Похоже, что от злоумышленников в интернете не застрахован никто — даже те, кто сам обманывает других пользователей. Изучив крупнейшие форумы хакеров, исследователи обнаружили там не только эксплойты и украденные данные, но и многочисленные жалобы мошенников, которые невольно оказались в роли жертв.
Хакеры и киберпреступники часто собираются на специфических форумах и маркетплейсах. Там они могут рассказать о новом деле, для которого потребуется помощь, продать базы данных украденных паролей или кредитных карт, либо прорекламировать новые уязвимости, которые можно использовать для проникновения в устройства или системы. Однако часто все идет не по плану.
Новое исследование, опубликованное службой кибербезопасности Sophos, посвящено как раз этим неудачным транзакциям и жалобам на них. «Мошенники, которые обманывают мошенников на криминальных форумах и площадках, встречаются намного чаще, чем мы изначально думали», — отмечает Мэтт Уикси, исследователь Sophos X-Ops.
Уикси изучил три самых известных форума киберпреступников: русскоязычные Exploit и XSS, а также англоязычный BreachForums, который заменил RaidForums после того, как в апреле он был закрыт американскими правоохранителями.
Хотя сайты работают немного по-разному, у всех них есть «арбитражные» ветки, где принимают жалобы от тех, кто столкнулся с обманом. Например, если пользователь купил вредоносное ПО, а оно не работает.
По словам Уикси, иногда после этого люди могут вернуть деньги, но чаще это служит предупреждением для других пользователей. Согласно анализу, за 12 месяцев преступники потеряли на форумах более $2,5 млн из-за других мошенников. Хотя некоторые жалуются, что у них украли пару долларов, в среднем сумма ущерба варьируется от $200 до $600.
Читайте по теме:
Мошенники в Telegram: топ-5 способов обмана
Игровая индустрия процветает — и это привлекает киберпреступников
Мошенники выбирают разные подходы, как простые, так и более изощренные. Уикси рассказывает, что зачастую покупатель просто не платит за то, что получил, или продавец получает деньги, но не отправляет предмет продажи. Другие схемы включают поддельные данные или нерабочие эксплойты. Один из пользователей BreachForums заявлял, что ему пытались продать данные из Facebook*, который уже были в открытом доступе.
На форуме Exploit опубликована длинная жалоба хакера, который предоставил кому-то эксплойт ядра Windows и не получил за него обещанные $130 тысяч. Покупатель сказал, что заплатит, как только протестирует программу, но денег так и не последовало. «На каждом этапе он приводил разные оправдания для задержки платежа», — написал пользователь.
Исследователи отмечают, что для некоторых схем, по-видимому, требуется совместная работа нескольких учетных записей или людей. Пользователь с хорошей репутацией может познакомить одного человека с другим. Затем этот сообщник направляет жертву на мошеннический сайт.
Например, рассказывает Уикси, один человек искал поддельную копию игры Axie Infinity, чтобы выкачивать деньги пользователей. «Он купил у кого-то подделку, и в ней был бэкдор, через который и украли украденную криптовалюту», — рассказывает исследователь. По сути, мошенник стал жертвой собственной аферы.
Возможно, самая организованная афера, которую обнаружил Уикси, была связана с расследованием маркетплейса Genesis, который работает онлайн с 2017 года и продает регистрационные данные отелей, файлы cookie и доступ к данным из скомпрометированных систем. Исследуя Genesis, Sophos обнаружила поддельную версию сайта, занимающую высокое место в результатах поиска Google.
«Очень странный случай, — вспоминает Уикси. — Это был очень простой шаблон WordPress, и он требовал заплатить за вход, в то время как настоящий Genesis доступен только по приглашениям».
Подделка отличалась от официального сайта не только внешним видом, но и демонстрировала и другие странности: она была связана с другим сомнительным сайтом, биткойн-адрес, на который люди могли совершать платежи, менялся, когда кто-то нажимал кнопку копирования и вставки на сайте, и ее рекламировали на Reddit. Эти признаки, по словам Уикси, намекали на то, что это могла быть скоординированная афера.
Фото в тексте: Unsplash
Благодаря деталям с поддельного сайта, в том числе фрагментам текста и адресам криптокошельков, исследователи обнаружили 20 сайтов, которые, по-видимому, были связаны между собой и управлялись одной и той же группой или отдельным лицом. Все они выглядят одинаково и были зарегистрированы в период с августа 2021 по июнь 2022 года. Восемь из них все еще работают.
Почти все они, говорит Уикси, имитируют несуществующие криминальные маркетплейсы и пытаются заставить людей платить за доступ к ним. И, кажется, это работает: по данным исследователя, биткоин-адреса, размещенные на сайтах, в совокупности получили $132 тысячи, хотя нельзя сказать, что все эти деньги получены в рамках этой схемы.
Sophos также удалось найти пользователя с ником waltcranston, который предположительно стоит за этими сайтами. Кроме нескольких фрагментов информации, связывающих дескриптор с сайтами, у них была еще одна зацепка — на другом форуме кто-то под этим именем утверждал, что создал поддельные торговые площадки.
Несмотря на то, что Уикси не может подтвердить, что waltcranston организовал сеть сайтов, он отмечает, что преступники, жалующиеся на мошенничество и пытающиеся разрешить свои споры через арбитраж, потенциально являются хорошим источником разведданных.
Поскольку они должны подтверждать свои обвинения доказательствами, они часто делятся скриншотами, содержащими больше личной информации, чем они, возможно, намеревались. Там можно увидеть такие данные, как адреса криптокошельков и электронной почты, идентификаторы транзакций, имена жертв, исходный код некоторых вредоносных программ и другую информацию.
Все эти детали позволяют как можно больше узнать о людях, скрывающихся за никами, или понять, как они работают.
Читайте по теме:
Что такое Red Team и зачем бизнес взламывает сам себя
Так, к одной из жалоб был приложен скриншот с именами пользователей Telegram, адресами электронной почты, названиями чатов Jabber, а также именами пользователей Skype и Discord. На других отображены IP-адреса и страны, в которых могут находиться пользователи.
Скриншоты показывают программное обеспечение, которым пользуются люди, а также сайты, которые они посещают, и подробные сведения о конфигурации их компьютера. В некоторых случаях Уикси видел подробную информацию о жертвах, на которых нацелились киберпреступники.
Специфика рода деятельности преступников обычно заставляет их с осторожностью делиться чем-либо, что может их идентифицировать. Они не используют настоящие имена и часто прибегают к таким сервисам анонимизации, как Tor.
«Обычно они довольно хорошо обеспечивают операционную безопасность, но не в случае с заявлениями о мошенничестве», — говорит Уикси. В будущем, считает он, эти данные могут оказаться полезным инструментом для поиска некоторых преступников.
* Meta и входящие в нее Facebook и Instagram признаны экстремистскими организациями, деятельность которых запрещена в РФ.
Фото на обложке: Unsplash
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Продавцы электроники пожаловались на мошеннические схемы покупателей
- 2 Что такое смарт-контракты в блокчейне и защищают ли они от мошенничества
- 3 Честный знак при карго-доставке из Китая: «серые» схемы и их последствия
- 4 Как взламывают корпоративные сайты и что сделать в компании, чтобы это предотвратить
- 5 4 ситуации, где мошенники обманывают предпринимателей — и как от них защититься
ВОЗМОЖНОСТИ
20 апреля 2024
21 апреля 2024
21 апреля 2024