Киберпреступники часто рассматриваются как паразиты, питающиеся жертвами всех размеров и мастей. Но, как выяснилось, они сами стали мишенями, а множество «метапаразитов», кормящихся на дне, стекаются на Darknet-рынки, чтобы найти свою собственную добычу.
Это явление имеет приятный побочный эффект - оно открывает исследователям богатый источник информации об угрозах, включая контактные данные и местонахождение киберпреступников.
Старший исследователь угроз компании Sophos Мэтт Викси выступил на Black Hat Europe 2022, чтобы обсудить экосистему метапаразитов, на сессии под названием «Мошенники кидают мошенников, хакеры взламывают хакеров». Согласно исследованию, которое он провел вместе с коллегой-исследователем Анжелой Ганн, подпольная экономика изобилует самыми разными мошенниками, которые успешно извлекают миллионы долларов в год из своих коллег-киберпреступников.
Пара изучила данные за 12 месяцев по трем форумам Dark Web (русскоязычный Exploit и XSS, а также англоязычный Breach Forums) и обнаружила тысячи успешных попыток мошенничества.
«Это довольно богатая выборка» - заявил Викси. «За 12 месяцев мошенники выманили у пользователей этих форумов около $2,5 млн. Суммы за одну аферу могут составлять от $2 до шестизначных цифр».
Тактики могут быть разными, но одной из самых распространенных - и самой грубой - является гамбит, известный как «хватай и беги». Тактика используется в одном из двух вариантов: Покупатель получает товар (эксплойт, конфиденциальные данные, действительные учетные данные, номера кредитных карт и т.д.), но не платит за него; или продавец получает деньги, но не предоставляет обещанного. Часть «беги» означает, что мошенник исчезает с рынка и отказывается отвечать на любые запросы.
Существует также множество мошенников, продающих поддельные товары - например, несуществующие криптовалютные кошельки, конструкторы макросов, не создающие ничего гнусного, поддельные данные или базы данных, которые либо уже находятся в открытом доступе, либо ранее были утечкой.
Некоторые из них могут проявлять изобретательность, пояснил Викси.
«Мы обнаружили сервис, утверждающий, что может привязать текст .EXE к PDF, так что когда жертва нажимает на PDF, он загружается, а в фоновом режиме .EXE работает бесшумно» - сообщил он. «На самом деле мошенник просто отправил им обратно документ с иконкой PDF, который на самом деле не был PDF и не содержал .EXE. Они надеялись, что покупатель действительно не знает, о чем он просит и как это проверить».
Также распространены мошенничества, когда продавец предлагает «нормальный» товар, который не совсем соответствует рекламируемому качеству - например, утверждается, что данные кредитных карт действительны на 30%, тогда как на самом деле работают только 10% карт. Или базы данных являются настоящими, но рекламируются как «эксклюзивные», в то время как на самом деле продавец перепродает их нескольким покупателям.
В некоторых случаях мошенники работают в тандеме, что больше похоже на длительную аферу, добавил он. Сайты, как правило, эксклюзивные, что создает «определенную степень внутреннего доверия», на которой они могут играть, по словам Викси.
«Один налаживает контакт с клиентом и предлагает ему услугу; затем он говорит, что на самом деле знает другого человека, который может сделать эту работу гораздо лучше, он эксперт в этом вопросе» - объясняет Викси. «Они часто указывают на поддельный форум, на котором работает и которым управляет второй человек, который требует какого-то депозита или регистрационного взноса. Жертва платит регистрационный взнос, а затем оба мошенника просто исчезают».
Как Darknet-форумы противодействуют атакам.
Эта деятельность негативно сказывается на работе Darknet-форумов - она действует как «эффективный налог на криминальные рынки, делая их более дорогими и более опасными для всех остальных» - отметил Викси. По иронии судьбы, многие торговые площадки принимают меры безопасности, чтобы сдержать поток мошенничества.
Форумы сталкиваются с рядом проблем, когда дело доходит до введения мер безопасности: Например, нет возможности обратиться в правоохранительные или регулирующие органы; кроме того - полуанонимная культура затрудняет отслеживание виновных. Поэтому меры по борьбе с мошенничеством, которые были приняты, как правило, сосредоточены на отслеживании активности и выдаче предупреждений.
Например, некоторые сайты предлагают плагины, которые проверяют URL-адрес, чтобы убедиться, что он ведет на проверенный киберпреступный форум, а не на поддельный сайт, где пользователей обманывают с помощью фиктивного «вступительного взноса». Другие могут вести «черный список» подтвержденных мошеннических инструментов и имен пользователей. А большинство из них имеют специальный арбитражный процесс, в рамках которого пользователи могут подать заявление о мошенничестве.
«Если вас обманул другой пользователь на форуме, вы идете в одну из этих арбитражных комнат, начинаете новую тему и предоставляете некоторую информацию». Это может быть имя пользователя и контактные данные предполагаемого мошенника, доказательство покупки или данные перевода кошелька, а также как можно больше деталей мошенничества - включая скриншоты и логи чата.
«Модератор рассматривает сообщение, запрашивает дополнительную информацию, если она необходима, а затем отмечает обвиняемого и дает ему от 12 до 72 часов на ответ, в зависимости от форума. Обвиняемый может возместить ущерб, но это бывает довольно редко. Чаще всего мошенник оспаривает сообщение и утверждает, что это произошло из-за непонимания условий продажи» - сообщает Викси.
Некоторые просто не отвечают, и в этом случае они банятся временно или навсегда.
Еще одним вариантом защиты для пользователей форума является использование гаранта - проверенного сайтом ресурса, который действует как счет эскроу. Деньги для обмена хранятся там до тех пор, пока не будет подтверждена легитимность товаров или услуг. Однако мошенники часто выдают себя за самих гарантов.
Сокровищница информации об угрозах.
Хотя исследование позволяет взглянуть на внутреннюю работу интересного подсектора мира Darknet, Викси также отметил, что арбитражный процесс, в частности, дает исследователям фантастический источник информации об угрозах.
«Форумы требуют доказательств, когда заявляют о мошенничестве, а это включает такие вещи, как скриншоты и журналы чата - и жертвы, как правило, с радостью их предоставляют» - объяснил он. «Меньшинство из них редактирует эти доказательства или ограничивает их, так что они видны только модератору, но большинство этого не делает. Они публикуют скриншоты и журналы чата без редактирования, которые часто содержат сокровищницу криптовалютных адресов, идентификаторов транзакций, адресов электронной почты, IP-адресов, имен жертв, исходного кода и другой информации. И это в отличие от большинства других областей криминальных рынков, где OpSec обычно довольно хороша».
Некоторые сообщения о мошенничестве также включают полные скриншоты рабочего стола человека, включая дату, время, погоду, язык и приложения, что позволяет найти «хлебные крошки» для определения местонахождения.
Другими словами, обычные меры предосторожности уходят в прошлое. Анализ Sophos последних 250 сообщений о мошенничестве на трех форумах показал, что почти 40% из них включали какой-либо скриншот; только 8% ограничивали доступ к доказательствам или предлагали представить их в частном порядке.
«В целом, сообщения о мошенничестве могут быть полезны как для технической, так и для стратегической разведки» - заключает Викси.
«Главный вывод здесь заключается в том, что субъекты угроз, похоже, не обладают иммунитетом к обману, социальной инженерии или мошенничеству» - добавил он. «На самом деле, они, похоже, так же уязвимы, как и все остальные. Что довольно интересно, поскольку именно эти методы они используют против других пользователей».
Источник: https://www.darkreading.com