учреждения и рассылают электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.


856f3618817a1c3a3dbba7acf6282d4b.png



Кто такие Cold River

Cold River впервые попала в поле зрения специалистов разведки после нападения на министерство иностранных дел Великобритании в 2016 году. За последние годы она была замешана в десятках других громких хакерских атак. Агентство Reuters отследило учетные записи электронной почты, использованные в его хакерских операциях в период с 2015 по 2020 год, до ИТ-специалиста в российском городе Сыктывкар.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. «Они участвуют в прямой поддержке информационных операций Кремля».


56f88b70dae0465c40470209931fceed.png



Западные чиновники заявляют, что российское правительство является мировым лидером в области хакерских атак и использует кибершпионаж, чтобы шпионить за иностранными правительствами и отраслями, чтобы получить конкурентное преимущество. Однако Москва последовательно отрицает, что проводит хакерские операции.

В мае Cold River взломал и слил электронные письма, принадлежащие бывшему главе британской разведывательной службы МИ-6. Это была лишь одна из нескольких операций «взлома и утечки», проведенных в прошлом году хакерами, связанными с Россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской фирмы по кибербезопасности Sekoia.io, во время другой недавней шпионской операции, направленной против критиков Москвы, компания Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские неправительственные организации, расследующие военные преступления.

Попытки взлома, связанные с неправительственными организациями, имели место непосредственно перед и после опубликования 18 октября доклада независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за «подавляющее большинство» нарушений прав человека в первые недели войны на Украине.


0856e6133f016b65c20e842d4ac4d6c9.png

 
Последнее редактирование:
BlackMAST
Оффлайн

BlackMAST

Проверенный продавец
.
Регистрация
09.12.19
Сообщения
260
Реакции
36
Репутация
0
e30495b4b5004452a8b1e9f48f48646b.png





Пророссийская хакерская группа взяла на себя ответственность за временное закрытие нескольких веб-сайтов аэропортов США.

Кибератаки, о которых заявила Killnet, затронули, в частности, веб-сайты Los Angeles International, Chicago O'Hare и Hartsfield-Jackson International в Атланте.

Хакеры разместили список аэропортов в Telegram, призывая хакеров участвовать в так называемой DDoS-атаке — распределенном отказе в обслуживании, когда компьютерная сеть переполняется одновременными передачами данных.
Кто пострадал

Призыв хакеров к действию включал аэропорты по всей стране, включая Алабаму, Аризону, Арканзас, Калифорнию, Колорадо, Коннектикут, Делавэр, Флориду, Джорджию, Гавайи, Айдахо, Иллинойс, Индиану, Айову, Канзас, Кентукки, Луизиану, Мэриленд, Массачусетс, Мичиган, Миннесота, Миссисипи и Миссури.


e632d641589a2f7ffd45a2334cfd6f40.png



Не сразу стало ясно, сколько аэропортов действительно пострадало и все ли сайты пострадавших пострадали.

В Атланте власти заявили, что ATL.com «заработал после инцидента рано утром, который сделал его недоступным для публики». Но люди в Твиттере продолжали жаловаться на то, что части сайта были недоступны в течение нескольких часов после того, как было сделано объявление.
Какие ещё атаки сделали Killnet

В более раннем сообщении Killnet отметил другие уязвимые сайты США, которые могут подвергнуться аналогичным DDoS-атакам, включая морские терминалы и логистические объекты, центры мониторинга погоды, системы здравоохранения, системы метро, а также биржи и системы онлайн-торговли.

Хакеры поздравили несколько команд, которые, помогли вывести сайты из строя, написав: «Кто участвовал в ликвидации Соединенных Штатов Америки, не останавливайтесь !!»

Атаки последовали за очередной волной кибератак. В этом случае хакеры взяли на себя ответственность за то, что сплотила хакеров для отключения государственных сайтов штата.


529f4a7e6e4acb4d3a009ad8ade72583.png

 
Сверху Снизу