Теневая экономика - не просто любопытное явление. Это процветающий бизнес, а также возможности для ИБ-специалистов. В третьей части нашей серии мы рассмотрим любопытные кейсы двадцати поддельных торговых площадок.
Автор: Мэтт Викси
В первой главе этой серии мы представили обзор скрытой субэкономики мошенников, которые обманывают мошенников, а во второй рассмотрели широкий спектр мошенничества и уловок в нем.
Третья глава немного отличается. В ней рассказывается о конкретной афере, которую мы обнаружили в ходе нашего исследования, и которую мы выделяем из-за ее масштабов, уровня координации и очевидного успеха.
Любопытные кейсы двадцати поддельных торговых площадок.
Во время исследования Genesis Market мы обнаружили сайт в сети (genesismarket[.]org), который был совершенно не похож на настоящий сайт Genesis Market, но часто появлялся в результатах поисковых систем.
Рис.1: Поддельный сайт Genesis Market.
Мы быстро определили, что этот сайт не имеет отношения к настоящему Genesis Market. Во-первых, сайт требует депозит в размере 100 долларов США, в то время как настоящий Genesis Market работает только по приглашениям.
Рис. 2: Требование внести депозит на поддельном сайте Genesis.
Сайт просит пользователей заплатить в биткоинах или монеро:
Рис. 3: Страница депозита поддельного сайта.
Это, а также некоторые другие элементы (например, кнопка «забыл пароль», которая никуда не перенаправляет, и некоторые фальсифицированные «сообщения» на форуме) заставили нас предположить, что это грубая, не требующая больших усилий, одноразовая афера, созданная для того, чтобы воспользоваться неопытными исследователями, потенциальными злдоумышленниками и просто любопытными.
Рис. 4: Некоторые из примитивных поддельных сообщений на форуме.
Но три вещи вызвали наше любопытство.
Первая заключалась в том, что луковая ссылка на главной странице ведет не на onion-сайт, а на genesismarket[.]org/benumbiernqlud55izbw4mdubush4zhzpg4rw3c2j6ew3ggpzbb7gdqd[.]onion. Benumb - это сайт кардинга, и мы подумали, не запустил ли кто-то с этой площадки мошенническую кампанию и не ошибся ли в ссылке.
Второй момент заключался в том, что кнопка «Копировать адрес» на странице депозита запускает JavaScript, который копирует в буфер обмена другой биткойн-адрес:
Рис. 5: Нажатие на кнопку «Копировать адрес» приводит к копированию другого адреса в буфер обмена.
И третье - кто-то активно рекламировал этот сайт на Reddit, что говорит о том, что мошенничество может быть более скоординированным, чем мы думали сначала:
Рис. 6: Удаленный пост на Reddit, рекламирующий поддельный сайт.
Мы перешли по ссылке «Benumb» и обнаружили сайт, созданный точно таким же образом, с тем же требованием 100 долларов (хотя и с другими адресами Bitcoin и Monero):
Рис. 7: Страница поддельного Benumb с ироничным фишинговым предупреждением.
Рис. 8: Страница кошелька поддельного сайта Benumb.
Когда мы посмотрели на номера кредитных карт на главной странице, мы обнаружили, что они идентичны тем, которые были указаны на поддельном сайте Genesis.
Рис. 9: Номера и данные кредитных карт на поддельной домашней странице Benumb...
Рис. 10: ...точно такие же, как на поддельном сайте Genesis.
Мы начали запрашивать в поисковых системах фрагменты текста, данные кредитных карт и адреса криптовалют, чтобы найти другие сайты, созданные тем же мошенником.
В общей сложности мы обнаружили двадцать сайтов, зарегистрированных в период с августа 2021 года по июнь 2022 года, которые, по нашим оценкам, с высокой степенью уверенности управляются одним и тем же человеком или группой. Практически все они имитируют существующие или недействующие криминальные площадки (включая многочисленные мошеннические версии Genesis, Benumb, UniCC и Pois0n), просят внести 100 долларов США за активацию, имеют схожий внешний вид и оформление. Некоторые из них используют один и тот же метод подмены буфера обмена, а некоторые - нет. Мы также заметили несколько других незначительных отличий, например, цвет фона или небольшие изменения в рекламном тексте.
Рис. 11: Мошенническая версия теневого рынка YaleLodge.
Рис. 12: Мошенническая версия другой торговой площадки, WWH Club.
Рис. 13: Мошенническая версия сайта Brian's Club, еще одного криминального маркетплейса.
Рис. 14: Мошенническая версия кардинг-сайта UniCC (настоящий сайт закрылся в январе 2022 года). Обратите внимание, что этот сайт также содержит ссылку на поддельный сайт Benumb.
Рис. 15: Мошенническая версия Pois0n, еще одной криминальной торговой площадки.
Попутно мы обнаружили доказательства того, что мошенник рекламировал другие сайты на Reddit:
Рис. 16: Сообщение на Reddit, рекламирующее один из поддельных сайтов Benumb[]cards.
Мы обнаружили одну аномалию - сайт под названием «Cashout Guide», который утверждает, что обучает пользователей кардингу и мошенничеству (естественно, за плату), но, тем не менее, имеет схожий с мошенническими рынками внешний вид:
Рис. 17: Доступные уровни на сайте Cashout Guide.
Из двадцати найденных нами сайтов тринадцать больше не активны. Большинство из них - сайты clearnet, хотя мы обнаружили три onion-сайта (и один clearnet-сайт, маскирующийся под onion-сайт).
Вот полный список, а также соответствующие биткойн-адреса и регистрационная информация (где это возможно):
Табл. 1: Список поддельных сайтов, которые мы выявили.
Когда мы собрали информацию со всех биткойн-адресов (по замыслу, балансы адресов Monero скрыты), мы обнаружили, что эта мошенническая сеть оказалась прибыльной. Вместе эти адреса получили более $132 000 - и большая их часть была выведена, в результате чего общий баланс составил всего $1 633,34.
Мы не можем с уверенностью сказать, связаны ли все поступления на эти адреса с аферой (т.е. мы не знаем, использовал ли мошенник их для другого бизнеса), а в некоторых случаях сроки не совпадают (несколько адресов провели первую транзакцию до регистрации связанного сайта (сайтов), поэтому некоторые поступления могли быть не связаны с аферой). Но даже если исключить эти примеры, в кошельки все равно поступило 87 676 долларов.
Оставался один большой вопрос: кто стоит за этой аферой?
Мы обнаружили кое-что, что, как нам показалось, может дать ключ к разгадке: на некоторых сайтах в нижнем колонтитуле содержится ссылка на сайт под названием darknet[.]markets (похоже, существует несколько версий этого сайта с очень похожим содержанием, включая darknetmarket[.]org и dark[.]markets).
Рис. 18: Ссылка на darknet[.]markets на мошенническом сайте unic[.]cards.
Эти сайты представляют собой указатели криминальных рынков темной паутины для посетителей, интересующихся продажей наркотиков, кардингом и обменом криптовалюты. Они не только похожи на мошеннические сайты (и имеют схожие данные о хостинге/регистрации), но и содержат список нескольких фальшивых сайтов, которые мы обнаружили.
Рис. 19: Раздел «кардинг» на сайте dark[.]markets.
Большинство объявлений об активации на мошеннических рынках упоминают форум по кардингу на криминальном рынке Dread (также известном как Café Dread). Мы поискали названия сайтов-индексаторов на Dread и нашли сообщение пользователя waltcranston (имя пользователя, вероятно, навеяно телесериалом Breaking Bad), который утверждал, что создал их:
Рис. 20: Сообщение waltcranston (сейчас удалено).
Мы также нашли по крайней мере одного пользователя Dread, который, похоже, попался на одну из афер:
Рис. 21: Сообщение пользователя Dread.
Покопавшись дальше в индексе сайтов, мы обнаружили, что waltcranston значится в разделе «Торговля наркотиками»:
Рис. 22: Onion-ссылка waltcranston на одном из индексных сайтов.
waltcranston - это самопровозглашенный дилер метамфетамина как на Dread, так и на других торговых площадках, таких как Alphabay. По их собственному признанию, они базируются в США:
Рис. 23: waltcranston утверждает, что базируется в США.
Их веб-сайт, похоже, использует шаблон, схожий с шаблонами мошеннических торговых площадок, а версия clearnet имеет схожий хостинг и регистрационные данные:
Рис. 24: Сайт поставщика waltcranston.
Мы также обнаружили, что одно из поддельных сообщений на форуме по крайней мере одного из мошеннических маркетплейсов было написано waltcranston:
Рис. 25: Сообщение на форуме одной из поддельных торговых площадок Benumb.
waltcranston использует как биткоин, так и Monero, как показано в этом посте:
Рис. 26: В сообщении, касающемся их метамфетаминового бизнеса, waltcranston подтверждает, что использует и Bitcoin, и Monero.
Несколько сообщений waltcranston свидетельствуют о знакомстве с криминальными рынками и открытом отношении к фишингу и мошенничеству, особенно когда речь идет об имитации конкретных рынков:
Рис. 27: waltcranston рекомендует Genesis Market другому пользователю.
Рис. 28: waltcranston передает несколько советов относительно фишинговых сайтов, "созданных специально для конкретного рынка или магазина".
Рис. 29: waltcranston предлагает запустить фишинговый сайт другому пользователю.
Рис. 30: waltcranston с язвительной цитатой о том, что продавцы обращаются к мошенничеству.
Пользователь Dread пришел к тому же выводу, что и мы, публично опубликовав это обвинение:
Рис. 31: Пользователь Dread обвиняет waltcranston в управлении некоторыми из обнаруженных нами мошеннических рынков.
В своих ответах waltcranston не подтвердил и не опроверг эти обвинения, хотя другие пользователи Dread высказались по этому поводу:
Рис. 32: Некоторые пользователи Dread осудили мошенников.
В приведенном выше разговоре обвинитель предлагает возможный мотив, по которому waltcranston ведет эти мошеннические сайты - выход на пенсию после торговли метамфетамином.
Другие пользователи Dread отнеслись к ситуации более равнодушно:
Рис. 33: Два пользователя Dread менее обеспокоены мошенниками.
Следует отметить, что большинство этих доказательств являются косвенными, и мы не нашли никаких конкретных идентификаторов, которые связывали бы waltcranston с поддельными торговыми площадками.
В заключительной части нашей серии мы покажем, почему эта тема так важна. Сообщения о мошенничестве - богатый и недостаточно изученный источник разведданных; злоумышленники знают, что криминальные форумы отслеживаются, и поэтому часто используют хорошую оперативную безопасность - но когда они сами становятся жертвами преступлений, это не так важно. Поскольку правила форума требуют доказательств для подтверждения обвинений в мошенничестве, пострадавшие часто публикуют скриншоты частных разговоров и исходного кода, идентификаторы, транзакции, журналы чата и подробные отчеты о переговорах, продажах и устранении неполадок. Мы поделимся некоторыми примерами из практики и завершим нашу серию рекомендаций и идей для будущих исследований.
Источник: https://news.sophos.com
